УТВЕРЖДЕНО
Президентом СРОО
«Пункт Милосердия»
(Приказ №_ от ____202_ г.)

Приказ

обработки персональных данных и сведений о реализуемых требованиях к защите персональных данных Самарской региональной общественной организация помощи слабо защищенным слоям населения «Пункт милосердия» в отношении Г. Тольятти

1. Общие положения

1.1. Настоящая Политика разработана в соответствии с положениями Конституции РФ, Трудового кодекса РФ, Федерального закона от 27,07.2006 N 152-ФЗ «О персональных Данных», Федерального закона от 27.07.2006 ФЗ 149 ФЗ Об информации, информационных технологиях и о защите информации в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая Политика определяет основные вопросы, связанные с обработкой персональных данных в Самарской региональной общественной организация помощи слабо защищенным слоям населения «Пункт милосердия» (далее - Организации) с использованием средств автоматизации, в том числе в информационнотелекоммуникационных сетях, или без использования таких средств.

1.3. Сведениями, составляющими персональные данные, является любая информация, относящиеся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

1.4. Персональные данные являются конфиденциальной, охраняемой информацией и на них распространяются все требования, установленные внутренними документами Организации по защите конфиденциальной информации.

1.5. Обрабатывая персональные данные Организация выступает в качестве оператора персональных данных (в соответствии с определением ниже) и руководствуется требованиями законов и иных нормативных правовых актов Российской Федерации в области защиты информации и персональных данных, в частности, Федерального закона от 27 июля 2007 года № 152-ФЗ «О персональных данных», Постановления Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и иными.

1.6. При совершении действий по получению информации об Организации на сайте Организации, его деятельности, истории и управлении, а также о проектах, событиях предоставление Персональных данных не требуется, а также Организация не совершает обработку Персональных данных, за исключением сведений, собираемых автоматически (сбор и обработка обезличенных данных о посетителях сайта (в т.ч. файлов «cookie») с помощью сервисов Интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).

1.7. Некоторые из функций Сайта (сервисов) Организации возможно использовать, только если Организация будет обрабатывать Персональные данные Субъекта персональных данных. В любом случае Организация будет обрабатывать Персональные данные, которые предоставляет Субъект персональных данных или уполномоченное Субъектом персональных данных лицо, за исключением сведений, собираемых автоматически.

1.8. В Политике используются следующие термины:

- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

- база персональных данных – упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных);

- биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных;

-блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством;

- доступ к персональным данным – ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Организацией, при условии сохранения конфиденциальности этих сведений;

- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- конфиденциальность персональных данных – обязанность лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;

- сайт Организации - сайт Организации в сети Интернет https://punktm.ru/;

- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- субъект персональных данных – физическое лицо, пользователь сайта, сервисов, проектов Организации, к которому относятся персональные данные;

- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Принципы и цели обработки персональных данных

2.1. Обработка персональных данных осуществляется в соответствии со следующими принципами:

2.2. Организация принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством и не требуется для достижения определенных Организацией целей, не использует персональные данные во вред субъектам таких данных.

2.3. Целями обработки персональных данных являются:

2.3.1. Осуществления деятельности, предусмотренной Уставом;

2.3.2. при совершении пожертвования на сайте Организации - реализация уставных целей Организации, в том числе путем осуществления благотворительной деятельности; получение пожертвований в денежной и натуральной форме, в том числе заключение и исполнение договоров пожертвования; выполнение требований федерального законодательства по раскрытию информации о деятельности благотворительной организации, размещение информации о деятельности Организации в общедоступных источниках, в том числе на сайте https://punktm.ru/ ;

2.3.3. в случаях использования сервисов Организации - предоставление информации о функциях того или иного сервиса, направление уведомлений, материалов, предложений, связь с Субъектом персональных данных;

2.4. Обработка только тех персональных данных, которые отвечают заранее объявленным целям их обработки; соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки; недопущение обработки персональных данных, не совместимой с целями сбора персональных данных, а также избыточных по отношению к заявленным целям обработки персональных данных. Организация не использует Персональные данные субъектов в каких-либо целях, кроме указанных.

2.5. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

2.6. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Организация принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая (без ограничения) реализацию права каждого субъекта получать для ознакомления свои персональные данные и требовать от Организации их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными или не являются необходимыми для заявленных выше целей обработки без объяснения причин такого требования.

2.7. Хранение персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных, а также согласием субъекта персональных данных на обработку данных.

2.8. Уничтожение или обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Фондом допущенных нарушений установленного законодательством порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, истечении срока обработки персональных данных, установленных согласием на обработку персональных данных, если иное не предусмотрено законодательством или договорами с субъектами персональных данных.

