Помощь в подготовке документов по защите персональных данных на сайте благотворительного фонда.

Мы зарегистрировали благотворительный фонд защиты животных "Благое Дело". Сейчас в наших планах создание сайта. В связи с этим необходимо решение по включению фонда в реестр операторов, осуществляющих обработку персональных данных.

При изучении этого вопроса я понял алгоритм заполнения формы уведомления в Роскомнадзор на включение фонда в реестр операторов, осуществляющих обработку персональных данных.

Но появились вопросы, по которым я прошу вашего пояснения и помощи.

По двум пунктам формы (1 - "Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»", 2 - "Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ ") у меня появились вопросы:

1. При заполнении этих пунктов я увидел требования (и в первом, и во втором, в той или иной степени, напрямую или косвенно, через ссылки) исполнения следующих НПА:

- Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных";

- Постановление Правительства РФ от 01.11.2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

- Приказ ФСБ России от 10.07.2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

Соответственно, возник вопрос:

Необходимо-ли при заполнении данных пунктов формы расписывать полностью все требования указанных НПА или достаточно основных требований?

Когда я начал готовить заполнение формы по этим вопросам, я подготовил "заготовку" этого заполнения (вложенный файл). Но, в процессе заполнения я отследил все требования, все ссылки на НПА, в связи с чем я понял, что необходимо дальнейшее изучение вопроса и помощь.

Соответственно, кроме вопроса у меня появились 2 просьбы:

1. Рассмотреть и скорректировать мою "заготовку" по заполнению этих вопросов формы и дополнительно, еще по двум вопросам (3 - "Правовое основание обработки персональных данных”, 4 - “Цель обработки персональных данных"). На всякий случай, так как по ним, по еще двум вопросам, мне, вроде, все понятно).

2. Оказать помощь в подготовке следующих документов, которые должны быть у фонда (если необходимо, скорректировать перечень документов):

1. Политика конфиденциальности (она же политика обработки персональных данных) для сайта/мобильного приложения фонда.

2. Пользовательское соглашение (оно же договор-оферта и оно же лицензионное соглашение) для сайта/мобильного приложения фонда.

3. Положение об обработке персональных данных фонда.

4. Положение о конфиденциальности у фонда (если это необходимо).

1.5. Форма приказа о назначении ответственного по персональным данным.

1.6. Инструкция ответственного за обработку персональных данных.

1.7. Формы приказа об утверждении положения о персональных данных

Учитывая, что фонд у нас еще только в начале пути, прошу рассмотреть возможность оказания вашей услуги в режиме

pro-bono.

Заранее благодарю!

С уважением, Богомолов А.В., заместитель руководителя Благотворительного фонда защиты животных "Благое Дело"

89059400919

factory-2@mail.ru

"Заготовка":

Правовое основание обработки персональных данных * руководствуясь:

• Конституцией Российской Федерации;

• Гражданским кодексом Российской Федерации;

• Налоговым кодексом Российской Федерации;

• Трудовым кодексом Российской Федерации;

• Федеральным Законом от 27.07.2006 г. № 152-ФЗ “О персональных данных”;

• Федеральным Законом от 27.07.2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;

• Законом Российской Федерации от 27.12.1991 N 2124-1 “О средствах массовой информации»;

• Федеральным Законом от 11.08.1995 г. № 135-ФЗ ”О благотворительной деятельности и добровольчестве (волонтерстве)”,

• Федеральным Законом от 12.01.1996 г. № 7-ФЗ “О некоммерческих организациях”,

• Уставом Благотворительного Фонда помощи животным “Благое Дело”

• Федеральным законом от 19.12.2005 г. №160-ФЗ “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных”;

• Федерального закона от 08.08.2001 N 129-ФЗ “О государственной регистрации юридических лиц и индивидуальных предпринимателей”;

• Федерального закона от 26.07.2006 N135-ФЗ “О защите конкуренции”/

Цель обработки персональных данных * с целью:

• Достижения целей, предусмотренных Уставом Благотворительного Фонда помощи животным "Благое Дело”;

• Оказания благотворительной помощи (в т.ч. сбор благотворительных пожертвований, оплата благотворительных пожертвований);

• Организации коммуникаций и оповещений, осуществления информационных рассылок;

• Оказания услуги по созданию личного кабинета на сайте Оператора;

• Исполнения обязанностей, возложенных на Оператора действующим законодательством РФ;

• Осуществления прав и законных интересов Оператора и третьих лиц, в том числе по исполнению требований действующего законодательства Российской Федерации, обеспечению безопасности деятельности;

• Достижения общественно значимых целей с использованием эффективных инструментов для выполнения требований действующего законодательства Российской Федерации, противодействия коррупции, мошенничеству, легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

• Осуществления прав и обязанностей работодателя, обучения работников Оператора, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Оператора, обеспечения пользования работниками установленными законодательством РФ гарантиями, компенсациями и льготами, ведение кадрового делопроизводства;

• Заключения и исполнения обязательств по договорам гражданско-правового характера, в том числе по трудовым договорам и государственным контрактам;

• Осуществления обратной связи с пользователями Интернет-сайтов Оператора, в том числе для получения от пользователей мнений, вопросов по информации сайтов и информационным продуктам Оператора, а также для направления им ответов;

• Формирование обезличенного цифрового портрета пользователя сайта Оператора, лица, осуществляющего платежи через сайт Оператора.

• Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» *:

Организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

Организационные меры:

1. Оформлена Политика Оператора в отношении обработки и защиты персональных данных. Политика опубликована на сайте Оператора ………..

2. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства:

- Приказ о назначении лица, ответственного за организацию обработки персональных данных (администратора безопасности персональных данных) с номерами контактных телефонов, почтовым адресом и адресом электронной почты;

- Инструкция по работе администратора безопасности персональных данных;

- Перечень персональных данных, подлежащих защите;

- Положение об обработке и защите персональных данных;

- Приказ об утверждении перечня лиц, допущенных к обработке персональных данных;

- Положение о разграничении прав доступа сотрудников к базе персональных данных;

- Положение о правилах доступа к персональным данным;

- Перечень информационных систем персональных данных;

- Правила обработки персональных данных без использования средств автоматизации;

- Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении;

- Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;

- Оформлен журнал учета машинных носителей персональных.

3. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, знакомятся с документами о политике Оператора в отношении обработки персональных данных, нормами законодательства, подписывают соглашение о неразглашении персональных данных, об ознакомлении с документами по защите персональных данных.

Технические меры:

1. Определено место хранения информации с персональными данными, обеспечена сохранность информации с персональными данными.

2. На ЭВМ Оператора установлено антивирусное программное обеспечение.

3. Исключен несанкционированный доступ к системе обеспечения защищенности персональных данных.

4. Информация с персональными данными передается на магнитных и бумажных носителях только лицами, допущенными к обработке персональных данных, а также по специально выделенной сети.

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ *

1. Определены угрозы безопасности персональных данных при их обработке в информационных системах;

2. Проведена оценка эффективности принимаемых мер по обеспечению безопасности прсональных данных.

3. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратора безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.

4. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности персональных данных и положением об обработке и защите персональных данных.

5. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности персональных данных.

6. Положение о разграничении прав доступа сотрудников к базе персональных данных технически реализуются с помощью средств защиты информации.