Политика в отношении конфиденциальности и обеспечения безопасности обработки персональных данных

Утверждаю

Бруй А.В.

19 февраля 2019 года

Благотворительного Фонда Социальной Поддержки и Защиты Граждан «Международный Орден Милосердия»

(БФ «МОМ»)

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Благотворительный Фонд Социальной Поддержки и Защиты Граждан «Международный Орден Милосердия» (далее – Организация) осуществляет

свою деятельность на территории Российской Федерации и является оператором персональных данных.

1.2. Настоящая Политика Организации в отношении обработки и обеспечения безопасности персональных данных (далее – Политика) разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», излагает основные

принципы обработки и требования к обеспечению безопасности и конфиденциальности персональных данных, которые может получить Организация в процессе своей деятельности от субъектов персональных данных, уполномоченных и/или третьих лиц.

1.3. Политика вступает в силу с даты ее утверждения руководителем Организации, публикуется на общедоступных информационных ресурсах Организации и подлежит неограниченному распространению.

2. ПОНЯТИЕ И СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Для целей настоящей Политики используются следующие основные понятия:

2.1.2. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.1.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.1.4. распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационнык сетях или предоставление доступа к персональным данным каким-либо иным способом;

2.1.5. использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

2.1.6. блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

2.1.7. уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

2.1.8. обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

2.1.9. конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

2.1.10. общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

2.1.11. информация – сведения (сообщения, данные) независимо от формы их представления;

2.1.12. документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2. Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:

— членов органов управления Организации;

— физических лиц, состоящих с Организацией в отношениях, регулируемых трудовым законодательством;

— физических лиц, являющихся претендентами на замещение вакантных должностей;

— добровольцев;

— контрагентов;

— благотворителей;

— благополучателей Организации.

2.3. В состав персональных данных работников Организации могут входить

следующие сведения:

— анкетные и биографические данные;

— об образовании;

— об общем трудовом и страховом стаже;

— о составе семьи;

— паспортные данные;

— о воинском учете;

— о заработной плате сотрудника;

— о социальных льготах;

— о специальности;

— о занимаемой должности;

— о наличии судимостей;

— адрес места жительства;

— номера телефонов;

— адрес (адреса) электронной почты;

— о месте работы или учебы членов семьи и родственников.

2.4. В состав персональных данных благополучателей Организации могут входить следующие сведения:

— фамилия, имя, отчество, дата и место рождения, гражданство, иные данные, содержащиеся в удостоверяющем личность документе;

— данные миграционной карты;

— сведения о документах, содержащих персональные данные;

— идентификационный номер налогоплательщика;

— данные о месте жительства и регистрации, контактных телефонах (мобильном и домашнем), адресах электронной почты;

— данные о семейном положении;

— данные о трудовой деятельности, финансовом состоянии;

2.5. В состав персональных данных контрагентов Организации могут входить следующие сведения:

— фамилия, имя, отчество,

— дата и место рождения,

— пол,

— гражданство,

— адрес регистрации и фактического проживания, номер домашнего телефона, номер мобильного телефона,

— идентификационный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования,

— образование, повышение квалификации, наличие специальных знаний, профессия,

— паспортные данные.

2.6. В состав персональных данных членов органов управления Организации и благотворителей могут входить следующие сведения:

— фамилия, имя, отчество;

— паспортные данные.

2.7. В состав персональных данных добровольцев Организации могут входить следующие сведения:

— анкетные и биографические данные;

— об образовании;

— о трудовом стаже;

— о месте работы (учебы);

— паспортные данные;

— о специальности,

— о наличии судимостей;

— адрес места жительства;

— номера телефонов;

— адрес (адреса) электронной почты.

2.8. В состав персональных данных физических лиц, являющихся претендентами на замещение вакантных должностей, могут входить следующие сведения:

— анкетные и биографические данные;

— об образовании;

— о трудовом и страховом стаже;

— паспортные данные;

— о воинском учете;

— о специальности,

— о наличии судимостей;

— адрес места жительства;

— номера телефонов;

— адрес (адреса) электронной почты.

2.9. Организация не осуществляет обработку специальных категорий и биометрических персональных данных кроме общедоступных

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Организация осуществляет обработку персональных данных для достижения следующих целей:

3.1.1. исполнения обязанностей работодателя в соответствии с Трудовым Кодексом Российской Федерации;

3.1.2. исполнения обязательств по договорам/соглашениям гражданско-правового характера;

3.1.3. в целях исполнения обязанностей работодателя в соответствии со страховым законодательством Российской Федерации;

3.1.4. в целях однократного пропуска субъекта персональных данных на территорию, на которой находится Организация, или в иных аналогичных целях;

3.1.5. в целях реализации уставной деятельности Организации;

3.1.6. для предоставления отчетности Организации в соответствии с Федеральным законом «О некоммерческих организациях» и иными федеральными законами.

4. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Организация осуществляет обработку персональных данных на основе следующих принципов:

4.1.1. законности и справедливости;

4.1.2. обработки только тех персональных данных, которые отвечают целям их обработки;

4.1.3. соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

4.1.4. недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

4.1.5. обеспечения точности персональных данных, ик достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Организация принимает необходимые меры либо обеспечивает ик принятие по удалению или уточнению неполных или неточных данных;

4.1.6. хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

4.2. Получение и обработка персональных данных в случаях, предусмотренных законодательством Российской Федерации, осуществляется с согласия субъекта персональных данных. Согласие на обработку персональных данных дается субъектом персональных данных или его представителем поутвержденной в Организации форме.

