Политика приватности
1. Общие положения
1.1. Общественное учреждение «Сообщество профессионалов в области приватности» (далее – «Оператор»), учрежденное в качестве общественного объединения без государственной регистрации и приобретения прав юридического лица (см. тексты протокола собрания учредителей Оператора и Устава Оператора), находящееся по адресу: 108850, Россия, город Москва, Внуковское поселение, бульвар Андрея Тарковского, д.3, кв.231, считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая Политика об организации обработки и обеспечении безопасности персональных данных (также именуемая как «Политика приватности»):
1.2.1. разработана в целях реализации требований действующего законодательства Российской Федерации в области обработки и защиты персональных данных;
1.2.2. раскрывает способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;
1.2.3. является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите персональных данных.
2. Список сокращений и аббревиатур
2.1. В настоящем документе используются следующие понятия, сокращения и аббревиатуры:
2.1.1. ИСПД - Информационная система персональных данных
2.1.2. Обработка ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации и (или) без использования таких средств с ПД
2.1.3. ПД - Персональные данные, т.е. любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД)
2.1.4. Политика - Политика об организации обработки и обеспечении безопасности персональных данных в Общественном учреждении «Сообщество профессионалов в области приватности»
2.1.5. РФ - Российская Федерация
2.1.6. Сайт - Сайт в сети «Интернет», функционирующий в интересах Оператора и адресующийся по доменным именам rppa.ru и rppa.pro
2.1.7. Субъект ПД - физическое лицо, персональные данные которого обрабатываются Оператором и (или) по его поручению
2.1.8. 152-ФЗ - Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
3. Принципы, цели и содержание обработки ПД
3.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПД, указанных в ст.5 152-ФЗ «О персональных данных».
3.2. Оператор осуществляет нижеописанную целенаправленную обработку ПД в соответствии с применимым законодательством о ПД:
Цели обработки ПД | Перечень (категории) обрабатываемых ПД | Категории субъектов ПД | Правовые основания обработки ПД | Способы обработки и действия с ПД | Сроки обработки (в т.ч. хранения) ПД |
---|---|---|---|---|---|
3.2.1. фактическое осуществление предусмотренных учредительным документом видов деятельности, включая планирование, организацию (приглашение лиц к участию и принятие решения об их участии) и проведение мероприятий, осуществление иной совместной деятельности с заинтересованными лицами, а также анализ и управление эффективностью и совершенствованием указанных мероприятий и деятельности | • фамилия, имя, отчество • наименование должности и места работы • описание функции (сферы профессиональной деятельности • контактный адрес электронной почты • контактный номер телефона • адрес учетной записи (идентификатор пользователя) служб мгновенных сообщений • сведения о профессиональных компетенциях, знаниях и навыках • сведения о статусе и роли в Операторе, а также об участии в его деятельности • изображение лица субъекта ПД • запись видеоизображения физического лица и (или) его речи • сведения об имеющемся гражданстве (применимо исключительно в отношении учредителей Оператора) • наименование и реквизиты документа, удостоверяющего личность субъекта ПД на территории РФ (применимо исключительно в отношении учредителей Оператора) • зарегистрированный адрес действительного места жительства (применимо исключительно в отношении учредителей Оператора) | • заинтересованные лица, принимающие участие в деятельности Оператора (в значении понятий, определённых ст.6 Федерального закона от 19.05.1995 № 82-ФЗ «Об общественных объединениях»), включая учредителей Оператора | • Конституция Российской Федерации (ст.30) • Гражданский кодекс РФ (ст.ст. 19, 21, 152.1, 152.2) • Федеральный закон от 19.05.1995 № 82-ФЗ «Об общественных объединениях» (ст.ст. 3, 6, 11) • Устав Оператора • согласие заинтересованных лиц на обработку их ПД | • смешанный способ (с использованием средств автоматизации и без использования средств автоматизации) путем совершения следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение | • на период участия заинтересованных лиц в деятельности Оператора, а также в течение 3 (трёх) лет после прекращения такого участия (для соблюдения сроков исковой давности) |
3.2.2. осуществление безопасного и продуктивного взаимодействия с заинтересованными лицами посредством сайтов в сети «Интернет», а также осуществление информационного и (или) организационного взаимодействия со всеми заинтересованными лицами | • фамилия, имя, отчество • наименование должности и места работы • описание функции (сферы профессиональной деятельности • контактный адрес электронной почты • контактный номер телефона • адрес учетной записи (идентификатор пользователя) служб мгновенных сообщений | • любые заинтересованные лица | • согласие заинтересованных лиц на обработку их ПД • осуществление прав и законных интересов Оператора | • смешанный способ (с использованием средств автоматизации и без использования средств автоматизации) путем совершения следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение | • на период осуществления взаимодействия Оператора с заинтересованным лицом, а также в течение 3 (трёх) лет после прекращения такого взаимодействия (для соблюдения сроков исковой давности) |
4. Особенности сбора и иной обработки ПД
4.1. Оператор обрабатывает ПД, ставшие ему известными:
4.1.1. при реализации любых правоотношений между Оператором и субъектами ПД, связанных с участием субъектов ПД в деятельности Оператора
4.1.2. при взаимодействия с субъектами ПД лицами посредством Сайта, а также осуществление информационного и (или) организационного взаимодействия с субъектами ПД.
