Политика обработки персональных данных

Политика обработки персональных данных в Некоммерческой организации Фонд развития Центра разработки и коммерциализации новых технологий

 

Статья 1. Общие положения

  1. Политика обработки персональных данных в Некоммерческой организации Фонд развития Центра разработки и коммерциализации новых технологий (далее – Политика, Фонд) разработана в соответствии с Федеральным законом от 27 июля 2006 года № 152–ФЗ «О персональных данных» (далее – ФЗ–152).
  2. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Фонде с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  3. Политика является основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных в Фонде.
  4. Действие Политики распространяется на все структурные подразделения Фонда.
  5. Настоящая Политика не распространяется на информацию, получаемую Фондом в порядке взаимодействия с юридическими лицами, в частности, на поступающие от юридических лиц в любой форме сведения об адресах юридического лица, контактных телефонах, адресах электронной почты, фамилиях, именах и отчествах единоличных исполнительных органов и (или) иных лиц, действующих от имени юридических лиц без доверенности, а также любая информация, являющаяся общедоступной в соответствии с законодательством Российской Федерации.
  6. В Политике используются следующие основные понятия:
    • автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
    • биометрические персональные данные – физиологические данные (дактилоскопические данные, радужная оболочка глаз и другие данные), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта;
    • блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
    • ДЮЛ – юридические лица, единственным участником (учредителем) которых является Фонд;
    • информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных ПДн, и обеспечивающих их обработку информационных технологий и технических средств;
    • обезличивание ПДн – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность ПДн конкретному субъекту ПДн;
    • обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
    • оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными;
    • персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
    • предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
    • распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц (передача ПДн) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно–телекоммуникационных сетях или предоставление доступа к персональным данным каким–либо иным способом;
    • СКУД – система контроля и управления доступом – совокупность программно-аппаратных технических средств контроля и управления, имеющих целью ограничение и регистрацию входа-выхода объектов (людей, транспорта) на территории Фонда;
    • трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
    • уничтожение ПДн – действия, в результате которых невозможно восстановить содержание ПДн в ИСПДн и (или) результате которых уничтожаются материальные носители ПДн.
    • GDPR – General Data Protection Regulation, Общий регламент по защите данных, постановление Европейского Союза, с помощью которого Европейский парламент, Совет Европейского Союза и Европейская комиссия унифицируют защиту персональных данных всех лиц в Европейском Союзе (ЕС).

Статья 2. Принципы и условия обработки персональных данных

  1. Обработка ПДн осуществляется на основе следующих принципов:
    • законности и справедливой основы;
    • ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
    • недопущения обработки ПДн, несовместимой с целями сбора ПДн;
    • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
    • обработки только тех ПДн, которые отвечают целям их обработки;
    • соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
    • недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;
    • обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;
    • уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения оператором допущенных нарушений ПДн, если иное не предусмотрено федеральным законом.
  2. Фонд производит обработку ПДн при наличии хотя бы одного из следующих условий:
    • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
    • обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
    • обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
    • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
    • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
    • осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее - общедоступные персональные данные);
    • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
  3. Персональные данные обрабатываются в Фонде в целях:
    • обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации и локальных нормативных актов Фонда;
    • осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Фонд, основываясь на Федеральном законе от 28 сентября 2010 года №244-ФЗ «Об инновационном центре «Сколково» и иных законодательных актах;
    • регулирования трудовых отношений с работниками Фонда;
    • предоставления работникам дополнительных гарантий и компенсаций, услуг добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
    • защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
    • подготовки, заключения, исполнения и прекращения договоров с контрагентами;
    • обеспечения пропускного режима на территории инновационного центра «Сколково», объектов Фонда и ДЮЛ;
    • противодействия коррупции и хищениям;
    • обеспечения экономической безопасности деятельности Фонда;
    • формирования справочных материалов для внутреннего информационного обеспечения деятельности Фонда и ДЮЛ;
    • осуществления прав и законных интересов Фонда и ДЮЛ в рамках деятельности, предусмотренной уставом и иными локальными нормативными актами Фонда и ДЮЛ;
    • в иных законных целях.
  4. Обработка персональных данных в Фонде осуществляется следующими способами:
    • неавтоматизированная обработка персональных данных;
    • автоматизированная обработка персональных данных.
  5. Фонд вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Фонда, обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ-152 и настоящей Политикой.
  6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. При осуществлении хранения персональных данных Фонд использует базы данных, находящиеся на территории Российской Федерации, в соответствии с частью 5 статьи 18 ФЗ-152.
  7. Фонд вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
  8. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
  9. В случае подтверждения факта неточности персональных данных или выявления неправомерности их обработки, персональные данные подлежат их актуализации оператором, а их неправомерная обработка подлежит прекращению.
  10. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
    • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
    • оператор не вправе осуществлять обработку без согласия субъекта персональных данных по основаниям, предусмотренным ФЗ-152 или иными федеральными законами;
    • иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
  11. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
  12. В целях информационного обеспечения в Фонде могут создаваться общедоступные источники ПДн субъектов ПДн, в том числе справочники и адресные книги. В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, дата и место рождения, фотография, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом ПДн.
  13. Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн, уполномоченного органа по защите прав субъектов ПДн либо по решению суда.
  14. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 ФЗ-152.
  15. Использование сканированных копий документов, удостоверяющих личность, публикация фотографий на общедоступных ресурсах и другие случаи использования изображения лица, не связанные с установлением личности субъекта и с процедурой идентификации, не являются процедурой обработки биометрических персональных данных, обработка сведений в данных случаях осуществляется в соответствии с общими требованиями, установленными ФЗ-152.
  16. Также не является биометрическими персональными данными фотографическое изображение, содержащееся в личном деле работника или на картах пропуска СКУД. Такие изображения не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.
  17. Обработка оператором специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в Фонде не осуществляется.
  18. Оператор вправе передать персональные данные для их обработки в системах электронной почты, облачных хранилищах, системах управления и других системах на территории иностранных государств, являющихся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
  19. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с ФЗ-152.
  20. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться в случаях:
    • наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
    • предусмотренных международными договорами Российской Федерации;
    • предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
    • исполнения договора, стороной которого является субъект ПДн;
    • защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 3. Права субъекта персональных данных

