Политика в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных
I. Общие положения
1.1. Политика разработана Краснодарской региональной благотворительной общественной организацией «Добрый-Юг» (ОГРН 1142300003889, юридический адрес: 350089, г. Краснодар, проспект Чекистов, д.10, помещение 24, далее – Организация) с целью детального описания подхода Организации к обработке персональных данных пользователей сайта Организации, которые она собирает, хранит и обрабатывает иными способами, а также обеспечению безопасности персональных данных.
1.2. Обрабатывая персональные данные, Организация выступает в качестве оператора персональных данных и руководствуется требованиями законов и иных нормативных правовых актов Российской Федерации в области защиты информации и персональных данных, в частности, Федерального закона от 27 июля 2007 года № 152-ФЗ «О персональных данных».
1.3. Политика Организации в отношении обработки персональных данных применяется ко всей информации, которую Организация может получить о посетителях веб-сайта Организации.
1.4. При совершении действий на сайте Организации предоставление персональных данных не требуется, а также Организация не совершает обработку персональных данных, за исключением сведений, собираемых автоматически (сбор и обработка обезличенных данных о посетителях сайта (в т.ч. файлов «cookie») с помощью сервисов Интернет-статистики (Яндекс Метрика и Гугл Аналитика и других). Некоторые из функций сайта Организации возможно использовать, только если Организация будет обрабатывать персональные данные субъекта персональных данных – пользователя. В любом случае Организация будет обрабатывать только персональные данные, которые предоставляет субъект персональных данных или уполномоченное субъектом персональных данных лицо, за исключением сведений, собираемых автоматически.
1.5. В Политике используются следующие термины:
— автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
— блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— сайт Организации – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://xn—-9sbhb0a2ap2g3a.xn--p1ai/, а также иным адресам, включающим «добрый-юг.рф»;
— доступ к персональным данным – ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Организацией, при условии сохранения конфиденциальности этих сведений;
— распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным
данным каким-либо иным способом;
— информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
— конфиденциальность персональных данных – обязанность лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;
— обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю сайта Организации;
— Пользователь – любой посетитель сайта Организации;
— предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья;
— трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
— уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
II. Принципы обработки персональных данных
2.1. Обработка персональных данных Организацией осуществляется в соответствии со следующими принципами:
2.2. Законность и справедливая основа обработки персональных данных. Организация принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством и не требуется для достижения определенных Организацией целей, не использует персональные данные во вред субъектам таких данных.
2.3. Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей.
2.4. Обработка только тех персональных данных, которые отвечают заранее объявленным целям их обработки; соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки; недопущение обработки персональных данных, не совместимой с целями сбора персональных данных, а также избыточных по отношению к заявленным целям обработки персональных данных.
2.5. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
2.6. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Организация принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая реализацию права каждого субъекта получать для ознакомления свои персональные данные и требовать от Организации их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки без объяснения причин такого требования.
2.7. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных, а также согласием субъекта персональных данных на обработку данных.
2.8. Уничтожение или обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Организацией допущенных нарушений установленного законодательством порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, истечении срока обработки персональных данных, установленных согласием на обработку персональных данных, если иное не предусмотрено законодательством или договорами с субъектами персональных данных.
III. Категории и перечень обрабатываемых персональных данных
3.1. Организация осуществляет обработку следующих персональных данных пользователей:
3.1.1. Фамилия, имя, отчество (категория: общие);
3.1.2. Адрес электронной почты (категория: общие);
3.1.3. Телефонный номер (категория: общие);
3.1.4. Данные о банковской карте: неполный номер карты, срок действия, тип карты, категория (категория: общие);
3.1.5. Почтовый адрес (категория: общие);
3.1.6. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других) (категория: общие).