2.9. Для категории субъектов Благотворителей Организация осуществляет обработку следующих данных: имя, фамилия, отчество, адрес эл. почты, телефон, данные банковской карты, IP (местонахождение), пол, адрес, возраст, совершающих пожертвования на сайте Организации, данные банковских карт, ссылки на социальные сети, фотография, пол, возраст.

Для категории субъектов обработки персональных данных – работников Организации -

Персональных данных с целью обеспечения соблюдения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними данных: фамилия, имя, отчество; год, месяц, дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес места жительства; адрес регистрации; номер телефона; адрес электронной почты; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа,  содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; профессия; должность; сведения о трудовой деятельности; отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; иные персональные данные, которые работник пожелал сообщить о себе и обработка которых соответствует цели обработки.

3. Условия обработки персональных данных

3.1. Обработка Персональных данных допускается в следующих случаях:

3.1.1. При наличии согласия Субъекта на обработку его Персональных данных. Согласие дается путем активации чек бокса «Согласен с условиями политики конфиденциальности».

3.1.2. При передаче Персональных данных Субъекта персональных данных на Сайте. При передаче данных Субъекта персональных данных третьим лицом, третье лицо гарантирует, что предварительно получило от Субъекта персональных данных согласие на передачу данных Фонду.

3.1.3. Персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законодательством РФ; Обработка персональных данных необходима для осуществления и выполнения возложенных законодательством на Фонд функций, полномочий и обязанностей.

3.1.4. Для заключения договора по инициативе субъекта персональных данных и исполнения договора, стороной которого является субъект персональных данных.

3.1.5. Обработка персональных данных Фондом необходима для осуществления прав и законных интересов Фонда и/или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных.

3.2. Организация не раскрывает третьим лицам и не распространяет Персональные данные без согласия Субъекта, если иное не предусмотрено законодательством РФ.

3.3. Организация не обрабатывает Специальные категории персональных данных, Биометрические персональные данные.

4. Способы обработки персональных данных

4.1. Организация осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств. Политика распространяется в полном объеме на обработку персональных данных с использованием средств автоматизации, а при обработке персональных данных без использования средств автоматизации – только на те случаи, когда такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

4.2. При обработке персональных данных Организация совершает следующие действия (операции) с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

4.3. Кроме того, при наличии соответствующего согласия, Организация размещает персональные данные благотворителей на Сайте Организации, в результате чего они становятся доступными неограниченному кругу лиц. Организация осуществляет распространение исключительно при наличии согласия субъекта персональных данных, которое может быть отозвано у Организации в любой момент.

5. Конфиденциальность персональных данных

5.1. Работниками Организации, получившими доступ к персональным данным, должна быть обеспечена конфиденциальность таких данных. Обеспечение конфиденциальности не требуется в отношении персональных данных, в части которых получено согласие на их распространение и данных, прошедших процедуру обезличивания.

5.2. Для обеспечения конфиденциальности Персональных данных Организация принимает и будет принимать технические, юридические и организационные меры безопасности, в частности:

- назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

- принятие локальных нормативных актов в отношении обработки персональных данных;

-предоставление неограниченного доступа к настоящей Политике;

-заключение договоров с лицами, обрабатывающими персональные данные по поручению Организации, в соответствии с требованиями Федерального закона «О персональных данных»;

-ограничение состава лиц, имеющих доступ к персональным данным;

-ознакомление субъектов с требованиями федерального законодательства и локальных нормативных актов Фонда по обработке и защите персональных данных;

-организация учета, хранения и обращения носителей информации;

-определение угроз безопасности персональных данных при их обработке и проверка, готовности и эффективности использования средств защиты информации;

-использование антивирусных средств и средств восстановления системы защиты персональных данных;

-организация пропускного режима на территорию Организации, охраны помещений с техническими средствами обработки персональных данных;

-запрещение работникам ввод персональных данных в информационные системы в присутствии лиц, не допущенных к их обработке;

-расположение мониторов ПЭВМ таким образом, чтобы исключать возможность просмотра персональных данных, отображаемых на экране, лицами, не допущенными к обработке персональных данных.

Организация принимает другие необходимые юридические, организационные и технические меры по защите персональных данных от незаконного или случайного доступа, уничтожения, изменения, блокирования, копирования, передачи, распространения, а также других незаконных действий в отношении персональных  данных, в частности, меры, предусмотренные Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных», Постановлением Правительства от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другими нормативными правовыми актами.

