1. Общие положения
1.1.
Настоящая Политика описывает принципы и порядок обработки персональных
данных Российским научным фондом (далее – РНФ), расположенным по адресу: г. Москва, ул. Солянка, д.
12-14, строение 3, а также реализованные РНФ меры защиты персональных данных. Настоящая политика
размещается во всех местах сбора персональных данных РНФ и рекомендована к ознакомлению всем
субъектам персональных данных, предоставляющим свои данные РНФ.
1.2.
В настоящей Политике используются следующие термины.
(1)
«Закон о персональных данных» – Федеральный закон от 27.07.2006
№ 152-ФЗ «О персональных данных».
(2)
«Ответственное лицо» – Работник/и РНФ или иное лицо, на
которое/ых решением генерального директора возложена обязанность по организации обработки
персональных данных и по контролю соблюдения настоящей Политики.
(3)
«Ответственный администратор» – Работник РНФ или иное лицо, на
которое решением Генерального директора возложена обязанность по обеспечению безопасности
персональных данных, обрабатываемых в информационных системах.
(4)
«Получатели финансирования» – организации, которые состоят с РНФ
в правовых отношениях, связанных с финансированием фундаментальных научных исследований и поисковых
научных исследований за счет средств РНФ.
(5)
«Пользователи» – посетители Сайтов, предоставившие РНФ свои
персональные данные через формы на Сайте или посредством обращения по контактным адресам электронной
почты.
(6)
«Поставщики» – юридические и физические лица, осуществляющие
поставку товаров, оказание услуг или выполнение работ в интересах РНФ.
(7)
«Работники» – физические лица, состоящие или состоявшие с РНФ в
трудовых отношениях.
(8)
«Сайты» – сайты в сети Интернет, владельцем которых является
РНФ.
(9)
«Соискатели» – физические лица, претендующие или претендовавшие
на замещение вакансий Работников.
(10)
«Участники программ и проектов» – физические лица, выступающие
руководителями или исполнителями программ и проектов в заявках, подаваемых на конкурсы РНФ, а также
физические лица, выступающие руководителями и исполнителями программ и проектов, финансируемых РНФ.
(11)
«Эксперты» – лица, привлеченные или привлекавшиеся РНФ в целях
научнометодического, аналитического и экспертного обеспечения деятельности РНФ, связанной с
конкурсным отбором программ и проектов, а также с осуществлением контроля за реализацией
финансируемых РНФ программ и проектов (как в составе экспертных советов, так и независимо).
1.3.
Термины, не определенные в настоящей Политике, имеют значение, которое
придается им законодательством Российской Федерации и, в первую очередь,
Законом о персональных данных.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1.
Обработка персональных данных осуществляется РНФ на основе принципов:
(1)
законности целей и способов обработки персональных данных;
(2)
соответствия целей обработки персональных данных целям, заранее
определенным и заявленным при сборе персональных данных;
(3)
соответствия объема и характера обрабатываемых персональных данных,
способов их обработки целям обработки персональных данных;
(4)
точности и актуальности персональных данных, их достаточности для целей
обработки, недопустимости обработки персональных данных, избыточных по
отношению к целям, заявленным при сборе персональных данных;
(5)
недопустимости объединения созданных для несовместимых между собой
целей баз данных, содержащих персональные данные.
2.2.
В отношении персональных данных вводится режим конфиденциальности.
Обработка персональных данных лицами, не допущенными к их обработке в
установленном порядке, не допускается
3. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.
Правовыми основаниями обработки персональных данных РНФ являются
Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации,
Гражданский кодекс Российской Федерации, Федеральный закон от 02.11.2013
№ 291-ФЗ «О Российском научном фонде и внесении изменений в отдельные
законодательные акты Российской Федерации», Федеральный закон от 06.12.2011
№ 402-ФЗ «О бухгалтерском учете», Приказ Минкультуры России от 25.08.2010
№ 558 «Об утверждении «Перечня типовых управленческих архивных документов,
образующихся в процессе деятельности государственных органов, органов местного
самоуправления и организаций, с указанием сроков хранения», другие нормативные
правовые акты, регулирующие деятельность РНФ, а также его учредительные
документы.
