обработки персональных данных

«09» апреля 2019 года

  1. Общие положения

1.1. Политика обработки персональных данных (далее — Политика) в Автономной Некоммерческой Организации «Лаборатория социальных наук» (далее — Организация) разработана в соответствии со следующими документами: Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также в соответствии с иными федеральными законами и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации (далее — Законодательство о персональных данных).

1.2. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Организации.

1.3. Список терминов и определений:

Деятельность в области научных исследований и разработки в области общественных и гуманитарных наук- деятельность Организации, направленная на организацию Проекта Oxford Russia Fellowship, конференций, семинаров Russian Readings, выставок, публикаций статей и периодических изданий, текущее обеспечение деятельности Организации товарно-материальными ценностями (осуществление закупок канцтоваров, расходных материалов, хозяйственных товаров, услуг связи и т. п.); на организацию документооборота (ведение архива, библиотек, баз данных); на организацию эксплуатации зданий, помещений, территорий (содержание, уборка, оформление и ремонт помещений); на организацию рабочего процесса.

Контрагент — юридическое лицо, индивидуальный предприниматель, а также физическое лицо, заключившее или намеревающееся заключить с Организацией какой-либо договор гражданско-правового характера.

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено с помощью персональных данных.

Обработка персональных данных — любое действие (операция) Организации или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (Предоставление, доступ), Обезличивание, Блокирование, удаление и Уничтожение персональных данных.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Проект Oxford Russia Fellowship — стипендиальная программа для молодых исследователей и преподавателей российских вузов, проводимая АНО «Лаборатория социальных наук». Цель программы — поддержка проведения исследовательских проектов, сфокусированных на российские регионы, а также содействие в распространении их результатов в среде российских и зарубежных ученых.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Соискатель — физическое лицо, претендующее на получение стипендии в рамках Проекта Oxford Russia Fellowship, персональные данные которого приняты Организацией.

Работник Организации — физическое лицо, заключившее с Организацией трудовой договор.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.4. Политика устанавливает:

− цели обработки персональных данных;

− классификацию персональных данных и Субъектов персональных данных;

− общие принципы обработки персональных данных;

− основных участников системы управления процессом обработки персональных данных;

− основные подходы к системе управления процессом обработки персональных данных.

1.5. Положения настоящей Политики являются основой для организации работы по обработке персональных данных в Организации, в целях детальной регламентации процессов обработки персональных данных в Организации могут быть приняты отдельные положения по обработке персональных данных Работников (Соискателей) и Контрагентов Организации.

1.6. Положения настоящей Политики являются обязательными для исполнения всеми Работниками Организации, имеющими доступ к персональным данным.

1.7. Настоящая Политика размещается на сайте ssl-research.org.

  1. Цели обработки персональных данных

2.1. Организация осуществляет обработку персональных данных в целях:

− обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

− исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

− осуществления деятельности в соответствии с Уставом Организации;

− заключения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;

− проведения Организацией опросов, исследований, формирования статистических сведений;

− ведения кадрового делопроизводства и личных дел Работников Организации, ведение воинского учета Работников;

− предоставления Работникам отпусков и направления их в командировки; − предоставления Работникам социальных и налоговых льгот/выплат;

− организации постановки на индивидуальный (персонифицированный) учет Работников в системе обязательного пенсионного страхования;

− заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;

− формирования справочных материалов для внутреннего информационного обеспечения деятельности Организации;

− привлечения и отбора Соискателей;

− осуществления Организацией образовательной и научной деятельности;

− обработки обращений Субъектов персональных данных.

  1. Классификация персональных данных и Субъектов персональных данных

3.1. К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных), обрабатываемая Организацией для достижения заранее определенных целей.

3.2. Организация не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, судимости физических лиц.

3.3. Организация вправе осуществлять обработку специальной категории персональных данных, касающейся состояния здоровья Субъекта персональных данных (застрахованных лиц и иных лиц, в случаях, предусмотренных действующим законодательством).

3.4. Организация осуществляет обработку персональных данных следующих категорий Субъектов персональных данных:

− физические лица, являющиеся Соискателями;

− физические лица, являющиеся Работниками Организации;

− физические лица, заключившие или намеревающиеся заключить с Организацией договор гражданско-правового характера;

− физические лица, входящие в органы управления Организации;

− физические лица, представляющие интересы Контрагентов Организации;

− физические лица, не имеющие с Организацией договорных отношений при условии, что их персональные данные включены в автоматизированные системы Организации и обрабатываются в соответствии с Законодательством о персональных данных;

− физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных.

  1. Общие принципы обработки персональных данных

4.1. Организация осуществляет обработку персональных данных на основе общих принципов:

− законности заранее определенных конкретных целей и способов обработки персональных данных;

− обеспечения надлежащей защиты персональных данных;

− соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

− соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;

− достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

− недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

− хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

− уничтожения или обезличивания персональных данных по достижении целей их обработки, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;

− обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

4.2. В рамках обработки персональных данных для Субъекта персональных данных и Организации определены следующие права.

