Политика в отношении обработки персональных данных

Приложение

УТВЕРЖДЕНО

Приказом № 17-ОД

от 20.11.2023

ПОЛИТИКА

обработки персональных данных в

Благотворительном фонде помощи семьям духовенства

1. Общие положения

1.1. Настоящая политика обработки персональных данных в Благотворительном фонде помощи семьям духовенства (далее — Политика) разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, оператором которых является Благотворительный фонд помощи семьям духовенства (далее – Фонд, Оператор), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2 Правовым основанием обработки персональных данных являются:

— Трудовой кодекс Российской Федерации,

— Устав Фонда;

— договоры, заключаемые между Оператором и субъектом персональных данных;

— согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

1.3. В Политике используются следующие термины:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения
 в порядке, предусмотренном Законом о персональных данных; 

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Биометрические персональные данные – сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, которые используются оператором для установления личности субъекта персональных данных;

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

Контрагент – юридическое лицо; индивидуальный предприниматель; физическое лицо (в том числе являющееся налогоплательщиком налога на профессиональный доход), договоры с которыми заключены или могут быть заключены.

Сайт – сайт Фонда в сети Интернет https://bfst.ru.

1.4. Политика действует в отношении всех персональных данных, обрабатываемых Фондом с использованием средств автоматизации, а также без использования таких средств.

1.5. Политика распространяется на отношения в области обработки персональных данных, возникшие у Фонда как до, так и после утверждения Политики.

1.6. Политика является общедоступной и подлежит публикации в информационно-телекоммуникационной сети «Интернет» на сайте.

1.7. Обработка персональных данных в Фонде основана на следующих принципах:

обработка должна осуществляться на законной и справедливой основе;

обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

соответствия содержания и объема обрабатываемых персональных данных целям обработки персональных данных;

точности персональных данных, их актуальности и достаточности для целей обработки персональных данных, недопустимости обработки избыточных по отношению к целям обработки персональных данных;

ограничения обработки персональных данных достижением конкретных и законных целей, запрета обработки персональных данных, несовместимой с целями сбора персональных данных;

запрета объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

осуществления хранения персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством Российской Федерации. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено действующим законодательством.

1.8. В соответствии с принципами обработки персональных данных определены цели обработки персональных данных:

— исполнение обязанностей Оператора как работодателя, в соответствии
 с законодательством Российской Федерации;

— исполнение обязательств по договорам и соглашениям гражданско-правового характера;

— осуществление деятельности, предусмотренной уставом Фонда;

— предоставление отчетности Фондом, в соответствии с законодательством Российской Федерации о деятельности некоммерческих организаций.

2. Порядок и условия обработки персональных данных

2.1. Обработка персональных данных осуществляется Оператором в соответствии
 с требованиями законодательства Российской Федерации.

2.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных. В случаях, когда субъектом персональных данных является несовершеннолетнее лицо, обработка осуществляется с согласия его родителей (законных представителей).

2.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

2.4. Оператор сообщает субъекту персональных данных о целях получения персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта персональных данных дать письменное согласие на их получение.

2.5. Документы, содержащие персональные данные, создаются путем:

— копирования оригиналов документов;

— внесения сведений в учетные формы.

2.6. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

2.7. К обработке персональных данных допускаются работники Оператора,
 в должностные обязанности которого входит обработка персональных данных.

2.8. При обработке персональных данных Оператор совершает следующие действия (операции) с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.9. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено Законом
 о персональных данных.

2.10. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с действующим законодательством Российской Федерации.

2.11. Персональные данные, зафиксированные на бумажных носителях, хранятся
 в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

2.12. При автоматизированной обработке персональных данных не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах информационных систем.

2.13. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

2.14. Лица, ответственные за обработку персональных данных, прекращают их обрабатывать:

— при достижении целей обработки персональных данных;

— истечения срока действия согласия;

— отзыве субъектом персональных данных своего согласия на обработку персональных данных, при отсутствии правовых оснований для продолжения обработки без согласия;

— выявлении неправомерной обработки персональных данных.

