Раздел 1. Общие положения
1. Настоящая политика в отношении обработки и защиты персональных данных (далее – Политика) принята и действует в Автономной некоммерческой организации «Центр развития социальных инициатив» (далее – Оператор).
2. Политика определяет цели и общие принципы обработки персональных данных, а также меры защиты персональных данных, реализуемые Оператором.
3. Политика является общедоступным документом и размещается на сайтах Оператора и/или страницах Оператора в социальных сетях и/или в информационных каналах Оператора. Политика дает возможность ознакомиться с ней неограниченному кругу лиц.
4. В Политике используются термины и определения в тех значениях, как они определены в Федеральном законе от 27.07.2006 г № 152-ФЗ «О персональных данных» и в иных нормативных правовых актах:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5. Оператор обрабатывает и защищает персональные данные, которые субъект персональных данных предоставляет Оператору в соответствии с законодательством Российской Федерации и Политикой.
6. Обработка персональных данных ограничивается достижением заранее определенных и законных целей, которые определяются уставом Оператора, осуществляемой Оператором деятельностью и конкретными взаимоотношениями Оператора и субъекта персональных данных. Обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается.
7. Обработка персональных данных осуществляется Оператором с соблюдением принципов и условий, предусмотренных Политикой и законодательством Российской Федерации в области персональных данных.

Раздел 2. Правовые основания обработки персональных данных
1. Обработка персональных данных осуществляется Оператором на законной основе на основании следующих документов:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации:
• Федеральный закон от 12.01.1996 №7-ФЗ «О некоммерческих организациях»;
• Федеральный закон от 11.08.1995 №135-ФЗ «О благотворительной деятельности и добровольчестве (волонтерстве)»;
• Федеральный закон от 06.04.2011 №63-ФЗ «Об электронной подписи»;
• Федеральный закон от 07.07.2003 N-126-03 «О связи»;
• Федеральный закон от 01.04.1996 №27-ОЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 22.10.2004 N-125-03 «Об архивном деле в РФ»;
• Устав Оператора;
• договоры, заключаемые между Оператором и субъектами персональных данных;
• согласие на обработку персональных данных, согласие на съемку и использование изображений, согласие на распространение персональных данных.

Раздел 3. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
1. Содержание и объем обрабатываемых персональных данных соответствует целям обработки и определяется характером отношений между Оператором и субъектом персональных данных.
2. К категориям субъектов, чьи персональные данные могут обрабатываться Оператором, относятся:

• работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
• контрагенты Оператора (физические лица, в том числе зарегистрированные в качестве Индивидуальных предпринимателей и самозанятых);
• представители/работники контрагентов Оператора (юридических лиц);
• благополучатели Оператора;
• благотворители Оператора;
• победители конкурсов, проводимых Оператором;
• добровольцы (волонтеры), участвующие в благотворительной деятельности Оператора;
• участники мероприятий, проводимых Оператором;
• участники программ, реализуемых Оператором;
• учредители/члены органов Оператора.

3. Обработка специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости) осуществляется Оператором в строгом соответствии с требованиями законодательства, исключительно при наличии письменного согласия субъекта.
4. Обработка биометрических персональных данных Оператором не осуществляется.
5. Оператор обрабатывает технические данные об использовании субъектом персональных данных сайтов Оператора (автоматически передаваемые устройствами, используемыми субъектом персональных данных для заполнения соответствующих форм (полей) на сайтах Оператора, в том числе технические характеристики устройств, IP-адрес, информацию в файлах «cookies», информацию о браузере, дата и время пользования сайтами, адреса запрашиваемых страниц сайтов Оператора и иную подобную информацию) исключительно в целях обеспечения функционирования и безопасности сайтов, а также улучшения их качества.
6. Оператор на сайтах использует метрическую программу — сервис веб-аналитики «Яндекс.Метрика» с целью анализа пользовательской активности сайтов Оператора, проведения ретаргетинга, проведения статистических исследований и обзоров.
Категории обрабатываемых данных: файлы «cookies» (куки-файлы).
Категории субъектов персональных данных, чьи данные обрабатываются: все пользователи сайта, которые дали согласие на обработку файлов «cookies».

Раздел 4. Порядок и условия обработки персональных данных
1. Оператор осуществляет обработку персональных данных смешанным способом, как с использованием средств автоматизации, так и без таковых.
2. Оператором осуществляются следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3. При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация.
4. Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», осуществляется Оператором с письменного согласия субъекта персональных данных. Равнозначным согласию в письменной форме на бумажном носителе, содержащему собственноручную подпись субъекта персональных данных, признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью.
5. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не предусмотрено законом. Форма согласия на обработку персональных данных разрабатывается Оператором в соответствии с требованиями ст. 9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
6. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется Оператором в строгом соответствии с требованиями ст. 10.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Форма согласия на такую обработку соответствует требованиям Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 №18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
7. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки.
8. При осуществлении хранения персональных данных Оператор персональных данных использует базы данных, находящиеся на территории Российской Федерации.
9. Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление случаев неправомерной обработки персональных данных.
10. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений и поручений. Вышеуказанные документы могут определять, в частности:
- цели, условия, сроки обработки персональных данных;
- обязательства сторон, в том числе меры по обеспечению безопасности персональных данных;
- права, обязанности и ответственность сторон, касающиеся обработки персональных данных.
11. В случаях, прямо не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий публичной оферты, проставления соответствующих отметок, заполнения полей в формах (в т.ч. электронных), бланках, или оформлено в письменной форме в соответствии с законодательством.
12. Оператор обязан передавать персональные данные органам дознания и предварительного следствия, иным уполномоченным органам в соответствии с их компетенцией и исключительно по основаниям, предусмотренным действующим законодательством Российской Федерации.
13. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных, их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
- назначение работников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
- проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
- издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
- обеспечение безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
- ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
- учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
- резервное копирование информации для возможности восстановления;
- осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

Раздел 5. Права субъектов персональных данных
1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору любым доступным способом, позволяющим идентифицировать субъекта персональных данных.
2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами.
3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор) или в судебном порядке.
5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Раздел 6. Права и обязанности Оператора
1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.
2. Контроль исполнения требований Политики осуществляется ответственным за организацию обработки персональных данных.
3. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и данным лицом гражданско-правового договора.
4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут установленную законодательством материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность.
5. На сайтах Оператора и/или страницах Оператора в социальных сетях и/или в информационных каналах могут быть размещены ссылки на сторонние сайты и службы, деятельность которых Оператор не контролирует. Оператор не несет ответственности за безопасность персональных данных, предоставленных субъектом персональных данных при переходе по данным ссылкам.

Раздел 7. Изменение Политики
1. Политика действует бессрочно до ее отмены или замены новой версией Политики.
2. Оператор вправе изменять (обновлять) Политику в случае изменения требований законодательства или по мере необходимости. В случае изменения Политики Оператор размещает на своих сайтах Оператора и/или страницах Оператора в социальных сетях и/или в информационных каналах соответствующее информационное сообщение. Продолжая пользоваться сайтами Оператора и/или страницами Оператора в социальных сетях и/или в информационными каналами после размещения вышеуказанного информационного сообщения, субъект персональных данных тем самым подтверждает свое согласие на обработку его персональных данных с учетом внесенных в Политику изменений.