Политика определяет порядок обработки персональных данных, получаемых Благотворительным фондом «Вклад в будущее» (ОГРН 1157700017518, адрес местонахождения: г. Москва, ул. Вавилова, д.19) (далее – Фонд, Оператор) от физических лиц при использовании ими любых поддоменов сайтов Фонда vbudushee.ru, академии.рф, работников Фонда, а также контрагентов, и меры по обеспечению безопасности персональных данных в Фонде с целью защиты прав и свобод субъектов персональных данных при их обработке
Пользователь, осуществляя любые (все) действия, в том числе, но не ограничиваясь использованием функционала сайтов Фонда и заполнением форм (обратной связи, регистрации или иных, предусмотренных функционалом сайтов), совершает принятие (акцепт) Политики как это предусмотрено статьей 438 Гражданского кодекса Российской Федерации, тем самым безоговорочно соглашаясь со всеми положениями и условиями Политики.
1.2.В Политике используются следующие основные понятия: Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники; Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств; Контрагент – физическое лицо, в том числе индивидуальный предприниматель, с которым Фонд состоит в договорных отношениях или осуществляет коммуникацию (переговоры) для заключения договора; Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных; Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); Пользователь сайта — физическое лицо, которое достигло возраста, предусмотренного законодательством Российской Федерации и/или обладает необходимым объемом дееспособности для акцепта (заключения) Условий пользования сайтом Фонда, а также Политики; Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; Работник (и) - физическое(ие) лицо(а), состоящее(ие) в трудовых отношениях с Фондом; Сайт (ы) — содержимое интернет-страниц, расположенных в сети на поддоменах любых уровней vbudushee.ru и ai-academy.ru, законным правообладателем и администратором которых является Фонд; Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и/или результате которых уничтожаются материальные носители персональных данных.
Термины и определения, значение которых не раскрыты в Политике, используются в целях применения Политики в значениях, установленных законодательством Российской Федерации, а также другими локальными нормативными актами Фонда.
1.3.При сборе персональных данных граждан Российской Федерации, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом.
В целях ознакомления с порядком обработки персональных данных, получаемых Фондом, а также во исполнение требований ТК РФ и Закона, (1) главный бухгалтер при приеме Работника на работу знакомит его с Правилами, а также получает от Работника письменное согласие на обработку персональных данных; (2) ответственный работник Фонда размещает Правила на сайтах; (3) работник Фонда, ответственный за заключение с контрагентом договора, включает в такой договор условия об обработке персональных данных, а также получает от контрагента письменное согласие на обработку персональных данных (в случае необходимости по согласованию с Директором по юридическим вопросам).
1.5.К обработке персональных данных допускаются работники Фонда, и (или) контрагенты Фонда, которым доступ к персональным данным необходим соответственно для выполнения трудовых функций или выполнение условий договоров, заключенных с Фондом.
1.6.К числу массовых потребителей персональных данных вне Фонда относятся следующие государственные и негосударственные структуры: - налоговые инспекции; - правоохранительные органы; - органы статистики; - страховщики; - военкоматы; - органы социального страхования; - пенсионные фонды; - подразделения муниципальных органов управления;
1.7.Фонд не имеет права получать и обрабатывать персональные данные, касающиеся национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, частной жизни субъектов персональных данных.
1.8.Фонд также не имеет права получать и обрабатывать персональные данные о членстве в общественных или профсоюзных объединениях субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
1.9.Политика является обязательной для исполнения всеми работниками Фонда.
Состав собираемых и обрабатываемых персональных данных субъектов при использовании ими сайтов, заключении трудовых договоров и выполнении трудовых функций, заключении гражданско – правовых договоров и выполнении их условий, а также цели их обработки, определяются Оператором в зависимости от категории субъекта персональных данных (Пользователь, Работник или Контрагент), чьи данные собираются и обрабатываются:
2.1.Персональные данные Пользователей
2.1.1.Состав персональных данных: Персональные данные, не являющиеся специальными или биометрическими: фамилия, имя, отчество, пол, адрес электронной почты, дата рождения, номер телефона, а также иные данные, установленные/запрашиваемые сайтом.
2.1.2.Цель обработки персональных данных:
Распространение Оператором информации, запрашиваемой Пользователем, осуществление Оператором информационной рассылки по электронным адресам Пользователей, предоставление доступа к функционалу и информации, расположенной на сайте, иные цели в соответствии с функционалом сайта.
2.2.Персональные данные Работников
2.2.1.Состав персональных данных:
Персональные данные, не являющиеся специальными или биометрическими: фамилия, имя, отчество, пол, дата и место рождения, данные паспорта, адреса регистрации по месту жительства и фактического проживания, номера телефонов: домашнего и мобильного, адрес электронной почты, сведения об образовании, профессиональной переподготовке, повышении квалификации, данные о семейном положении, составе семьи, необходимые для предоставления законодательно установленных льгот, отношение к воинской обязанности, сведения о трудовом стаже, предыдущих местах работы, доходах на предыдущих местах работы, СНИЛС, ИНН, дата рождения, а также иные данные, связанные с реализацией трудовых отношений между Работником и Оператором.
К общедоступным персональным данным Работника относятся: фамилия, имя, отчество, должность, номер рабочего телефона и рабочей электронной почты, фотография.
