Политика конфиденциальности

ПУБЛИЧНАЯ ПОЛИТИКА ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

ПУБЛИЧНАЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Общественной организации «Центр развития добровольчества «Мой город» г.о.г. Арзамас Нижегородской области

1. Общие положения

1.1. Публичная политика обработки персональных данных Общественной организации «Центр развития добровольчества «Мой город» г.о.г. Арзамас Нижегородской области (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет принципы обработки и обеспечения безопасности персональных данных в Общественной организации «Центр развития добровольчества «Мой город» г.о.г. Арзамас Нижегородской области (далее – Организация).
1.2. Действие Политики распространяется на все процессы обработки персональных данных Организации, как с использованием средств автоматизации, так и без использования таких средств, а также на информационные системы Организации, используемые в процессах обработки персональных данных (в том числе, обработка персональных данных, полученных Организацией через сайт https://црдмойгород.рф).
1.3. Организация обязана:
1.3.1. соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, кроме случаев, установленных федеральными законами РФ;
1.3.2. при сборе персональных данных предоставить субъекту данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон о персональных данных);
1.3.3. при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в Законе о персональных данных.
1.4. Субъект персональных данных имеет право:
1.4.1. запросить информацию, касающуюся обработки его персональных данных, в том числе содержащую:
·подтверждение факта обработки персональных данных Организацией;
·правовые основания и цели обработки персональных данных;
·применяемые оператором способы обработки персональных данных;
·наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федеральных законов РФ;
·обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами РФ;
·сроки обработки персональных данных, в том числе сроки их хранения;
·порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
·наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
·информацию о способах исполнения оператором обязанностей, установленных Законом о персональных данных;
·иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами РФ;
1.4.2. требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
1.4.3. на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.5. Организация имеет право:
1.5.1. отстаивать свои интересы в суде;
1.5.2. предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
1.5.3. отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством РФ;
1.5.4. использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством РФ.
1.6. Настоящая Политика размещается https://црдмойгород.рф/konfid.
1.7. Организация вправе в одностороннем порядке внести изменения в настоящую Политику, которые вступают в силу по истечении 14 (четырнадцати) календарных дней с момента опубликования новой Политики на сайте Организации (https://црдмойгород.рф).

2.Цели сбора персональных данных

2.1. К целям обработки персональных данных Организации относятся:
2.1.1. обеспечение соблюдения трудового законодательства и иных нормативно-правовых актов РФ при содействии в трудоустройстве, обучении и продвижении по работе, обеспечении личной безопасности работников, текущей трудовой деятельности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Организации;
2.1.2. содействие в решении проблемы, для решения которой благополучатель обратился в Организацию;
2.1.3. участие в добровольческих (волонтерских) мероприятиях, анализ развития добровольческой (волонтерской) деятельности в субъекте Российской Федерации (на территории деятельности Организации) и формирование на его основе аналитической и статистической информации;
2.1.4. сбор и систематизация информации о добровольческой (волонтерской) деятельности, создание актуальной базы физических лиц (волонтеров), непосредственно участвующих и предполагающих участие в проведении добровольческих (волонтерских) мероприятий, предоставление сведений о добровольческой (волонтерской) деятельности, включающих информацию о личной электронной книжке волонтера, количестве часов, затраченных на добровольческую (волонтерскую) деятельность, компетенциях добровольцев (волонтеров) и полученном ими опыте, возможность поиска добровольцев (волонтеров) и их привлечения к деятельности общественных и государственных организаций, инициативных групп граждан, а также организаторов добровольческой (волонтерской) деятельности, своевременного информирования волонтера о предстоящих мероприятиях посредством СМС и e-mail рассылок, анализ развития добровольческой (волонтерской) деятельности в субъекте Российской Федерации (на территории деятельности Организации) и формирование на его основе аналитической и статистической информации, сбор и систематизация информации о добровольческой (волонтерской) деятельности;
2.1.5. исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
2.1.6. заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами РФ.

3. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных являются:
3.1. совокупность нормативно-правовых актов, во исполнение которых и в соответствии с которыми Организация осуществляет обработку персональных данных: Конституция Российской Федерации; Трудовой кодекс Российской Федерации; Гражданский кодекс Российской Федерации; Федеральный закон от 11.08.1995 № 135-ФЗ «О благотворительной деятельности и добровольчестве (волонтерстве)»;
3.2. уставные документы и локальные нормативные акты Организации;
3.3. договоры, заключаемые между Организацией и субъектом персональных данных;
3.4. согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям Организации), которые Организация получает путем их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте http://црдмойгород.рф. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

4. Цели, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Цели, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, сроки и способы их обработки и уничтожения содержатся в Приложении № 1 к Политике.
4.2. В Организации не осуществляется обработка специальных категорий персональных данных и биометрических персональных данных. При необходимости обработка таких персональных данных осуществляется только с письменного согласия субъекта персональных данных.