IV. Цели обработки персональных данных
4.1. Персональные данные обрабатываются следующим образом:
Цель | Персональные данные | Категория | Срок обработки | Порядок уничтожения |
---|---|---|---|---|
Информирование посредством отправки электронных писем о благотворительной деятельности Организации | Фамилия, имя, адрес электронной почты | Общие | До достижения цели или отзыва согласия на обработку | Удаление из базы данных Организации |
Заключение и исполнения договоров, в том числе уведомление об использовании пожертвования | Фамилия, имя, отчество, адрес электронной почты, телефонный номер, данные о банковской карте: неполный номер карты, срок действия, тип карты, категория | Общие | До достижения цели или отзыва согласия на обработку | Удаление из базы данных Организации |
Обеспечение работы сайта Организации | IP-адрес, данные о местоположении, cookie-файлы | Общие | До достижения цели или отзыва согласия на обработку | Удаление из базы данных Организации и сервисов интернет статистики |
V. Условия и правовые основания обработки персональных данных
5.1. Обработка Персональных данных Организации допускается при наличии согласия Пользователя на обработку его персональных данных. Согласие дается путем заполнения форм (отправления данных) на сайте Организации, а также активации чекбокса «Согласен с условиями политики конфиденциальности», «Соглашаюсь на обработку персональных данных» или с иным аналогичным содержанием. Совершая указанные действия по отправке своих персональных данных Организации, Пользователь выражает свое согласие с данной Политикой.
5.2. Организация обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
5.3. Организация не раскрывает третьим лицам и не распространяет персональные данные без согласия Пользователя, если иное не предусмотрено законодательством Российской Федерации.
5.4. Организация не обрабатывает специальные категории персональных данных, биометрические персональные данные.
5.5. Трансграничная передача персональных данных на территории иностранных государств может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных. Организация до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных. В целях обработки данных системой Google Analytics Пользователь принимает тот факт, что серверы Google расположены в разных регионах мира, из-за чего информация конкретного Пользователя может обрабатываться не в той стране, в которой он проживает, и соглашается на трансграничную передачу данных Google и ее аффилированным лицам, а также сбор данных с использованием баз данных, находящихся за пределами Российской Федерации.
VI. Способы обработки персональных данных
6.1. Организация осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств. Политика распространяется в полном объеме на обработку персональных данных с использованием средств автоматизации, а при обработке персональных данных без использования средств автоматизации – только на те случаи, когда такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
6.2. При обработке персональных данных Организация совершает следующие действия (операции) с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
VII. Конфиденциальность персональных данных
7.1. Работниками Организации, получившими доступ к персональным данным, должна быть обеспечена конфиденциальность таких данных. Обеспечение конфиденциальности не требуется в отношении персональных данных, в части которых получено согласие на их распространение и данных, прошедших процедуру обезличивания.
7.2. Для обеспечения конфиденциальности персональных данных Организация принимает и будет принимать технические, юридические и организационные меры безопасности, в частности:
— назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
— принятие локальных нормативных актов в отношении обработки персональных данных;
— предоставление неограниченного доступа к настоящей Политике;
— заключение договоров с лицами, обрабатывающими персональные данные по поручению Организации в соответствии с требованиями Федерального закона «О персональных данных»;
— ограничение состава лиц, имеющих доступ к персональным данным;
— ознакомление субъектов с требованиями федерального законодательства и локальных нормативных актов Организации по обработке и защите персональных данных;
— организация учета, хранения и обращения носителей информации;
— определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
— разработка на основе модели угроз системы защиты персональных данных;
— проверка готовности и эффективности использования средств защиты информации;
— регистрация и учет действий пользователей информационных систем персональных данных;
— использование антивирусных средств и средств восстановления системы защиты персональных данных;
— использование для передачи персональных данных учтенных носителей информации (съемные жесткие диски, flash-карты и др.);
— запрещение работникам Организации ввод персональных данных в информационные системы под диктовку, а также обработка персональных данных в присутствии лиц, не допущенных к их обработке;
— расположение мониторов ПЭВМ таким образом, чтобы исключать возможность просмотра персональных данных, отображаемых на экране, лицами, не допущенными к обработке персональных данных.