3.2.
Если обработка персональных данных не предусмотрена законодательными
актами Российской Федерации, РНФ осуществляет обработку персональных данных только
в следующих случаях:
(1)
РНФ или иным лицом получено согласие субъекта персональных
данных на обработку его персональных данных РНФ;
(2)
обработка персональных данных необходима для исполнения
договора, стороной которого либо выгодоприобретателем по которому является субъект
персональных данных;
(3)
обработка персональных данных необходима для заключения
договора по инициативе субъекта персональных данных или договора, по которому субъект
персональных данных будет являться выгодоприобретателем или
поручителем;
(4)
обработка персональных данных необходима для осуществления прав
и законных интересов РНФ или третьих лиц;
(5)
обработка персональных данных осуществляется в статистических
или иных исследовательских целях, при условии обязательного обезличивания
персональных данных РНФ;
(6)
доступ неограниченного круга лиц к обрабатываемым персональным
данным предоставлен субъектом персональных данных либо по его просьбе.
4. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1.
РНФ осуществляет обработку только тех персональных данных, которые:
(1)
были предоставлены РНФ субъектами персональных данных;
(2)
были предоставлены РНФ третьими лицами с согласия субъектов
персональных данных;
(3)
были размещены в открытом доступе субъектом персональных данных
либо по его просьбе.
4.2.
РНФ не осуществляет обработку биометрических персональных данных, а
также специальных категорий персональных данных.
5. ЦЕЛИ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.
Персональные данные разных категорий субъектов персональных данных
обрабатываются РНФ в различных целях. Если субъект персональных данных
относится к нескольким категориям, его персональные данные могут
обрабатываться в целях, характерных для каждой из таких категорий.
5.2.
Персональные данные
Работников обрабатываются РНФ для достижения
следующих целей:
(а)
содействие в трудоустройстве, обучении и продвижении по службе;
(б)
обеспечение личной безопасности;
(в)
контроль и оценка объема и качества работы;
(г)
обеспечение сохранности имущества РНФ (включая организацию
контрольнопропускного режима, контроль выдачи оборудования и доступа к информации,
обладателем которой является РНФ);
(д)
исполнение трудовых договоров, заключенных с Работниками,
включая начисление и выплату заработной платы и иных вознаграждений и
компенсаций;
(е)
обеспечение текущей хозяйственной деятельности РНФ (включая
кадровое делопроизводство, юридическое сопровождение, бухгалтерский, налоговый и
управленческий учет, а также обслуживание информационной
инфраструктуры);
(ж)
соблюдение требований российского законодательства.
5.3.
Персональные данные
Участников проектов обрабатываются РНФ для
достижения следующих целей:
(а)
заключение и исполнение договоров с Получателями финансирования
(включая оценку заявок с привлечением Экспертов и контроль реализации
проектов и программ, финансируемых РНФ);
(б)
рассмотрение обращений Участников проектов;
(в)
обеспечение текущей хозяйственной деятельности РНФ (включая
юридическое сопровождение, бухгалтерский, налоговый и управленческий
учет, а также обслуживание информационной инфраструктуры);
(г)
долгосрочное хранение сведений об Участниках программ и
проектов;
(д)
соблюдение требований российского законодательства.
5.4.
Персональные данные представителей
Поставщиков и
Получателей
финансирования обрабатываются РНФ для достижения следующих целей:
(а)
исполнение договоров с Поставщиками и Получателями
финансирования;
(б)
рассмотрение обращений представителей Поставщиков и Получателей
финансирования;
(в)
обеспечение текущей хозяйственной деятельности РНФ (включая
юридическое сопровождение, бухгалтерский, налоговый и управленческий
учет, а также обслуживание информационной инфраструктуры).