5. Порядок и условия обработки персональных данных

5.1. Организация осуществляет обработку персональных данных - операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. Обработка персональных данных Организацией ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
Обработка персональных данных в Организации осуществляется как автоматизированным способом в информационных системах персональных данных, так и без использования средств автоматизации (на бумажных носителях).
5.3. Организация с письменного согласия субъекта персональных данных публикует в общедоступных источниках его контактные данные (Ф.И.О, должность, номер рабочего телефона, адрес электронной почты и т.п.) с целью осуществления коммуникаций в процессе деятельности Организации.
5.4. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом РФ.
5.5. При осуществлении хранения персональных данных Организация использует базы данных, находящиеся на территории Российской Федерации.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.7. Организация вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта.
Лицо, осуществляющее обработку персональных данных по поручению Организации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.8. Организация вправе поручить обработку персональных данных следующим лицам:
5.8.1. Ассоциации волонтерских центров (местонахождение: 109004, город Москва, пер. Тетеринский, дом 18с2, ОГРН 1147799008851);
5.8.2. юридическим лицам и общественным объединениям, проводящим мероприятия с привлечением добровольцев(волонтеров);
5.8.3. юридическим лицам, которые обеспечивают проезд добровольцев (волонтеров), организаторов добровольческой (волонтерской) деятельности, представителей добровольческих (волонтерских) организаций до места проведения мероприятий с участием добровольцев (волонтеров);
5.8.4. юридическим лицам, которые обеспечивают проживание добровольцев (волонтеров), организаторов добровольческой (волонтерской) деятельности, представителей добровольческих (волонтерских) организаций в местах проведения мероприятий с участием добровольцев (волонтеров);
5.8.5. юридическим лицам, которые обеспечивают иные формы содействия проведению мероприятий с участием добровольцев (волонтеров).
5.9. Организация и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Организация обязана обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
5.10. Организация обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер Организация определяет самостоятельно.
5.11. Организация при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.12. Трансграничная передача персональных данных в Организации не осуществляется.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. Организация блокирует обрабатываемые персональных данных при выявлении недостоверности обрабатываемых персональных данных или неправомерных действий в отношении субъекта в следующих случаях:
6.1.1. по требованию субъекта персональных данных;
6.1.2. по требованию уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор);
6.1.3. по результатам внутренних контрольных мероприятий.
6.2. В случае подтверждения факта неточности персональных данных Организация обязана уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.3. Организация в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента Организацией, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:
6.3.1. в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также о сведениях о лице, уполномоченном Организацией на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
6.3.2. в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также о сведениях о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6.4. Организация уничтожает персональные данные в следующих случаях и в следующие сроки:
6.4.1. достижения цели обработки персональных данных (в том числе по истечении установленных сроков хранения) – в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных;
6.4.2. отзыва субъектом согласия на обработку своих персональных данных, когда это согласие является обязательным условием обработки персональных данных – в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва;
6.4.3. обращения субъекта персональных данных к Организации с требованием о прекращении обработки персональных данных – в срок, не превышающий 10 (десяти) рабочих дней с даты получения соответствующего требования Организацией. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Организацией в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
6.4.4. невозможности устранения допущенных при их обработке нарушений – в срок, не превышающий 3 (трех) рабочих дней с даты выявления такой невозможности.
6.5. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 6.4 Политики, Организация осуществляет блокирование таких персональных данных и обеспечивает их уничтожение в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством РФ.

7. Реализованные меры обеспечения безопасности персональных данных

7.1. В Организации реализованы следующие мероприятия по обеспечению безопасности персональных данных:
7.1.1. назначено лицо, ответственное за обеспечение безопасности персональных данных;
7.1.2. создана система защиты персональных данных информационных систем персональных данных;
7.1.3. организован режим обеспечения безопасности помещений, в которых ведется обработка персональных данных, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
7.1.4. определен порядок предоставления допуска к обработке персональных данных и предоставления доступа к информационным системам персональных данных;
7.1.5. организован учет машинных носителей персональных данных;
7.1.6. обеспечена сохранность материальных (бумажных) носителей персональных данных;
7.1.7. проведена оценка вреда, который может быть причинен субъекту персональных данных в случае нарушения требований Закона о персональных данных;
7.1.8. осуществляется обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по таким фактам;
7.1.9. обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7.1.10. проводятся периодические проверки соблюдения порядка обработки и обеспечения безопасности персональных данных.

8. Информация об Организации – операторе персональных данных

Общественная организация «Центр развития добровольчества «Мой город» г.о.г. Арзамас Нижегородской области
Сокращенное наименование: ОО «ЦРД «МОЙ ГОРОД»
Юридический адрес: 607233, Нижегородская обл., г. Арзамас, 11 м-он, д. 37, кв. 48
Фактический адрес: 607220, Нижегородская обл., г. Арзамас, ул. Жуковского, д. 2, правое крыло, 1 этаж
ИНН/КПП: 5243995237/524301001
ОГРН: 1145200000110
ОКПО: 25700201
Эл. почта: crd_mycity@mail.ru