2.15. Передача персональных данных осуществляется Оператором только в следующих случаях:

— субъект персональных данных дал свое согласие на такие действия;

— передача персональных данных осуществляется в соответствии с требованиями законодательства Российской Федерации в рамках установленной процедуры;

2.16. Оператор не осуществляет трансграничной передачи персональных данных.

2.17. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной по которому является субъект персональных данных.

2.18. Решение об уничтожении документов (носителей), содержащих персональные данные, принимается комиссией, состав которой утверждается приказом Президента Фонда. Факт уничтожения персональных данных подтверждается документально актом
 об уничтожении документов (носителей), подписанным членами комиссии.

2.19. Уничтожение документов (носителей), содержащих персональные данные, производится механическим методом (шредированием).

2.20. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования.

3. Объем и категории обрабатываемых персональных данных,

категории субъектов персональных данных

3.1. Категории субъектов персональных данных, чьи данные обрабатываются Оператором:

3.1.1. Работники Оператора, бывшие работники, кандидаты на трудоустройство (далее – работники), а также члены семей указанных лиц;

3.1.2. Физические и юридические лица, осуществляющие благотворительную деятельность (благотворители);

3.1.3. Физические лица, являющиеся получателями благотворительных пожертвований (благополучатели), в том числе физические лица, указанные в заявлениях, согласиях;

3.1.4. Физические и юридические лица, с которыми заключены договоры гражданско-правового характера.

3.2. В отношении работников (за исключением членов семей) обрабатываются:

− фамилия, имя, отчество;

− дата рождения;

− место рождения;

− адрес регистрации;

− адрес фактического места жительства;

− гражданство;

− серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;

− образование, квалификация;

− серия и номер документа об образовании/квалификации, сведения о выдаче указанного документа и выдавшем его образовательном учреждении;

− сведения о повышении квалификации, о профессиональной переподготовке;

− сведения о трудовой деятельности;

− профессия, должность;

− стаж работы;

− сведения о семейном положении, наличии детей;

− данные страхового свидетельства государственного пенсионного страхования;

− идентификационный номер налогоплательщика;

− сведения о доходах (за 2 предыдущих года для расчета пособий);

− сведения о воинском учете;

− сведения о наградах (поощрениях), почетных званиях;

− сведения о социальных гарантиях;

− сведения о состоянии здоровья, влияющие на выполнение трудовой функции;

− банковские реквизиты счета;

− сведения о заработной плате;

− содержание трудового договора;

− контактный телефон;

− адрес электронной почты.

3.3. Персональные данные членов семей работников обрабатываются в объеме, переданном работником и необходимом для предоставления гарантий и компенсаций работнику, предусмотренных трудовым законодательством:

− фамилия, имя, отчество;

− дата рождения;

− место рождения;

− серия и номер документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;

− серия и номер свидетельства о рождении ребенка, сведения о выдаче указанного документа и выдавшем его органе;

− серия и номер свидетельства о заключении брака, сведения о выдаче указанного документа и выдавшем его органе.

3.4. В отношении физических лиц, осуществляющих благотворительную деятельность, обрабатываются:

− фамилия, имя, отчество;

− дата рождения;

− адрес регистрации;

− адрес фактического места жительства;

− гражданство;

− серия и номер документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;

− данные страхового свидетельства государственного пенсионного страхования;

− идентификационный номер налогоплательщика;

− банковские реквизиты счета;

− контактный телефон;

− адрес электронной почты.

3.4.1. Дополнительно для индивидуальных предпринимателей:

− адрес регистрации ИП;

− почтовый адрес;

− ОГРНИП;

− ОКПО.

3.5. В отношении представителей юридических лиц, осуществляющих благотворительную деятельность, обрабатываются:

− фамилия, имя, отчество;

− дата рождения;

− место рождения;

− адрес регистрации;

− контактный телефон;

− адрес электронной почты;

− серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;

− сведения о документе, который подтверждает полномочия представителя.