4.3. Обработка сведений о состоянии здоровья осуществляется в соответствии с

Трудовым кодексом РФ, Федеральным законом «Об обязательном медицинском страховании в РФ», а также Федеральным законом «О персональных данных»;

4.4. Право доступа к персональным данным субъектов персональных данных на бумажных и электронных носителях имеют работники Организации в соответствии с ик должностными обязанностями.

4.5. Передача персональных данных субъектов персональных данных третьим лицам осуществляется Организацией в соответствии с требованиями действующего законодательства Российской Федерации.

4.6. Организация вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора.

4.7. Третья сторона, осуществляющая обработку персональных данных по поручению Организации, обязана соблюдать принципы и правила обработки персональных данных, обеспечивая ик конфиденциальность и безопасность в соответствии с требованиями Федерального закона «О персональных данных».

4.8. Срок обработки и хранения персональных данных определяется в соответствии с действующим законодательством и иными нормативными правовыми актами.

4.9. Организация обязана немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, если иное не предусмотрено действующим законодательством.

4.10. Организация имеет право на защиту своих прав и законных интересов в судебном порядке.

5. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И ФИЗИЧЕСКИХ ЛИЦ, ПРЕТЕНДУЮЩИХ НА ЗАНЯТИЕ ВАКАНТНЫХ ДОЛЖНОСТЕЙ

5.1. Все персональные данные работника или лица, претендующего на занятие вакантной должности в Организации (далее обе эти категории субъектов персональных данных именуются работниками) следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Организации о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

5.2. Организация не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных Трудовым кодексом РФ и иными федеральными законами. В случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

5.3. Работодатель обрабатывать персональные данные работников с их письменного согласия (Приложение Н1), за исключением случаев, предусмотренных действующим законодательством.

5.4. Персональные данные работников обрабатываются и хранятся в кадровой службе Организации.

5.5. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде – локальной компьютерной сети и компьютерной программе «1 С: Зарплата и кадры».

5.6. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

— о цели обработки персональных данных и ее правовое основание;

— о предполагаемых пользователях персональных данных;

— об установленных законодательством Российской Федерации правах субъекта персональных данных.

5.7. Сведения о работниках Организации хранятся на бумажных носителях в специально оборудованных шкафах и сейфах, которые запираются на ключ. Сведения о работниках располагаются в алфавитном порядке. Ключи от шкафов и сейфов, в которых хранятся сведения о работниках Организации, находятся в кадровой службе Организации.

5.8. Конкретные обязанности по хранению личных дел работников, заполнению, хранению и выдаче трудовых книжек (дубликатов трудовых книжек), иных документов, отражающих персональные данные работников, возлагаются на работников кадровой службы и закрепляются в трудовых договорах, заключаемых с ними, и должностных инструкциях.

5.9. В отношении некоторых документов действующим законодательством Российской Федерации могут быть установлены иные требования хранения, чем предусмотрено настоящей Политикой. В таких случаях следует руководствоваться правилами, установленными соответствующим нормативным актом.

5.10. Работодатель обеспечивает ограничение доступа к персональным данным работников лицам, не уполномоченным законом либо работодателем для получения соответствующих сведений.

5.11. Доступ к персональным данным работников без специального разрешения имеют следующие работники Организации

Руководитель Организации;

работники бухгалтерии;

руководители структурных подразделений Организации (доступ к персональным данным работников своего подразделения).

5.12. При получении сведений, составляющих персональные данные работника, указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций, заданий.

5.13. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

б. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ БЛАГОПОЛУЧАТЕЛЕЙ, БЛАГОТВОРИТЕЛЕЙ, ЧЛЕНОВ ОРГАНОВ УПРАВЛЕНИЯ, КОНТРАГЕНТОВ И ДОБРОВОЛЬЦЕВ

6.1. Организация получает персональные данные непосредственно от благополучателя, благотворителя, члена органа управления контрагента или добровольца.

6.2. Организация вправе обрабатывать персональные данные благополучателей (Приложение Н2), контрагентов (Приложение Н3), членов органов управления (Приложение Н4), благотворителей (Приложение Н5), добровольцев (Приложение Н 6) только с их письменного согласия за исключением случаев, предусмотренных действующим законодательством.

6.3. Персональные данные обрабатываются и хранятся у уполномоченных работников Организации.

6.4. Персональные данные благополучателей, благотворителей, контрагентов, членов органов управления, добровольцев могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде – локальной компьютерной сети.

6.5. Сведения о персональных данных в бумажном виде хранятся в железном сейфе.

6.6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъект персональных данных обладает правами, предусмотренными Федеральным законом «О персональных данных».

7.2. Субъект персональных данных вправе требовать от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.

7.3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

7.3.1. подтверждение факта обработки персональных данных Организацией;

7.3.2. правовые основания и цели обработки персональных данных;

7.3.3. применяемые Организацией способы обработки персональных данных;

7.3.4. наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или в соответствии с законодательством Российской Федерации;

7.3.5. перечень обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник ик получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;

7.3.6. сроки обработки персональных данных, в том числе сроки ик хранения;

7.3.7. порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации;

7.3.8. информацию о ранее осуществлённой или о предполагаемой трансграничной передаче персональных данных;

7.3.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;

7.3.10. иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

7.4. Если субъект персональных данных считает, что Организация осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов персональных данных и