4.2.1. Субъект персональных данных имеет право:

− получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных путем отправки электронного письма на адрес open@ssl-research.org;

− требовать уточнения своих персональных данных, их Блокирования или Уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом персональных данных согласия на обработку персональных данных путем отправки электронного письма на адрес open@ssl-research.org;

− принимать предусмотренные законом меры по защите своих прав;

− отозвать свое согласие на обработку персональных данных путем отправки электронного письма на адрес open@ssl-research.org.

4.2.2. Организация имеет право:

− обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;

− требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, а также в иных случаях, предусмотренных Законодательством о персональных данных и Политикой;

− обрабатывать общедоступные персональные данные физических лиц;

− осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;

− поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных.

4.3. Субъект персональных данных обязан сообщить Организации об изменении своих персональных данных, прямо указанных в согласии на обработку, в течение 3 (трех) рабочих дней с даты такого изменения, и предоставить Организации копии документов, подтверждающих такие изменения. При этом нового согласия от Субъекта не требуется.

  1. Особенности обработки персональных данных, полученных через интернет-сайты

5.1. Организация осуществляет сбор информации через интернет-сайты двумя способами:

5.1.1. Персональные данные, предоставляемые пользователями: Организация осуществляет сбор персональных данных, которые вводят в поля данных на интернет сайтах Организации сами пользователи или иные лица по их поручению.

5.1.2. Пассивный сбор персональных данных о текущем подключении в части статистических сведений. На интернет-сайтах Организации может проводиться сбор статистических данных о пользователе, включая:

− посещенные страницы;

− количество посещений страниц;

− длительность пользовательской сессии;

− точки входа (сторонние сайты, с которых пользователь по ссылке переходит на сайты Организации);

− точки выхода (ссылки на сайтах Организации, по которым пользователь переходит на сторонние сайты);

− страна пользователя;

− регион пользователя;

− провайдер пользователя;

− браузер пользователя;

− системные языки пользователя;

− операционная система пользователя;

− разрешение экрана пользователя;

− кол-во цветов экрана пользователя.

Данные могут быть получены с помощью различных методов, например, файлов cookies и файловых веб-маяков и др. Организация может использовать сторонние интернет-сервисы для организации сбора статистических персональных данных, сторонние интернет-сервисы обеспечивают хранение полученных данных на собственных серверах. Организация не несет ответственности за локализацию серверов сторонних интернет-сервисов. Организация не проводит сопоставление информации, предоставляемой пользователем самостоятельно и позволяющей идентифицировать Субъекта персональных данных, со статистическими персональными данными, полученными в ходе применения подобных пассивных методов сбора информации.

  1. Основные участники системы управления процессом обработки персональных данных

6.1. В целях осуществления эффективного управления процессом обработки персональных данных определены основные его участники.

6.1.1. Директор Организации:

− определяет, рассматривает и утверждает политику Организации в отношении обработки персональных данных;

− является лицом, ответственным за организацию обработки персональных данных и за управление процессом обработки персональных данных, в том числе

− организует и контролирует разработку процесса обработки персональных данных (совершаемых с использованием средств автоматизации или без использования таких средств, в том числе на бумажных носителях) в соответствии с требованиями Законодательства о персональных данных и настоящей Политики;

− осуществляет управление процессом обработки персональных данных;

− разрабатывает и представляет для утверждения генеральному директору Организации политику (-и) и локальные документы, касающиеся вопросов обработки персональных данных;

− осуществляет анализ, оценку и прогноз рисков, связанных с обработкой персональных данных в Организации; − делегирует иные функции, предусмотренные для лиц (-а), ответственных (-ого) за организацию обработки персональных данных, Законодательством о персональных данных, в профильные подразделения Организации.

  1. Организация системы управления процессом обработки персональных данных

7.1. Обработка персональных данных Субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных Законодательством о персональных данных.

7.2. Обработка специальной категории персональных данных, касающейся состояния здоровья Субъекта персональных данных осуществляется с согласия Субъекта персональных данных на обработку своих персональных данных в письменной форме, а также без такового, если персональные данные сделаны общедоступными Субъектом персональных данных.

7.3. Организация вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом. Такая Обработка персональных данных осуществляется только на основании договора, заключенного между Организацией и третьим лицом, в котором должны быть определены:

− перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;

− цели обработки персональных данных;

− обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.

7.4. Организация осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

7.5. Организация несет ответственность перед Субъектом персональных данных за действия лиц, которым Организация поручает обработку персональных данных Субъекта персональных данных.

7.6. Доступ к обрабатываемым персональным данным предоставляется только тем Работникам Организации, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.

7.7. Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием Субъекта персональных данных на обработку его персональных данных. При отзыве Субъектом персональных данных согласия на обработку его персональных данных Обработка осуществляется только в пределах, необходимых для исполнения заключенных с ним договоров и в целях, предусмотренных законодательством Российской Федерации.

7.8. Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

7.9. Организация обеспечивает конфиденциальность персональных данных Субъекта персональных данных со своей стороны, со стороны своих аффилированных лиц, со стороны своих Работников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с Субъектом персональных данных.