3.6. В отношении физических лиц, являющихся получателями благотворительных пожертвований (благополучателей), обрабатываются:

− фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества,
 в случае их изменения);

− число, месяц, год рождения;

− место рождения;

− информация о гражданстве;

− вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

− данные страхового свидетельства государственного пенсионного страхования;

− идентификационный номер налогоплательщика;

− документы, подтверждающие статус священнослужителя и его место служения;

− сведения о периоде нахождения в священном сане и на месте служения;

− сведения о доходах семьи;

− сведения о семейном положении, наличии детей;

− номер контактного телефона и/или сведения о других способах связи;

− сведения о здоровье и диагнозе.

3.7. В отношении физических лиц, с которыми заключены договоры гражданско-правового характера, обрабатываются:

− фамилия, имя, отчество;

− дата рождения;

− адрес регистрации;

− адрес фактического места жительства;

− гражданство;

− серия и номер документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;

− данные страхового свидетельства государственного пенсионного страхования;

− идентификационный номер налогоплательщика;

− банковские реквизиты счета;

− контактный телефон;

− адрес электронной почты.

3.7.1. Дополнительно для индивидуальных предпринимателей:

− адрес регистрации ИП;

− почтовый адрес;

− ОГРНИП;

− ОКПО.

3.8. В отношении представителей юридических лиц, с которыми заключены договоры гражданско-правового характера, обрабатываются:

− фамилия, имя, отчество;

− дата рождения;

− место рождения;

− адрес регистрации;

− контактный телефон;

− адрес электронной почты;

− серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;

− сведения о документе, который подтверждает полномочия представителя.

4. Основные права субъекта персональных

данных и обязанности Оператора

4.1. Субъект персональных данных, согласно законодательству Российской Федерации, имеет право:

− на получение информации, касающейся обработки своих персональных данных;

− на уточнение своих персональных данных, их блокирование или уничтожение, если персональные данные являются неполными, незаконно полученными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки;

− на доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;

— на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке

− на осуществление иных прав, предусмотренных законодательством Российской Федерации.

4.2. В соответствии с требованиями действующего законодательства Оператор обязан:

− при сборе персональных данных предоставить информацию об обработке персональных данных;

− принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных;

− принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

− обеспечить правомерность обработки персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок,
 не превышающий 10 (десять) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить или обеспечить их уничтожение;

− при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа.

5. Меры, применяемые для защиты персональных данных

5.1. В соответствии с требованиями законодательства Российской Федерации для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, технической и организационной защиты.  

5.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, во исполнение политики Фонда в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

5.3. Подсистема технической защиты включает в себя организацию работы
 с информационными системами, в которых обрабатываются персональные данные, установление индивидуальных паролей доступа работников в информационную систему
 в соответствии с их должностными обязанностями, использование сертифицированного антивирусного программного обеспечения.

5.4. Основными организационными мерами защиты персональных данных являются:

— назначение лиц, ответственных за организацию обработки персональных данных;

— создание необходимых условий для работы с персональными данными;

— организация учета документов, содержащих персональные данные;

— хранение персональных данных в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

— осуществление внутреннего контроля.

6. Актуализация, исправление, удаление, уничтожение персональных данных,

ответы на запросы субъектов на доступ к персональным данным

6.1. Подтверждение факта обработки персональных данных, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в части 7 статьи 14 Закона о персональных данных, предоставляются субъекту персональных данных или его представителю в течение 10 (десяти) рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператор направляет субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Оператор предоставляет сведения, указанные в части 7 статьи 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. 

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет (актуализирует, исправляет) персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

6.4. Условия и сроки уничтожения персональных данных Оператором:

— достижение цели обработки персональных данных либо утрата необходимости достигать эту цель — в течение 30 (тридцати) дней;

— достижение максимальных сроков хранения документов, содержащих персональные данные, — в течение 30 (тридцати) дней;

— предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, — в течение 7 (семи) рабочих дней;

отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, — в течение 30 (тридцати) дней.

Я хочу пожертвовать

Часто задаваемые вопросы