4.2. При сборе ПД Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, прямо предусмотренных действующим законодательством РФ о ПД.
4.3. Для обработки ПД Оператор может применять информационные системы, отчуждаемые машинные носители информации (например, оптические и магнито-оптические диски, флэшки, съемные жёсткие диски и т.д.), бумажные носители информации, а также передавать ПД с использованием информационно-телекоммуникационных сетей (включая сеть «Интернет»).
4.4. Оператор может направлять (при условии разумного ограничения частоты и количества направлений, в любое время и без предварительного предупреждения) субъектам ПД информационные материалы о новостях и активностях Оператора в случае наличия соответствующего согласия субъектов ПД. Информационные материалы могут направляться субъектам ПД посредством тех каналов коммуникации (контактных сведений), которые субъекты ПД предоставили Оператору. Субъекты ПД вправе в любой момент времени отказаться от получения материалов Оператора следуя инструкциям, указанным в получаемых материалах, или путем направления Оператору соответствующего обращения.
4.5. Оператором не принимаются решения, порождающее юридические последствия в отношении субъектов ПД или иным образом затрагивающее их права и законные интересы, на основании исключительно автоматизированной обработки их ПД.
4.6. Оператор не осуществляет вышеуказанные действия по обработке ПД в качестве биометрических ПД и не использует ПД для установления (биометрической идентификации) и (или) удостоверения (биометрической аутентификации) личности субъектов ПД.
5. Особенности обработки ПД посредством Сайта
5.1. Во время посещения субъектами ПД Сайта и использования его функционала возможен пассивный сбор технической информации пользовательских устройств субъектов ПД с использованием различных технологий и способов. Это необходимо в связи с особенностями функционирования сети «Интернет» и осуществления доступа к размещенным в этой сети информационным ресурсам (сайтам).
5.2. Сбор технической информации и ее дальнейшее использование необходимо для обеспечения бесперебойного доступа субъектов ПД к Сайту и использования ими функционала Сайта, а также для обеспечения информационной безопасности при посещении Сайта и использовании его функционала.
5.3. Оператор не осуществляет:
5.3.1. прямое или косвенное определение субъектов ПД с использованием технической информации или иных сведений;
5.3.2. сопоставление и (или) объединение (связывание) технической информации с находящимися в распоряжении Оператора ПД и (или) иными сведениями;
5.3.3. обработку технической информации для аналитических и маркетинговых (рекламных) целей;
5.3.4. передачу технической информации сторонним Интернет-сервисам.
5.4. Субъекты ПД могут отказаться принимать аутентификационные файлы cookie Сайта используя настройки своего Интернет-браузера. Однако это может привести к некоторым неудобствам при использовании Сайта (например, необходимость регулярного прохождения субъектами ПД процедуры аутентификации на Сайте).
5.5. Данный Сайт не предназначен для лиц в возрасте младше 18 лет, и Оператор требует, чтобы такие лица не предоставляли свои ПД посредством Сайта. В случае выявления Оператором факта предоставления несовершеннолетними или малолетними лицами своих ПД посредством Сайта, Оператор в срок, не превышающий десяти рабочих дней с даты выявления такого факта, осуществит уничтожение указанных ПД или обеспечит их уничтожение.
5.6. Политика не регулирует порядок обработки и защиты ПД в отношении любых иных сайтов или веб-объектов (включая, помимо прочего, любые мобильные приложения), доступных через Сайт или на которые Сайт содержит ссылку. Наличие или включение ссылки на любой такой сайт или объект на Сайте не подразумевает наличие каких-либо гарантий и заверений со стороны Оператора.
6. Передача ПД
6.1. Оператор может привлекать третьих лиц к обработке ПД путем поручения третьим лицам обработки ПД и (или) путем передачи ПД третьим лицам без поручения обработки ПД. Оператор не осуществляет трансграничную передачу ПД.
