Политика по обработке и защите персональных данных


Политика по обработке и защите персональных данных

Политика по обработке и защите персональных данных



1. Общие положения

1.1. Настоящая Политика по обработке и защите персональных данных (далее – «Политика») определяет основные цели, принципы и условия обработки персональных данных в Фонде поддержки научно-проектной деятельности студентов, аспирантов и молодых ученых «Национальное интеллектуальное развитие» (далее – «Фонд»), а также меры по обеспечению безопасности персональных данных в Фонде.

1.2. Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», иных федеральных законов, регулирующих вопросы обработки персональных данных, а также принятых во их исполнение подзаконных нормативных правовых актов.

1.3. Политика направлена на обеспечение прав и свобод человека и гражданина при обработке Фондом его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в соответствии с требованиями действующих нормативных правовых актов.

1.4. Политика обязательна для исполнения всеми работниками Фонда, участвующими в процессе обработки персональных данных.

1.5. Политика является общедоступной и подлежит размещению на официальном сайте Фонда.

1.6. В настоящей Политике используются следующие понятия:

Информация - сведения (сообщения, данные) независимо от формы их представления.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Цели и принципы обработки персональных данных

2.1. Персональные данные обрабатываются в Фонде в целях:

  • обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных и распорядительных актов Фонда;
  • осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Фонд, в том числе по предоставлению персональных данных в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
  • регулирования трудовых отношений с работниками Фонда (трудоустройство, обучение и продвижение по службе, обеспечение личной безопасности и иное);
  • предоставления работникам Фонда и членам их семей возможности получения дополнительного медицинского страхования;
  • защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
  • подготовки, заключения, исполнения и прекращения договоров с контрагентами;
  • обеспечения пропускного и внутриобъектового режимов в Фонде;
  • формирования справочных материалов для внутреннего информационного обеспечения деятельности Фонда;
  • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • осуществления прав и законных интересов Фонда в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными и распорядительными актами Фонда, или третьих лиц либо достижения общественно значимых целей;
  • в иных законных целях.

2.2. Обработка персональных данных в Фонде осуществляется на основе следующих принципов:

  • обработка осуществляется на законной и справедливой основе;
  • обработка ограничивается достижением конкретных заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только те персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка данных, избыточных по отношению к заявленным целям;
  • при обработке обеспечиваются точность и достаточность персональных данных, а в необходимых случаях и актуальность по отношению к целям обработки. Фонд принимает меры по удалению или уточнению неполных или неточных данных либо обеспечивает принятие таких мер;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Правовые основания обработки персональных данных

3.1. При разработке Политики были использованы следующие нормативные документы:

  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон Российской Федерации от 12.01.1996 N 7-ФЗ «О некоммерческих организациях»;
  • Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
  • Постановление Правительства Российской Федерации от 06.07.2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

4. Перечень обрабатываемых персональных данных

4.1. Фонд, являясь оператором персональных данных, осуществляет обработку персональных данных, принадлежащих, в том числе кандидатам на работу и работникам Фонда, бывшим работникам Фонда, членам семей работников Фонда; стажерам и практикантам; потенциальным контрагентам - физическим лицам, представителям потенциальных контрагентов; исполнителям по гражданско-правовым договорам; работникам контрагентов, субподрядчиков, поставщиков и других юридических лиц, имеющих договорные отношения с Фондом, с которым взаимодействуют работники Фонда в рамках своей деятельности; посетителям Фонда, участникам мероприятий, организованных Фондом; бенефициарным владельцам (физическим лицам) контрагентов Фонда; участникам конкурсов, выгодоприобретателям по грантам (далее – Субъекты персональных данных).

4.2. Перечень персональных данных, обрабатываемых в Фонде, определяется в соответствии с действующим законодательством Российской Федерации, локальными нормативными и распорядительными актами Фонда с учетом целей обработки персональных данных, указанных в пункте 2.1 Политики, а именно:

Субъекты персональных данных и перечень персональных данных, обрабатываемых в Фонде:

  • Кандидаты на работу: Фамилия, имя, отчество; возраст; гражданство; адрес регистрации, фактический адрес проживания; сведения о документе, удостоверяющем личность; семейное положение, ФИО супруга/супруги, детей, родителей, сведения об образовании, предыдущие места работ, контактные данные (телефон, факс, адрес электронной почты).
  • Работники Фонда: Фамилия, имя, отчество, дата и место рождения, гражданство; прежние фамилия, имя, иные измененные данные, дата и причина изменения; сведения о документе, удостоверяющем личность; сведения трудовой книжки и иные сведения, связанные с трудовой деятельностью; данные страхового свидетельства государственного пенсионного страхования; данные документов воинского учета; данные документов об образовании, о наличии специальных знаний, а также повышении квалификации и профессиональной переподготовке; сведения о сумме заработной платы, иных выплат и вознаграждений за два календарных года, предшествующих году прекращения работы с предыдущих мест работы; сведения свидетельства о постановке на учет физического лица в налоговом органе и иных справок, свидетельств из органов государственной налоговой службы; сведения о составе семьи (степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены); сведения медицинских заключений о состоянии здоровья; номера мобильного и домашнего телефонов; знание иностранных языков; адрес постоянной регистрации и места жительства.
  • Бывшие работники Фонда: Фамилия, имя, отчество; возраст; гражданство; адрес регистрации, фактический адрес проживания; сведения о документе, удостоверяющем личность; сведения о трудовой деятельности.
  • Члены семей работников Фонда: Фамилия, имя, отчество; дата рождения.
  • Стажеры и практиканты: Фамилия, имя, отчество; гражданство; адрес регистрации, фактический адрес проживания; сведения о документе, удостоверяющем личность; сведения об образовании; предыдущие места работ; контактные данные (телефон, факс, адрес электронной почты).
  • Потенциальные контрагенты – физические лица, их представители: Фамилия, имя, отчество; сведения о документе, удостоверяющем личность; свидетельство о постановке на учет в налоговом органе; данные страхового свидетельства государственного пенсионного страхования; документ об образовании и (или) о квалификации или наличии специальных знаний.
  • Исполнители по ГПД (ФЛ, привлекаемые в качестве исполнителей по договорам, а также кандидаты в исполнители на этапе планирования договора): Фамилия, имя, отчество; сведения о документе, удостоверяющем личность; свидетельство о постановке на учет в налоговом органе; данные страхового свидетельства государственного пенсионного страхования; документ об образовании и (или) о квалификации или наличии специальных знаний; контактные данные (телефон, факс, адрес электронной почты); банковские реквизиты.
  • Работники контрагентов, субподрядчиков, поставщиков и других юридических лиц, имеющих договорные отношения с Фондом, с которым взаимодействуют работники Фонда в рамках своей деятельности: Фамилия, имя, отчество; контактные данные (телефон, факс, адрес электронной почты).
  • Посетители Фонда, участники мероприятий, организованных Фондом: Фамилия, имя, отчество; гражданство; сведения о документе, удостоверяющем личность; место работы; контактные данные (телефон, факс, адрес электронной почты).
  • Бенефициарные владельцы (физические лица) контрагентов Фонда: Фамилия, имя, отчество; место работы.
  • Участники конкурсов, выгодоприобретатели по грантам: Фамилия, имя, отчество; гражданство; сведения о документе, удостоверяющем личность; сведения об образовании; контактные данные (телефон, факс, адрес электронной почты); банковские реквизиты.

4.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Фонде не осуществляется.

4.4. Работники Фонда, допущенные к обработке персональных данных, обязаны:

  • знать и неукоснительно выполнять положения законодательства Российской Федерации, локальных нормативных и распорядительных актов Фонда, регулирующих вопросы обработки персональных данных; настоящей Политики;
  • обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей; не разглашать персональные данные, обрабатываемые в Фонде;
  • сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
  • сообщать об известных фактах нарушения требований настоящей Политики Ответственному за организацию обработки персональных данных в Фонде, назначаемому Приказом Генерального директора Фонда.
5. Порядок и условия обработки персональных данных

5.1. Фонд осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

5.2. Обработка персональных данных в Фонде осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

5.3. Фонд не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.4. При обработке персональных данных Фонд принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.5. Фонд вправе поручить обработку персональных данных другому лицу на основании договора с согласия субъекта персональных данных. В договоре должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных.

6. Обеспечение безопасности персональных данных

6.1. Обеспечение безопасности персональных данных при их обработке в Фонде осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.

6.2. Безопасность персональных данных в Фонде обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.

6.3. Фонд предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

6.4. Меры защиты, реализуемые Фондом при обработке персональных данных, включают:

  • принятие локально-нормативных и распорядительных актов в области обработки и защиты персональных данных;
  • назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах Фонда;
  • организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в Фонде;
  • создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
  • организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
  • хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
  • обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
  • обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
  • обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
  • осуществление внутреннего контроля за соблюдением в Фонде законодательства Российской Федерации, локально-нормативных и распорядительных актов Фонда при обработке персональных данных.

6.5. Ответственность за нарушение требований законодательства Российской Федерации, локальных нормативных и распорядительных актов Фонда в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

7.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Фондом в порядке, предусмотренном законодательством Российской Федерации, а обработка устаревших данных прекращается.

7.2. Фонд предоставляет безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.

7.3. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • Фонд не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных законодательством о персональных данных или иными федеральными законами;
  • иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

Политика по обработке и защите персональных данных

Политика по обработке и защите персональных данных