Политика конфиденциальности
Утверждена Приказом Директора Ассоциации развития финансовой грамотности № 20/09-1 от 20 сентября 2019 г.
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Ассоциация развития финансовой грамотности (ИНН 7708349874, КПП 770801001, ОГРН 1197700006833), являясь Оператором, осуществляющим обработку персональных данных, обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личной и семейной тайн, и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее также закон «О персональных данных») и принятыми в соответствии с ним нормативными правовыми актами.
1.2. Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана в целях реализации требований законодательства и действует в отношении всех персональных данных, которые Оператор получает или может получить от субъектов персональных данных.
1.3. Политика распространяется на отношения по обработке персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.
1.4. Оператор публикует Политику в свободном доступе, размещая ее на своем официальном сайте в информационно-телекоммуникационной сети «Интернет».
1.5. Контроль за исполнением требований настоящей Политики осуществляется директором Ассоциации, являющимся уполномоченным лицом, ответственным за организацию обработки персональных данных Оператором.
1.6. Оператор вправе поручить обработку персональных данных третьим лицам. В договоры с лицами, которым Оператор поручает обработку персональных данных, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите персональных данных.
2. Правовые основания обработки персональных данных
2.1. Персональные данные получаются и обрабатываются Оператором на основании федеральных законов и иных нормативных правовых актов Российской Федерации, настоящей Политики Оператора, локальных нормативных актов Оператора; договоров, заключаемых между Оператором и субъектами персональных данных; а в необходимых случаях - при наличии письменного согласия субъекта персональных данных.
3. Состав обрабатываемых персональных данных и цели обработки персональных данных
3.1. Персональные данные - любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу (далее - субъект персональных данных).
3.2. Обработка персональных данных Оператором осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Оператор выступает в качестве работодателя (гл. 14 Трудового кодекса Российской Федерации), а также в связи с реализацией Оператором своих прав и обязанностей как юридического лица в соответствии с законодательством Российской Федерации.
3.2.1. В связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых Оператор выступает в качестве работодателя, обрабатываются персональные данные лиц, претендующих на трудоустройство у Оператора, работников Оператора (далее - Работники) и бывших Работников.
3.2.2. В связи с реализацией своих прав и обязанностей как юридического лица, Оператором обрабатываются персональные данные физических лиц, являющихся контрагентами (возможными контрагентами) Оператора по гражданско-правовым договорам, персональные данные руководителей, членов коллегиальных исполнительных органов и представителей юридических лиц, а также граждан, обращающихся к Оператору по вопросам его деятельности (в том числе по телефону, электронной почте).
3.3. Оператором не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено действующим законодательством Российской Федерации, по окончании обработки Оператором персональных данных, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Оператором персональные данные уничтожатся или обезличиваются.
3.4. Оператором не осуществляется обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), а также персональных данных специальных категорий (в том числе касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).
3.5. Оператором не проверяется достоверность персональных данных, предоставляемых субъектом персональных данных, однако субъект персональных данных обязуется предоставлять информацию в соответствии с требованиями п.4.5. настоящей Политики.
3.6. Персональные данные субъектов персональных данных, указанных в п.3.2.2. настоящей Политики, могут быть использованы в целях:
· идентификации субъекта персональных данных;
· предоставления субъекту персональных данных доступа к персонализированным ресурсам;
· установления с субъектом персональных данных обратной связи, включая направление уведомлений, запросов и заявок от субъекта персональных данных;
· определения места нахождения субъекта персональных данных для обеспечения безопасности, предотвращения мошенничества;
· подтверждения достоверности и полноты персональных данных, предоставленных субъектом персональных данных;
· создания учетной записи;
· предоставления информации субъекту персональных данных;
· предоставления субъекту персональных данных эффективной информационной и технической поддержки;
· предоставления субъекту персональных данных с его согласия, новостной рассылки и иных сведений;
· включение в списки (реестры) и отчетные формы;
· осуществления рекламной деятельности;
· осуществления иных действий, связанных с осуществлением уставной деятельности, в отношении субъекта персональных данных.
4. Принципы и условия обработки персональных данных
4.1. При обработке персональных данных Оператор обеспечивает безопасность персональных данных, в том числе путем предотвращения несанкционированного доступа к ним третьих лиц, предупреждения преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
4.2. Обработка персональных данных Оператором осуществляется на основе принципов:
· законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
· соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
· достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных избыточных по отношению к целям, заявленным при сборе персональных данных;
· недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
· хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
· уничтожения персональных данных либо обезличивания по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.