6.2. Привлечение третьих лиц к обработке ПД может осуществляться только при условии обработки такими лицами ПД в минимально необходимом составе и исключительно для достижения предусмотренных Политикой целей обработки ПД, а также при условии обеспечения такими лицами конфиденциальности и безопасности ПД при их обработке (в случае неисполнения третьими лицами данных условий указанные лица будут нести ответственность на основании своих договорных обязательств перед Оператором и (или) в соответствии с положениями применимого законодательства о ПД).
6.3. К вышеуказанным третьим лицам потенциально могут относиться:
6.3.1. лица, обладающие правом в предусмотренных применимым законодательством случаях на получение ПД в составе, необходимом для осуществления и выполнения возложенных на таких лиц функций, полномочий и обязанностей;
6.3.2. контрагенты Оператора, приобретение и использование продукции (товаров, работ, услуг) которых Оператором является необходимым для достижения предусмотренных Политикой целей обработки ПД.
6.4. Фактический состав привлекаемых Оператором третьих лиц к обработке ПД определяется исходя из сложившихся отношений между Оператором и субъектом ПД, а также в соответствии с положениями применимого законодательства, договоров между Оператором и субъектом ПД, согласия(ий) субъекта ПД на обработку ПД.
6.5. Оператор может создавать общедоступные источники ПД и (или) осуществлять распространение ПД только с согласия субъекта ПД или на основании требований применимого законодательства.
7. Порядок прекращения обработки (уничтожения) ПД
7.1. Оператор установил следующие условия прекращения обработки ПД:
7.1.1. достижение целей обработки ПД и максимальных сроков хранения ПД;
7.1.2. утрата необходимости в достижении целей обработки ПД;
7.1.3. предоставление субъектом ПД или его законным представителем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
7.1.4. невозможность обеспечения правомерности обработки ПД;
7.1.5. отзыв субъектом ПД согласия на обработку ПД, если сохранение ПД более не требуется для целей обработки ПД;
7.1.6. требование субъекта ПД к Оператору о прекращении обработки ПД, за исключением случаев, предусмотренных законодательством;
7.1.7. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПД;
7.1.8. ликвидация или реорганизация Оператора.
7.2. При невозможности уничтожения ПД в сроки, определенные 152-ФЗ для случаев, когда невозможно обеспечить правомерность обработки ПД, при достижении целей обработки ПД, а также при отзыве субъектом согласия на обработку ПД и (или) получении Оператором требования субъекта ПД о прекращении обработки ПД, если сохранение ПД более не требуется для целей обработки ПД, Оператор осуществляет блокирование ПД и уничтожает ПД в течение 6 (Шести) месяцев, если иной срок не установлен применимым законодательством.
7.3. Уничтожение ПД производится способом, исключающим возможность восстановления этих ПД. Если ПД невозможно уничтожить без такого повреждения их материального носителя, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и ПД, и их материальный носитель.
7.4. Подтверждение факта уничтожения ПД осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД.
8. Меры по надлежащей организации обработки и обеспечению безопасности ПД
8.1. Оператор при обработке ПД принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПД достигается, в частности, следующими способами (с учетом их применимости в зависимости от способа и особенностей обработки ПД):
8.1. изданием документов, определяющих политику Оператора в отношении обработки ПД, локальных актов Оператора по вопросам обработки ПД, определяющих для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов Оператора, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства о ПД, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов ПД, а также возлагающие на Оператора не предусмотренные законодательством о ПД полномочия и обязанности;
8.2. осуществлением внутреннего контроля и (или) аудита соответствия обработки ПД требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике Оператора в отношении обработки ПД, локальным актам Оператора;
8.3. осуществлением оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ, который может быть причинен субъектам в случае нарушения требований применимого законодательства о ПД, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиям применимого законодательства о ПД;
8.4. ознакомлением лиц, привлеченных (допущенных) Оператором к обработке ПД, с требованиями применимого законодательства о ПД, в том числе требованиями к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальными актами по вопросам обработки ПД, и (или) обучение указанных лиц;
8.5. определением угроз безопасности ПД, которые могут возникнуть при их обработке в ИСПД;
8.6. применением организационных и (или) технических мер по обеспечению безопасности ПД при их обработке, в том числе в ИСПД, необходимых для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости процессов и (или) систем, связанных с обработкой ПД;
8.7. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПД и информационных технологий, используемых в ИСПД;
8.8. оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
8.9. определением мест хранения материальных (в том числе машинных) носителей ПД, обеспечением учета и сохранности таких носителей ПД, а также раздельным хранением ПД (материальных носителей), обработка которых осуществляется в различных целях;
8.10. воспрещением объединения баз с ИСПД или фиксации ПД на одном материальном носителе, если обработка ПД осуществляется в несовместимых между собой целях;
8.11. обнаружением фактов несанкционированного доступа к ИСПД и принятием надлежащих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПД, связанные с обработкой ПД, и по реагированию на компьютерные инциденты в них;
8.12. восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8.13. установлением правил доступа к ИСПД, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в ИСПД;
8.14. контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПД, связанных с обработкой ПД;
8.15. установлением и утверждением перечня лиц (должностей), привлеченных (допущенных) Оператором к автоматизированной и (или) неавтоматизированной обработке ПД, в том числе в ИСПД, и ограничением доступа к ИСПД для иных лиц;
8.16. информированием лиц, привлеченных (допущенных) к обработке ПД без использования средств автоматизации, о факте обработки указанными лицами ПД, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых ПД, категориях субъектов, а также об особенностях и правилах осуществления такой обработки, предусмотренные применимым законодательством о ПД и подзаконными нормативными правовыми актами, а также локальными актами Оператора;
8.17. организацией режима безопасности помещений, в которых осуществляется обработка ПД и (или) размещены программно-аппаратные средства, используемые для обработки ПД;
8.18. уничтожением ПД способом, исключающим последующее восстановление и дальнейшую обработку ПД, а также подтверждением уничтожения ПД в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ.
