Политика конфиденциальности – НCОИМ

Политика конфиденциальности

ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Общероссийская общественная организация «Научное сообщество по содействию клиническому изучению микробиома человека»

mcrbm.com

 

  1. Термины и определения.
    • 1. Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
    • 2. Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
    • 3. Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
    • 4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
    • 5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
    • 6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
    • 7. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
    • 8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
    • 9. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
    • 10. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
  2. Общие положения.
    • 1. Настоящая Политика в отношении обработки персональных данных (далее – « Политика ») определяет основные положения обработки персональных данных, реализуемые при обработке персональных данных в Общероссийской общественной организации «Научное сообщество по содействию клиническому изучению микробиома человека», ИНН 7731394441, зарегистрированная по адресу: 123242 г. Москва, переулок Столярный, д. 2, этаж подвал, помещение II, комната № 5 (далее – « Оператор », « НСОИМ »).
    • 2. Настоящая Политика составлена в соответствии с пунктом 2 части 1 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных.
    • 3. Настоящая Политика действует в отношении всех персональных данных, обрабатываемых Оператором с использованием средств автоматизации и без применения таких средств и полученных от субъекта персональных данных.
    • 4. Настоящая Политика действует в том числе при обработке всей информации, размещенной и/или размещаемой на сайте в сети Интернет по адресу: https:/www.mcrbm.com(далее – « Сайт »), которую возможно получить о пользователе Сайта (далее – « Пользователь ») во время использования Сайта, сервисов, программ и продуктов, а равно исполнения Оператором любых соглашений и договоров с Пользователем или третьими лицами с использованием Сайта. Сайт https:/www.mcrbm.com представлен Оператором, который также является владельцем Сайта и администратором домена mcrbm.com.
    • 5. Целью обеспечения защиты персональных данных является обеспечение защиты прав и свобод субъекта персональных данных, в том числе минимизация ущерба, возникающего вследствие возможной реализации угроз безопасности персональных данных.
    • 6. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
    • 7. Оператор оставляет за собой право пересматривать, изменять и дополнять настоящую Политику в случае изменения законодательных и нормативно-правовых актов, а также по своему усмотрению. Новая редакция Политики вступает в силу, с момента ее размещения в открытом доступе на официальном сайте Оператора в сети Интернет, если иное не предусмотрено новой редакцией Политики.
  3. Принципы и цели обработки персональных данных.
    • 1. Обработка персональных данных осуществляется Оператором с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
      • 1.1. обработка персональных данных осуществляется на законной и справедливой основе;
      • 1.2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
      • 1.3. не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
      • 1.4. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
      • 1.4. обработке подлежат только персональные данные, которые отвечают целям их обработки;
      • 1.5. содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки;
      • 1.6. при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператором принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
      • 1.7. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
      • 1.8. обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
    • 2. Персональные данные обрабатываются Оператором в целях:
      • 2.1. обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;
      • 2.2. осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора;
      • 2.3. оформления договорных отношений с субъектами персональных данных;
      • 2.4. осуществления кадрового, бухгалтерского, налогового учета;
      • 2.5. вступления в члены НКО, которой является Оператор;
      • 2.6. организации и проведения Оператором (в т.ч. с привлечением третьих лиц) съездов, конгрессов, конференций, круглых столов, информационных кампаний, исследований, опросов и иных мероприятий;
      • 2.7. исполнения Оператором в рамках гражданско-правовых договоров, оказания иных услуг субъектам персональных данных;
      • 2.8. позиционирования деятельности Оператора и/или партнеров Оператора путем осуществления прямых контактов с гражданами, вовлеченными в общественную, научно-образовательную деятельность Оператора с помощью различных средств связи, в т.ч., не ограничиваясь, по телефону, электронной почте, почтовой рассылке, в сети Интернет и т.д.;
      • 2.9. защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
      • 2.10. подготовки, заключения, исполнения и прекращения договоров с контрагентами;
      • 2.11. формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора;
      • 2.12. исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
      • 2.13. осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;
      • 2.14. в иных законных целях.
  1. Категории субъектов персональных данных.

Оператором обрабатываются персональные данные следующих категорий субъектов:

  • 1. физические лица, состоящие с Оператором в гражданско-правовых отношениях;
  • 2. физические лица, являющиеся пользователями Сайта Оператора.
  1. Персональные данные, обрабатываемые Оператором.
    • 1. Оператором обрабатываются следующие категории персональных данных:
      • 1.1. данные, полученные при осуществлении гражданско-правовых отношений;
      • 1.2. данные, полученные при осуществлении использования Сайта Оператора, его сервисов, программ и продуктов.
    • 2. В состав персональных данных, подлежащих обработке, входят следующие сведения о субъекте ПД:
      • 2.1. фамилия, имя, отчество;
      • 2.2. дата рождения;
      • 2.3. пол;
      • 2.4. гражданство;
      • 2.5. адрес по месту регистрации и почтовый адрес;
      • 2.6. сведения документа, удостоверяющего личность (наименование, номер, серия, кем и когда выдан, код подразделения);
      • 2.7. индивидуальный номер налогоплательщика (ИНН);
      • 2.8. страховой номер индивидуального лицевого счета (СНИЛС);
      • 2.9. номера контактных телефонов;
      • 2.10. адрес электронной почты;
      • 2.11. изображения (фотографии);
      • 2.12. сведения об образовании (название образовательного учреждения (образовательных учреждений) и дата окончания), включая сведения о последипломном образовании;
      • 2.13. сведения о работе (о приеме на работу, занимаемой должности, перемещении по должности, увольнении);
      • 2.14. информация о наличии ученых степеней и званий, а также академических званий;
      • 2.15. информация о наличии почетных званий и наград, присваиваемых государственными учреждениями, ведомствами и органами власти;
      • 2.16. информация о наличии научных работ с указанием названия, даты опубликования работы и издания, в котором опубликована работа;
      • 2.17. иные сведения, предоставленные Оператору субъектом персональных данных.
    • 3. Данные, которые автоматически передаются сервисам Сайта в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IР-адрес, фрагменты электронных данных (файлы «cookie»), информация о браузере Пользователя, не относятся прямо к определенному или определяемому физическому лицу, однако предоставляют информацию о Пользователе, в связи с чем они также входят в группу обрабатываемых Сайтом персональных данных.
  2. Порядок и условия обработки персональных данных.
    • 1. Получение ПД.
      • 1.1. Все ПД должны быть получены от самого субъекта ПД. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
      • 1.2. Субъект ПД путем ознакомления с настоящей Политикой должен быть осведомлен о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать согласие на их получение.
      • 1.3. Все обрабатываемые Оператором персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с законодательством Российской Федерации.
      • 1.4. Документы, содержащие ПД, могут быть созданы путем:

– внесения сведений в учетные формы;

– получения оригиналов и (или) копий необходимых документов.

  • 2. Обработка ПД.
    • 2.1. Обработка персональных данных осуществляется:

– с согласия субъекта персональных данных на обработку его персональных данных;

– в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;

– в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

  • 2.2. Обработка персональных данных ведется:

– с использованием средств автоматизации;

– без использования средств автоматизации.

  • 2.3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
  • 3. Хранение ПД.
    • 3.1. ПД субъектов могут быть получены, обработаны и переданы на хранение как на бумажных носителях, так и в электронном виде.
    • 3.2. ПД субъектов, обрабатываемые с использованием средств автоматизации в различных целях, должны храниться в различных папках.
    • 3.3. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
  • 4. Уничтожение ПД.
    • 4.1. ПД подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
    • 4.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
  • 5. Передача ПД.
    • 5.1. Передача ПД третьим лицам осуществляется Оператором в следующих случаях:

– субъект ПД выразил свое согласие на такие действия;

– передача ПД предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

  • 5.2. Представители органов государственной власти (в том числе контролирующих, надзорных, правоохранительных, дознания и следствия и иных уполномоченных органов по основаниям, предусмотренным действующим законодательством Российской Федерации) получают доступ к персональным данным, обрабатываемым Оператором, в объеме и порядке, установленном законодательством Российской Федерации.
  1. Защита персональных данных.
    • 1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
    • 2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
    • 3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации.
    • 4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
    • 5. Основными мерами защиты ПД, используемыми Оператором, являются:
      • 5.1. назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Оператором требований к защите ПД;
      • 5.2. определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД;
      • 5.3. разработка настоящей Политики в отношении обработки персональных данных;
      • 5.4. установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД;
      • 5.5. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
      • 5.6. использование сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
      • 5.7. соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ;
      • 5.8. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
      • 5.9. восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
      • 5.10. обучение лиц, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;
      • 5.11. осуществление внутреннего контроля и аудита.
  1. Основные права субъекта ПД.
    • 1. Субъект персональных данных имеет право на доступ к его персональным данным и следующим сведениям:
      • 1.1. подтверждение факта обработки ПД Оператором;
      • 1.2. правовые основания и цели обработки ПД;
      • 1.3. цели и применяемые Оператором способы обработки ПД;
      • 1.4. наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;
      • 1.5. сроки обработки персональных данных, в том числе сроки их хранения;
      • 1.6. порядок осуществления субъектом ПД прав, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006;
      • 1.7. наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;
    • 2. Субъект персональных данных имеет право на обращение к Оператору и направление ему запросов.
    • 3. Субъект персональных данных имеет право на уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также на отзыв согласия на обработку персональных данных.
    • 4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
  2. Обязанности Оператора.

Оператор обязан:

  • 1. при сборе ПД предоставить информацию об обработке ПД;
  • 2. при отказе в предоставлении ПД субъекту разъяснять последствия такого отказа;
  • 3. опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, а также к сведениям о реализуемых требованиях к защите ПД;
  • 4. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
  • 5. давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.
  1. Заключительные положения.

Иные права и обязанности Оператора как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.

Подтверждая свое ознакомление и согласие с настоящей Политикой обработки и защиты персональных данных Общероссийской общественной организации «Научное сообщество по содействию клиническому изучению микробиома человека», я подтверждаю, что ознакомлен с текстом Политики в полном объёме, каких-либо возражений по тексту не имею.