Организация принимает и другие необходимые юридические, организационные и технические меры по защите персональных данных от незаконного или случайного доступа, уничтожения, изменения, блокирования, копирования, передачи, распространения, а также других незаконных действий в отношении персональных данных, в частности, меры, предусмотренные Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных» и другими нормативными правовыми актами.
7.3. В случае утечки персональных данных Пользователей Организация:
— в течение 24 часов уведомляет об этом Роскомнадзор;
— в течение 72 часов проводит собственное расследование и уведомляет Роскомнадзор о его результатах.
VIII. Срок обработки персональных данных
8.1. Обработка Организацией персональных данных осуществляется в течение срока необходимого для достижения целей обработки персональных данных. После достижения целей обработки персональных данных Фонд прекратит обработку и удалит (уничтожит) персональные данные в течение 30 (тридцати) дней, за исключением случаев, когда законодательство требует это сделать в более короткий срок.
8.2. Пользователь (субъект персональных данных) вправе в любой момент отозвать согласие на обработку персональных данных и потребовать их удаления (уничтожения) путем направления уведомления по электронной почте kroo23@mail.ru или по адресу местонахождения Организации: 350089, г. Краснодар, проспект Чекистов, д.10, помещение 24. В случае направления субъектом персональных данных уведомления об отзыве согласия на обработку персональных данных Организация прекращает обработку персональных данных, осуществляет их удаление (уничтожение) (в случаях, когда согласие является единственным законным основанием для обработки Персональных данных).
IX. Сайты и сервисы третьих лиц
9.1. Сайт Организации может содержать ссылки на сайты и приложения третьих лиц (например, социальные сети «ВК» и другие), в то же время сторонние сайты и приложения также могут отсылать к сайту Организации. Организация не имеет отношения и не несет ответственности за обработку персональных данных Пользователя (субъекта персональных данных) на таких сторонних сайтах и приложениях, а также за политики и практики, применяемые их владельцами, администраторами и другими лицами, в отношении обработки персональных данных пользователей сторонних сайтов.
X. Права Пользователя (субъекта персональных данных)
10.1. Субъект персональных данных в отношении обработки персональных данных Организацией вправе:
— отозвать согласие на обработку своих персональных данных Организацией;
— требовать от Организации уточнения, исключения или исправления неточных, неверных, устаревших и неполных персональных данных;
— требовать от Организации блокирования и уничтожения персональных данных, являющихся незаконно полученными или не являющимися необходимыми для заявленных Организацией целей;
— получать доступ к своим персональным данным и, в частности, получать от Организации следующие сведения: категории обрабатываемых персональных данных; цели обработки персональных данных; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ (за исключением работников Организации); перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; иные сведения в соответствии с действующим законодательством Российской Федерации;
— осуществлять иные права в сфере защиты персональных данных, предусмотренные действующим российским законодательством. Для осуществления своих прав Пользователь (субъект персональных данных) направляет уведомление, запрос или обращение по электронной почте kroo23@mail.ru или по адресу местонахождения Организации: 350089, г. Краснодар, проспект Чекистов, д.10, помещение 24.
10.2. Любые разъяснения по интересующим вопросам, касающимся обработки персональных данных, можно получить, обратившись к Организации с помощью электронной почты kroo23@mail.ru или по адресу местонахождения Организации: 350089, г. Краснодар, проспект Чекистов, д.10, помещение 24. Организация не рассматривает анонимные обращения. При получении обращения Организация также может попросить подтвердить личность субъекта персональных данных (путем предоставления паспортных данных) до направления ответа на обращение.
10.3. В течение 10 (десяти) дней Организация направляет Пользователю ответ на полученное обращение.
10.4. В данном документе будут отражены любые изменения политики обработки персональных данных Организацией. Политика действует бессрочно до замены ее новой версией.
10.5. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу добрый-юг.рф.