7.10. Обеспечение безопасности обрабатываемых персональных данных осуществляется Организацией в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, с учетом требований Законодательства о персональных данных, принятых в соответствии с ним нормативных правовых актов.

  1. Обработка обращений Субъектов персональных данных

8.1. Субъекты персональных данных вправе обратиться непосредственно в Организацию по всем вопросам обработки их персональных данных по следующим реквизитам:

E-mail: open@ssl-research.org

8.2. Сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», предоставляются Субъекту персональных данных или его представителю Организацией при обращении либо при получении запроса Субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации путем отправки электронного письма на адрес open@ssl-research.org. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Если в обращении (запросе) Субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или Субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ. Запрос должен содержать данные основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Организацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Организацией, подпись (в том числе электронная) Субъекта персональных данных или его представителя. Формы запросов (обращений) Субъектов персональных данных и их представителей приведены в приложениях 1 — 4 к настоящей Политике. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных» в том числе, если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

8.3. В срок, не превышающий семи рабочих дней со дня предоставления Субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Организация вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Организация уничтожает такие персональные данные. Организация уведомляет Субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы.

8.4. Согласие на обработку персональных данных может быть отозвано Субъектом персональных данных. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных Организация прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Организацией и Субъектом персональных данных либо если Организация не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами. В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Организация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. В случае отзыва Субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия Субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона «О персональных данных».

  1. Заключительные положения

9.1. Организация, а также его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.

9.2. Политика является общедоступной и подлежит размещению на официальном сайте Организации или иным образом обеспечивается неограниченный доступ к настоящему документу.

Приложение 1 к Политике

Форма запроса/обращения Субъекта персональных данных (его представителя) по вопросу доступа к персональным данным

в ______________________________

От (фамилия, имя, отчество) паспорт выданный (номер) (дата выдачи) (место выдачи паспорта)

Адрес: (адрес места жительства)

В соответствии с положениями ч. 7, ст. 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» прошу предоставить в мой адрес следующую информацию, касающуюся обработки моих персональных данных:

— подтверждение факта обработки персональных данных АНО «Лаборатория социальных наук» (далее — Организация);

— правовые основания и цели обработки персональных данных;

— цели и применяемые Организацией способы обработки персональных данных;

— обрабатываемые персональные данные, источник их получения;

— сроки обработки персональных данных, в том числе сроки их хранения;

— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу.

Указанную информацию прошу направить: на бумажном носителе по адресу: по адресу электронной почты:

(дата) (подпись)

Приложение 2 к Политике

Форма запроса/обращения Субъекта персональных данных (его представителя) по вопросу правомерности обработки персональных данных

в ______________________________

От (фамилия, имя, отчество) паспорт выданный (номер) (дата выдачи) (место выдачи паспорта)

Адрес: (адрес места жительства)

В соответствии с положениями ст. 21 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» прошу предоставить в мой адрес сведения о правовых основаниях обработки моих персональных данных в АНО «Лаборатория социальных наук». В случае подтверждения АНО «Лаборатория социальных наук» факта неправомерной обработки моих персональных данных, прошу прекратить обработку персональных данных в течение трех рабочих дней. Сведения об обеспечении правомерности обработки моих персональных данных или об уничтожении персональных данных в АНО «Лаборатория социальных наук» в случае их неправомерной обработки прошу направить: на бумажном носителе по адресу: по адресу электронной почты:

(дата) (подпись)

Приложение 3 к Политике

Форма запроса/обращения Субъекта персональных данных (его представителя) об уточнении персональных данных

в ______________________________

От (фамилия, имя, отчество) паспорт выданный (номер) (дата выдачи) (место выдачи паспорта)

Адрес: (адрес места жительства)

В соответствии с положениями ст. 21 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и на основании: (документ (ы) на основании которого (ых) Оператор обязан уточнить персональные данные) прошу произвести уточнение моих персональных данных либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению АНО «Лаборатория социальных наук») согласно представленным документам. Уведомление о внесенных изменениях прошу предоставить: на бумажном носителе по адресу: по адресу электронной почты:

(дата) (подпись)

Приложение 4 к Политике

Форма запроса/обращения Субъекта персональных данных (его представителя) по вопросу отзыва согласия на обработку персональных данных

в ______________________________

От (фамилия, имя, отчество) паспорт выданный (номер) (дата выдачи) (место выдачи паспорта)

Адрес: (адрес места жительства)

В соответствии с частью 2 статьи 9 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» прошу прекратить обработку моих персональных данных, осуществляемую в целях: (цели обработки персональных данных, в отношении которых отзывается согласие) по причине: (указать причину отзыва согласия).

АНО «Лаборатория социальных наук» вправе продолжить обработку моих персональных данных при наличии следующих оснований:

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на АНО «Лаборатория социальных наук» функций, полномочий и обязанностей;

— обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем;

— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно;

— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными Субъектом персональных данных);

— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

(дата) (подпись)