4.3. Обработка персональных данных осуществляется с согласия субъектов персональных данных (их представителей), если иное не предусмотрено законодательством Российской Федерации. Согласие субъектов персональных данных (их представителей) предоставляется в письменной форме согласно Приложению № 1 к настоящей Политике, в том числе путем заполнения электронной формы в личном кабинете.
4.4. Оператор обеспечивает:
· допуск к персональным данным только тех работников, которым это необходимо для исполнения должностных обязанностей, и обработку ими персональных данных в объеме, необходимом для выполнения указанных обязанностей;
· оборудование помещений, в которых обрабатываются персональные данные, замковыми устройствами, охранной сигнализацией и/или видеонаблюдением;
· выделение для приема посетителей зон ожидания, исключающих несанкционированный доступ к обрабатываемым персональным данным.
4.5. Обработка персональных данных субъекта персональных данных осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств, в соответствии с разделом 6 настоящей Политики, и может быть отозвано субъектом персональных данных (его представителем) на основании письменного заявления в соответствии с Приложением №5 к настоящей Политике.
4.6. Субъект персональных данных соглашается с тем, что Оператор вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациям почтовой связи и иным лицам исключительно в целях осуществления Оператором уставной деятельности.
4.7. Субъект персональных данных обязуется предоставить достоверную и полную информацию о себе и добросовестно поддерживать эту информацию в актуальном состоянии, своевременно внося соответствующие корректировки. Если субъект персональных данных предоставляет неверную информацию или у Оператора есть основания полагать, что предоставленная субъектом персональных данных информация не соответствует действительности, Оператор имеет право по своему усмотрению заблокировать либо удалить учетную запись субъекта персональных данных и отказать субъекту персональных данных в использовании своих сервисов, либо их отдельных функций. Оператор не несет ответственности перед субъектом персональных данных и/или третьими лицами в случае предоставления субъектом персональных данных недостоверной или неактуальной информации.
4.8. Субъект персональных данных обязуется ограничить доступ третьих лиц к своему личному кабинету у Оператора, а также добросовестно следить за соблюдением режима конфиденциальности в отношении информации об индивидуальном пароле его личного кабинета. Субъект персональных данных подтверждает, что Оператор не несет ответственности, за прямые или косвенные убытки, которые были причинены в результате доступа третьих лиц к личному кабинету субъекта персональных данных. Поддержание безопасности личного кабинета, а также регулярное превентивное обновление индивидуального пароля являются обязанностями субъекта персональных данных.
4.9. Субъект персональных данных несет ответственность перед третьими лицами за свои действия, связанные с заключением договора, обращением или иным взаимодействием с Оператором, в том числе, если такие действия приведут к нарушению прав и законных интересов третьих лиц. Предъявление регрессных требований к Оператору, в связи с нарушением субъектом персональных данных прав и законных интересов третьих лиц, не допускается.
5. Права и обязанности Оператора и субъекта персональных данных
5.1. Оператор персональных данных имеет право:
· принимать локальные нормативные акты в развитие настоящей Политики;
· предоставлять персональные данные субъектов третьим лицам, в случаях, предусмотренных действующим законодательством (налоговые, правоохранительные органы и др.);
· отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
· предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу персональных данных;
· использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством;
· привлекать к дисциплинарной ответственности работников Оператора, к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных;
· отстаивать свои интересы в суде.
5.2. Оператор персональных данных обязан:
· принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
5.3. Субъект персональных данных имеет право:
· получать информацию, касающуюся обработки его персональных данных Оператором, в том числе о сроках обработки и об источниках их получения;
· требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
· требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
· обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
· отозвать свое согласие на обработку персональных данных.
6. Порядок и условия обработки персональных данных
6.1. Обработка персональных данных Оператором производится в соответствии с требованиями законодательства Российской Федерации и локальных нормативных актов Оператора работниками структурных подразделений Оператора и иных организаций, осуществляющими такую обработку, на основании договоров на оказание соответствующих услуг Оператору.
6.2. Обработка персональных данных Оператором включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.3. Обработка персональных данных субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники), в том числе, путем:
· получения оригиналов необходимых документов;
· копирования оригиналов документов;
· внесения сведений в учетные формы на бумажных и электронных носителях;
· формирования персональных данных в ходе кадровой работы;
· внесения персональных данных в информационные системы.
6.4. Сбор, запись, систематизация, накопление (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (их представителей).