2.2.2.Цель обработки персональных данных:
Оформление и регулирование трудовых отношений, отражение информации в кадровых документах, начисление заработной платы, исчисление и уплата налоговых платежей, предусмотренных законодательством Российской Федерации, представления законодательно установленной отчетности по физическим лицам в ИФНС и внебюджетные фонды, подача сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы, предоставление налоговых вычетов, обеспечение безопасных условий труда, обеспечение сохранности имущества, принадлежащего Оператору, контроль требований к количеству и качеству выполняемых Работником трудовых функций, оформление полиса добровольного медицинского страхования, оформление сведений по прохождению программ обучения в корпоративной университете ПАО Сбербанк, оформление пропуска в офис Оператора, рассылка визитной карточки для представления коллегам.
В помещениях Оператора ведется видеонаблюдение и изображение Работника используется в целях обеспечения общественной безопасности.
2.3.Персональные данные Контрагентов
2.3.1.Состав персональных данных:
Персональные данные, не являющиеся специальными или биометрическими:
фамилия, имя, отчество, пол, дата и место рождения, данные паспорта, адреса регистрации по месту жительства и фактического проживания, номер телефона, адрес электронной почты, сведения об образовании, СНИЛС, ИНН, сведения о банковских счетах, необходимых для исполнения обязательств сторон по гражданско-правовому договору, фотографии (для пропусков, свидетельств, сертификатов).
2.3.2.Цель обработки персональных данных:
Исполнение гражданско-правового договора.
Оператор вправе совершать следующие действия с полученными персональными данными с учетом целей их обработки: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, обезличивание, блокирование, удаление, уничтожение, а также передача третьим лицам/организациям, осуществляемые как с использованием средств автоматизации, так и без использования средств автоматизации (смешанная обработка). Оператор осуществляет обработку персональных данных в течение срока, необходимого для достижения целей обработки персональных данных.
4.1.Принципы обработки персональных данных
Обработка персональных данных осуществляется Оператором на основе следующих принципов:4.1.1.законность и справедливость;
4.1.2.ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
4.1.3.недопущение обработки персональных данных, несовместимой с целями сбора персональных данных;
4.1.5.обработка только тех персональных данных, которые отвечают целям их обработки;
4.1.6.соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;
4.1.7.недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
4.1.8.обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
4.1.9.уничтожение либо обезличивание персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено Законом.
4.2.Условия обработки персональных данных
Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
4.2.1.обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
4.2.2.обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
4.2.3.обработка персональных данных необходима для исполнения договора, сторонами которого являются Оператор и субъект персональных данных, либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения Оператором договора по инициативе субъекта персональных данных;
4.2.4.обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
4.2.5.осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.
4.3.Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
4.4.Биометрические персональные данные
Оператором не производится обработка биометрических персональных данных.
4.5.Поручение обработки персональных данных
Оператор вправе поручить обработку персональных данных третьему лицу, с согласия субъекта персональных данных, если иное не предусмотрено Законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом и Политикой.
В свою очередь, Оператор вправе осуществлять обработку персональных данных по поручению третьего лица с согласия субъекта персональных данных, если иное не предусмотрено Законом, на основании заключаемого с этим лицом договора.
4.6.Трансграничная передача персональных данных
Оператором не осуществляет трансграничную передачу персональных данных третьим лицам.
5.1.Согласие субъекта персональных данных на обработку его персональных данных
Субъект персональных данных принимает решение о предоставлении Оператору его персональных данных и дает согласие ему на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом5.2.Права субъекта персональных данных
Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с законодательством Российской Федерации. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.
Субъект персональных данных может в любое время отозвать согласие на обработку персональных данных, предоставленное Оператору, в этом случае Оператор вправе продолжить Обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных Законом.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда.
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией Оператором правовых, организационных и технических мер, необходимых для обеспечения требований Закона.
6.1.Ответственным за организацию Оператором обработки и защиты персональных данных является Исполнительный директор Оператора, который обеспечивает:
6.1.1.ограничение состава лиц, допущенных к обработке персональных данных;
6.1.2.ознакомление субъектов персональных данных с Политикой;
6.1.3.организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей, а также контроль за приемом и обработкой Оператором таких обращений и запросов.
6.1.4.организацию учета, хранения и обращения носителей, содержащих информацию с персональными данными;
6.1.5.определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
6.1.6.разработку на основе модели угроз системы защиты персональных данных;
6.1.7.проверку готовности и эффективности использования средств защиты информации;
6.1.8.разграничение доступа Пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
6.1.9.регистрацию и учет действий пользователей информационных систем персональных данных;
6.1.10.использование антивирусных средств и средств восстановления системы защиты персональных данных;
6.1.11.применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
6.1.12.хранение личных дел Работников и документов, содержащих персональные данные в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа;
6.1.13.защиту паролями доступа персональных компьютеров, в которых содержатся персональные данные;
6.1.14.организацию пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных;
6.1.15.оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей Оператора, предусмотренных Законом.
6.2.В целях реализации функции контроля за соблюдением Оператором порядка обработки и защиты персональных данных Исполнительный директор Оператора, а также уполномоченные им другие работники Оператора, имеют право:
6.2.1.получать от подразделений и работников Оператора документы, справки и иные сведения и пояснения; иметь доступ в полном объеме ко всем имеющимся у Оператора информационным ресурсам, с помощью или на основе которых Оператором осуществляется обработка персональных данных.
7.1.Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.
7.2.Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
7.3.Правила вступает в силу с момента издания приказа об их утверждении.