5.5.
Персональные данные
Экспертов обрабатываются РНФ для достижения
следующих целей:
(а)
заключение и исполнение договоров, заключаемых с Экспертами
(включая оценку кандидатур Экспертов и организацию проведения экспертизы
программ и проектов);
(б)
рассмотрение обращений Экспертов;
(в)
обеспечение текущей хозяйственной деятельности РНФ (включая
юридическое сопровождение, бухгалтерский, налоговый и управленческий
учет, а также обслуживание информационной инфраструктуры);
(г)
долгосрочное хранение сведений об Экспертах, которые
осуществляли экспертную деятельность в рамках определения перспективных программ и
проектов;
(д)
соблюдение требований российского законодательства.
5.6.
Персональные данные
Пользователей обрабатываются РНФ для
достижения
следующих целей:
(а)
рассмотрение обращений Пользователей;
(б)
управление доступом к Информационно-аналитической системе (ИАС)
РНФ;
(в)
анализ статистики использования Сайтов РНФ.
5.7.
Персональные данные Соискателей обрабатываются РНФ исключительно с целью
рассмотрения вопроса о возможности заключения с Соискателем трудового
договора. Кадровый резерв в РНФ не ведется.
5.8.
Наряду с указанными выше категориями субъектов персональных данных, РНФ
осуществляет обработку персональных данных родственников Работников для
исполнения требований российского законодательства, касающихся предоставления
льгот и компенсаций определенным категориям Работников.
5.9.
Поскольку указанные операции соответствуют заявленным выше целям,
персональные данные могут обрабатываться как с использованием средств
автоматизации, так и без их применения посредством их сбора, систематизации,
накопления, хранения, уточнения, использования, блокирования, передачи,
распространения (в ограниченных пределах) и уничтожения.
6. ХРАНЕНИЕ И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1.
Персональные данные хранятся в запираемых помещениях, свободный доступ
в
которые имеют только Работники, имеющие право доступа к обрабатываемым в них
персональным данным. Иные лица имеют право доступа в указанные помещения
только в присутствии уполномоченных Работников, которые должны осуществлять
контроль соблюдения такими лицами ограничений доступа к персональным данным.
6.2.
В случае потенциального неконтролируемого доступа в помещения лиц, не
имеющих права доступа ко всем хранящимся в таких помещениях персональным
данным, соответствующие носители персональных данных должны храниться в
запираемых шкафах, ящиках столов, сейфах. При этом должны быть созданы
надлежащие условия, обеспечивающие их сохранность и защиту от
несанкционированного доступа.
6.3.
При обработке персональных данных в электронном виде реализуются
организационные, правовые и технические меры защиты, исключающие
возможность несанкционированного доступа к персональным данным лиц, не
допущенных к их обработке. Среди прочего, указанные меры включают:
(а)
моделирование угроз безопасности персональных данных;
(б)
обеспечение режима безопасности помещений, в которых размещены
информационные системы персональных данных, препятствующий
возможности неконтролируемого проникновения или пребывания в этих
помещениях лиц, не имеющих права доступа в них;
(в)
определение перечня лиц, доступ которых к персональным данным
необходим
для выполнения ими служебных обязанностей;
(г)
обеспечение сохранности носителей персональных данных (в том
числе, учет
съемных машинных носителей персональных данных);
(д)
управление доступом к персональным данным (включая применение
мер
парольной защиты);
(е)
контроль защищенности персональных данных (включая контроль
установки
обновлений программного обеспечения);
(ж)
обеспечение доступности персональных данных (в том числе,
посредством
резервного копирования персональных данных с установленной
периодичностью);
(з)
антивирусную защиту информационных систем персональных
данных.
7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1.
Состав лиц, которым передаются персональные данные, различается для
разных
категорий субъектов персональных данных.
7.1.1.