6.5. Оператор имеет право создавать в качестве источников персональных данных информационные системы, обрабатывающие персональные данные, в том числе следующие информационные системы:
· корпоративная электронная почта;
· система электронного документооборота;
· система поддержки рабочего места субъекта персональных данных;
· система нормативно-справочной информации;
· система контроля удаленным доступом;
· личный кабинет;
· корпоративный сайт и информационные порталы.
6.6. При обработке персональных данных субъекта персональных данных работники Оператора, осуществляющие обработку персональных данных, должны соблюдать следующие требования:
· не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом;
· предупредить лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности;
· разрешать доступ к персональным данным субъекта персональных данных только лицам, определенным приказом Оператора, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
· не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
· передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.
7. Обеспечение безопасности персональных данных
7.1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от несанкционированного (в том числе случайного) доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
К таким мерам, в частности, относятся:
7.1.1. издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, ознакомление работников с настоящей Политикой и требованиями законодательства РФ по обработке и обеспечению безопасности персональных данных;
7.1.2. назначение лица/лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах Оператора;
7.1.3. проведение методической работы с работниками, осуществляющими обработку персональных данных, ограничение и разграничение доступа работников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
7.1.4. обеспечение физической безопасности помещений и средств обработки персональных данных, пропускной режим, охрана, видеонаблюдение;
7.1.5. создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные, применение средств обеспечения безопасности (антивирусных средств, средств защиты от несанкционированного доступа, средств криптографической защиты информации и др.), в том числе прошедших процедуру оценки соответствия в установленном порядке, резервное копирование информации для возможности восстановления;
7.1.6. хранение и защита персональных данных, как на бумажных, так и на электронных (автоматизированных) носителях информации, с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним, исключающие их неправомерное использование, хищение, подмену, несанкционированное копирование и уничтожение,
7.1.7. обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
7.1.8. обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
7.1.9. установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных Оператором мер по обеспечению безопасности персональных данных;
7.1.10. осуществление внутреннего контроля за соблюдением законодательства Российской Федерации и локальных нормативных актов Оператора при обработке персональных данных установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
8. Ответы на запросы субъектов на доступ к персональным данным.
Актуализация, исправление, удаление и уничтожение персональных данных
8.1. Оператор по письменному запросу субъекта персональных данных или его представителя сообщает информацию о наличии персональных данных, относящихся к субъекту персональных данных, в соответствии с частью 7 статьи 14 закона «О персональных данных». По письменному запросу субъекта персональных данных или его представителя Оператор знакомит субъекта персональных данных или его представителя с этими персональными данными в течение тридцати дней с даты получения запроса.
8.1.1. Запрос должен содержать данные основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.
8.1.2. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
8.1.3. Сведения предоставляются Оператором в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
8.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 закона «О персональных данных» в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
8.3. Оператор при обращении (запросе) субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, вносит в них необходимые изменения.
8.4. Оператор при обращении (запросе) субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уничтожает такие персональные данные.
8.5. Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
8.6. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
8.7. Формы запросов (обращений) субъектов персональных данных и их представителей приведены в приложениях к настоящей Политике.
8.8. Оператором не обрабатываются запросы, связанные с передачей или разглашением персональных данных, поступившие по телефону или факсу, ввиду отсутствия возможности идентифицировать личность субъекта персональных данных. Первичный учет поступивших запросов от субъектов персональных данных осуществляется в соответствии с правилами внутреннего документооборота Оператора.
8.9. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
8.9.1. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законом «О персональных данных» или другими федеральными законами.
8.9.2. В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
8.9.3. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 закона «О персональных данных».
9. Заключительные положения
9.1. Настоящая Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите персональных данных или внесения изменений в действующие нормативные правовые акты.
9.2. Персональные данные относятся к конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, определенного законодательством.
9.3. Политика утверждается и вводится в действие приказом Директора Оператора и является обязательной для исполнения всеми работниками, имеющими доступ к персональным данным субъектов персональных данных.
9.4. Оператор вправе вносить изменения в настоящую Политику без согласия и уведомления субъектов персональных данных. Подобные изменения вступают в силу со дня их опубликования на сайте Оператора в информационно-телекоммуникационной сети «Интернет». Субъект персональных данных обязан своевременно знакомиться с вносимыми изменениями и подтверждает свою ответственность за последствия несвоевременного ознакомления с ними.
9.5. Лица, виновные в нарушении правил обработки персональных данных и требований к защите персональных данных работника, установленных действующим законодательством Российской Федерации и настоящей Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.