  1. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
  2. Субъект ПДн имеет право:
    • на получение у оператора информации, касающейся обработки его ПДн, если такое право не ограничено в соответствии с федеральными законами;
    • требовать уточнения, блокирования или уничтожения персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
    • субъект имеет право запросить в структурированном, универсальном и машиночитаемом формате перечень своих персональных данных, предоставленных для обработки.
  3. Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта ПДн.
  4. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя Фонд блокирует неправомерно обрабатываемые персональные данные, производит проверку фактов неправомерной обработки ПДн и, в случае выявления фактов неправомерной обработки, уточняет или уничтожает персональные данные субъекта в сроки, определенные статьей 21 152-ФЗ.
  5. В случае отсутствия возможности уничтожения персональных данных в течение сроков, определенных в частях 3 – 5 статьи 21 152-ФЗ, Фонд блокирует персональные данные и обеспечивает их уничтожение в течение не более шести месяцев, если иное не установлено федеральными законами.
  6. В целях оперативного взаимодействия по вопросам обработки персональных данных организован почтовый ящик PersonalData@sk.ru.

Статья 4. Обеспечение безопасности персональных данных

  1. Безопасность ПДн, обрабатываемых оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты ПДн.
  2. Для предотвращения несанкционированного доступа к персональным данным применяются следующие организационно-технические меры:
    • назначение должностных лиц, ответственных за организацию обработки и защиты ПДн;
    • организация внутреннего контроля соответствия обработки персональных данных требованиям законодательства и принятым в соответствие с ним нормативным правовым актам в отношении обработки персональных данных, локальным нормативным актам Фонда;
    • ограничение состава лиц, допущенных к обработке ПДн;
    • ознакомление субъектов с требованиями федерального законодательства и нормативных документов по обработке и защите ПДн;
    • организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
    • определение угроз безопасности ПДн при их обработке, формирование моделей угроз, разработка системы защиты ПДн;
    • проверка готовности и эффективности использования средств защиты информации;
    • разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
    • регистрация и учет действий пользователей информационных систем ПДн;
    • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности, средств криптографической и других средств защиты информации;
    • организация пропускного режима на объекты Фонда, охраны помещений с техническими средствами обработки персональных данных.

Статья 5. Контроль за соблюдением требований законодательства Российской Федерации в области персональных данных

  1. Контроль за соблюдением требований законодательства Российской Федерации в области персональных данных осуществляется Фондом с целью проверки соответствия обработки персональных данных требованиям законодательства Российской Федерации и локальным нормативным актам Фонда.
  2. Внутренний контроль за соблюдением требований законодательства Российской Федерации о персональных данных работников Фонда, организацию защиты персональных данных и внутренний контроль за защитой персональных данных контрагентов Фонда, участников проекта создания и обеспечения функционирования инновационного центра «Сколково» и участников мероприятий, проводимых Фондом, осуществляет Департамент информационных систем и сервисов.

Статья 6. Заключительные положения

  1. Иные права и обязанности оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.
  2. Фонд обеспечивает защиту и конфиденциальность обрабатываемых персональных данных субъектов персональных данных, попадающих под действие GDPR, в части, не противоречащей правовым нормам законодательства Российской Федерации.