Персональные данные Работников могут передаваться с письменных
согласий
Работников кредитным организациям, осуществляющим сопровождение
зарплатных программ по выпуску банковских карт; российским кредитным
организациям, в которых размещаются временно-свободные средства РНФ,
Центральному банку Российской Федерации, организациям, обеспечивающим
контрольно-пропускной режим на территории РНФ; организациям, оказывающим
РНФ услуги архивного хранения документов, медицинским организациям,
оказывающим платные медицинские услуги Работникам, а также провайдерам услуг
технической поддержки информационных ресурсов РНФ.
7.1.2.
Персональные данные Участников проектов могут передаваться
Экспертам,
осуществляющим экспертизу заявок; специальной организации, привлеченной для
контроля выполнения условий соглашений о предоставлении бюджетного
финансирования (монитору); организациям, оказывающим РНФ услуги архивного
хранения документов, а также провайдерам услуг технической поддержки
информационных ресурсов РНФ.
7.1.3.
Персональные данные представителей Поставщиков и Получателей
финансирования передаются организациям, оказывающим РНФ услуги архивного
хранения документов, а также провайдерам услуг технической поддержки
информационных ресурсов РНФ.
7.1.4.
Персональные данные Экспертов передаются другим Экспертам;
специальной
организации, привлеченной для контроля выполнения условий соглашений о
предоставлении бюджетного финансирования (монитору); организациям,
оказывающим РНФ услуги архивного хранения документов, а также провайдерам
услуг технической поддержки информационных ресурсов РНФ.
7.1.5.
Персональные данные Пользователей передаются только провайдерам
услуг
технической поддержки информационных ресурсов РНФ.
7.2.
При передаче персональных данных третьим лицам РНФ уведомляет указанных
лиц
об обязательности сохранения конфиденциальности персональных данных и
использования их лишь в тех целях, для которых они переданы.
7.3.
При передаче персональных данных лицам, обрабатывающим эти данные по
поручению (в интересах) РНФ, в соглашениях с такими лицами предусматриваются:
(1)
перечень действий (операций) с персональными данными, которые
будут
совершаться лицом, осуществляющим обработку персональных данных;
(2)
допустимые цели обработки данных таким лицом;
(3)
обязанность такого лица соблюдать конфиденциальность
персональных
данных и обеспечивать безопасность персональных данных при их обработке;
(4)
конкретные требования к защите обрабатываемых персональных
данных.
7.4.
Предоставление персональных данных государственным органам
производится в
соответствии с требованиями действующего законодательства Российской
Федерации.
8. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1.
Обработка персональных данных (в том числе, их хранение) подлежит
прекращению
по достижении целей обработки соответствующих данных, а также в случае
отпадения оснований для обработки персональных данных.
8.2.
Сроки обработки персональных данных Работников определяются
условиями
подписанных ими письменных согласий. Персональные данные Экспертов,
Участников проектов и Пользователей могут обрабатываться РНФ до прекращения
деятельности РНФ как юридического лица.
9. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1.
Субъекты персональных данных вправе:
(1)
получать доступ к информации, касающейся обработки их
персональных
данных;
(2)
требовать от РНФ уточнения персональных данных, их
блокирования или
уничтожения в случае, если персональные данные являются неполными,
устаревшими, неточными, незаконно полученными или не являются
необходимыми для заявленной цели обработки;
(3)
обжаловать в суд любые неправомерные действия или
бездействия РНФ при
обработке и защите персональных данных, а также принимать иные
предусмотренные законом меры по защите своих прав.
9.2.