5.3. Организация вправе с согласия субъекта поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора, предусматривающего в качестве существенного условия обязанность лица, осуществляющего обработку персональных данных по поручению Организации, соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством. Объем передаваемых другому лицу для обработки персональных данных и количество используемых этим лицом способов обработки должны быть минимально необходимыми для выполнения им своих обязанностей перед Организацией.

В поручении Организации должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

При выполнении поручения Организации на обработку персональных данных лицо, которому такая обработка поручена, вправе использовать для обработки персональных данных свои информационные системы, соответствующие требованиям безопасности, установленным законодательством, что отражается Фондом в заключаемом договоре поручения на обработку персональных данных.

5.4. В случае, если Организация поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Организация. Лицо, осуществляющее обработку персональных данных по поручению Организации, несет ответственность перед Организацией.

6. Срок обработки персональных данных

6.1. Обработка Персональных данных осуществляется в течение срока необходимого для достижения целей обработки Персональных данных. После достижения целей обработки персональных данных Организация прекратит обработку и уничтожит персональные данные (а также обеспечит прекращение обработки и их уничтожение привлеченными к обработке третьими лицами) в течение 30 (тридцати) дней, за исключением случаев, когда законодательство требует это сделать в более короткий срок.

6.2. В случае направления Субъектом персональных данных отзыва согласия на обработку персональных данных, Фонд прекращает обработку персональных данных, а также обеспечивает прекращение обработки и их уничтожение привлеченными к обработке третьими лицами (в случаях, когда согласие является единственным законным основанием для обработки Персональных данных).

7. Сайты и сервисы третьих лиц

7.1. Сайт и онлайн площадки (сервисы) Организации могут содержать ссылки на сайты и приложения третьих лиц (например, социальные сети «ВК»), в то же время сторонние сайты и приложения также могут отсылать к сайту Организации. Организация не имеет отношения и не несет ответственности за обработку Персональных данных Субъекта персональных данных на таких сторонних сайтах и приложениях, а также за политики и практики, применяемые их владельцами, администраторами и другими лицами, в отношении обработки персональных данных пользователей сторонних сайтов.

8. Права Субъекта персональных данных

8.1. Субъект персональных данных в отношении обработки персональных данных вправе:

-Отозвать согласие на обработку ваших персональных данных Фондом;

-Требовать уточнения, исключения или исправления неточных, неверных, устаревших и неполных персональных данных; блокирования и уничтожения персональных данных, не являющимися необходимыми для заявленных Организацией целей;

-Получать доступ к своим персональным данным и, в частности: категории обрабатываемых персональных данных; цели обработки; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ (за исключением работников Организации); перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; иные сведения в соответствии с действующим законодательством Российской Федерации;

-Осуществлять иные права в сфере защиты персональных данных, предусмотренные действующим российским законодательством.

8.2. Любые разъяснения по интересующим вопросам, касающимся обработки Персональных данных, можно получить, обратившись к Организации с помощью электронной почты info@dela-miloserdia.ru или по адресу местонахождения Организации. Организация не рассматривает анонимные обращения. При получении обращения Организация также может попросить подтвердить личность субъекта персональных данных (путем предоставления паспортных данных) до направления ответа на обращение.

9. Обязанности и ответственность сотрудников Организации

9.1. Сотрудники Организации, допущенные к обработке персональных данных, обязаны:

- знать и неукоснительно выполнять требования настоящей Политики;

- обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

- не разглашать персональные данные, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности;

- пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;

- выявлять факты разглашения (уничтожения, искажения) персональных данных и информировать об этом непосредственного руководителя;

- хранить тайну о сведениях, содержащих персональные данные в соответствии с локальными актами Организации.

9.2. Сотрудникам Организации, допущенным к обработке персональных данных, запрещается несанкционированное и нерегламентированное копирование персональных данных на бумажные носители информации и на любые электронные носители информации, не предназначенные для хранения персональных данных.

9.3. Каждый новый работник Организации, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства РФ по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными актами по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

9.4. Лица, виновные в нарушении требований законодательства РФ в области персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность.

10. Заключительные положения

10.1. Действующая редакция Политики на бумажном носителе хранится в Организации.

10.2. Электронная версия действующей редакции общедоступна на сайте Организации в сети Интернет https://punktm.ru/.

10.3. При внесении изменений в заголовке Политики указывается дата утверждения действующей редакции Политики.

10.4. Политика актуализируется и заново утверждается по мере внесения изменении в нормативные правовые акты в сфере персональных данных или в локальные акты, регламентирующие процедуры обработки и обеспечение безопасности персональных данных.

10.5. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных Организации.