8.2. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, Оператор в предусмотренном законодательством порядке и в соответствующие сроки уведомляет об указанном факте уполномоченный орган по защите прав субъектов ПД.
8.3. Оператор обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.
9. Права субъектов ПД
9.1. Субъект ПД имеет право на получение сведений об обработке его ПД Оператором.
9.2. Субъект ПД вправе требовать от Оператора уточнения этих ПД, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.
9.4. Субъект ПД вправе в любое время полностью или в какой-либо части отозвать ранее предоставленное(ые) Оператору согласия на обработку ПД и (или) обратиться к Оператору с требованием о прекращении обработки ПД, за исключением случаев, когда обработка ПД предусмотрена п.п.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 152-ФЗ. Указанные в настоящем пункте права могут быть реализованы путем направления Оператору обращения.
9.5. Для реализации и защиты своих прав и законных интересов субъект ПД или его представители имеют право обратиться к Оператору любым удобным и возможным для них способом (в том числе по электронной почте info@rppa.ru).
9.6. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПД, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
9.7. Субъект ПД вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов ПД.
9.8. Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10. Доступ к Политике
10.1. Действующая редакция Политики на бумажном носителе хранится в месте нахождения исполнительного органа Оператора.
10.2. Электронная версия действующей редакции Политики опубликована на Сайте.
11. Порядок утверждения и внесения изменений в Политику
11.1. Политика утверждается и вводится в действие решением собрания учредителей Оператора и действует до ее отмены.
11.2. Оператор имеет право по мере необходимости вносить изменения в Политику (далее – «Изменения»). Изменения утверждаются решением собрания учредителей Оператора. В таком случае измененная редакция Политики публикуется на Сайте с указанием срока начала ее действия.
11.3. Субъекты ПД обязуется самостоятельно отслеживать Изменения. Участие субъектов ПД в деятельности Оператора и (или) посещение/использование ими Сайта после начала действия измененной редакции Политики означает принятие такими субъектами ПД положений измененной редакции Политики.
11.4. Политика пересматривается по мере необходимости, но не реже одного раза в три года с момента проведения предыдущего пересмотра Политики.
11.5. Политика может пересматриваться ранее срока, указанного в Политике, по мере внесения изменений:
11.5.1. в нормативные правовые акты РФ в сфере ПД;
11.5.2. в локальные акты Оператора, регламентирующие организацию обработки и обеспечение безопасности ПД;
11.5.3. в порядок организации Оператором обработки и обеспечения безопасности ПД.
12. Ответственность
12.1. Учредители Оператора и участники его деятельности, а также иные лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут ответственность, предусмотренную законодательством РФ.
13. Изменения Политики
13.1. Настоящая редакция Политики была утверждена решением собрания учредителей Оператора от 23.10.2022, является актуальной и действующей с 24.10.2022. В действующей редакции Политики (по сравнению с редакцией от 06.09.2022) было актуализировано описание: целей, содержания и способов обработки ПД; порядка прекращения обработки (уничтожения) ПД; мер по надлежащей организации обработки и обеспечению безопасности ПД.
13.2. Ранее действовавшие редакции Политики доступны по следующим ссылкам:
13.2.1. редакция Политики от 27.04.2021;
13.2.2. редакция Политики от 29.04.2021;
13.2.3. редакция Политики от 09.06.2021;
13.2.4. редакция Политики от 05.09.2022.