Субъект персональных данных имеет право на получение информации,
касающейся
обработки его персональных данных, содержащей:
(а)
подтверждение факта обработки персональных данных РНФ;
(б)
правовые основания и цели обработки персональных данных;
(в)
применяемые РНФ способы обработки персональных данных;
(г)
наименование и место нахождения РНФ, сведения о лицах,
которые имеют
доступ к персональным данным или которым могут быть раскрыты
персональные данные на основании договора с РНФ или на основании
федерального закона;
(д)
обрабатываемые персональные данные, относящиеся к
соответствующему
субъекту персональных данных, источник их получения, если иной порядок
представления таких данных не предусмотрен федеральным законом;
(е)
сроки обработки персональных данных, в том числе сроки их
хранения;
(ж)
порядок осуществления субъектом персональных данных прав,
предусмотренных Законом о персональных данных;
(з)
информацию о трансграничной передаче данных;
(и)
сведения о месте нахождения базы данных информации,
содержащей
персональные данные;
(к)
наименование или фамилию, имя, отчество и адрес лица,
осуществляющего
обработку персональных данных по поручению РНФ, если обработка поручена
или будет поручена такому лицу;
(л)
иные сведения, предусмотренные Законом о персональных
данных или
другими федеральными законами.
9.3.
Сведения, указанные в пункте 9.2, предоставляются субъекту
персональных данных
или его представителю при обращении либо при получении запроса субъекта
персональных данных или его представителя. Запрос должен содержать номер
основного документа, удостоверяющего личность субъекта персональных данных
или его представителя, сведения о дате выдачи указанного документа и выдавшем
его органе, сведения, подтверждающие участие субъекта персональных данных в
отношениях с РНФ, либо сведения, иным образом подтверждающие факт обработки
персональных данных РНФ. Кроме того, запрос должен быть подписан субъектом
персональных данных или его представителем.
9.4.
Если лицо, обратившееся в РНФ с запросом, не уполномочено на
получение
информации, относящейся к персональным данным, соответствующему лицу
отказывается в выдаче такой информации. Лицу, обратившемуся с
соответствующим запросом, выдается уведомление об отказе в выдаче информации.
9.5.
Ответы на письменные запросы о предоставлении сведений, указанных в
пункте 9.2,
направляются в течение 5 (пяти) рабочих дней с момента их поступления в РНФ.
9.6.
В случае получения обращения, содержащего информацию об обработке
РНФ
неточных персональных данных или неправомерной обработке персональных
данных, ответственное за рассмотрение запроса лицо незамедлительно организует
блокирование таких персональных данных на период проверки. В случае сообщения
об обработке РНФ неточных персональных данных блокирование осуществляется
при условии, что оно не нарушает права и законные интересы субъекта
персональных данных или третьих лиц.
9.7.
В случае подтверждения факта неточности обрабатываемых персональных
данных
на основании сведений, представленных субъектом персональных данных, его
представителем или уполномоченным органом по защите прав субъектов
персональных данных, обеспечивается уточнение персональных данных в течение 7
(семи) рабочих дней со дня представления таких сведений. Если уточнение данных
невозможно осуществить в указанный срок, уточнение осуществляется в
кратчайшие возможные сроки. Разблокирование данных производится по получении
согласия субъекта персональных данных на продолжение их обработки в
неизменном виде или по итогам их уточнения.
9.8.
В случае выявления по итогам проверки неправомерной обработки
персональных
данных РНФ, производится устранение нарушения в срок, не превышающий 3 (три)
рабочих дня с момента подтверждения факта неправомерной обработки. Если
обеспечить правомерность обработки персональных данных невозможно, в срок, не
превышающий 10 (десять) рабочих дней со дня выявления неправомерной
обработки персональных данных, производится уничтожение данных. Об
устранении допущенных нарушений или об уничтожении персональных данных
немедленно уведомляется субъект персональных данных или его представитель, а
если обращение либо запрос были направлены уполномоченным органом по защите
прав субъектов персональных данных – также указанный орган.
9.9.
В случае отзыва субъектом персональных данных согласия на обработку
его данных
Работники РНФ обязаны прекратить обработку персональных данных и уничтожить
их в течение 30 (тридцати) дней. Требования настоящего пункта не подлежат
применению, если иное предусмотрено договором, стороной которого,
выгодоприобретателем или поручителем по которому является субъект
персональных данных, или действующим законодательством.