0%
Назад
© Культурно-исторический фонд «Связь времен». Музей Фаберже в Санкт-Петербурге
  • Политика в отношении обработки персональных данных

Политика в отношении обработки персональных данных

Политика в отношении обработки персональных данных в Некоммерческой организации «Культурно-исторический Фонд «Связь времен» (утверждена приказом №24 от 27.05.2025 г.)

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных, далее – Политика, подготовлена в соответствии с требованиями Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 года (далее – «Закон») и определяет действия НЕКОММЕРЧЕСКОЙ ОРГАНИЗАЦИИ «КУЛЬТУРНО-ИСТОРИЧЕСКИЙ ФОНД «СВЯЗЬ ВРЕМЕН» (ОГРН: 1047796221813; ИНН: 7705590672; адрес местонахождения: 123112, город Москва, Пресненская набережная, дом 8, строение 1; адрес электронной почты: info@fsv.ru), далее – Оператор, в области обработки и защиты персональных данных, далее – Данные, соблюдения прав и свобод человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.

2. Область применения

2.1. Настоящая Политика конфиденциальности распространяется на информацию, полученную как до, так и после вступления в силу настоящей Политики.

2.2. Осознавая значимость и ценность обрабатываемых данных, а также руководствуясь принципами соблюдения конституционных прав и свобод граждан Российской Федерации и иностранных граждан, Оператор обязуется обеспечить надежную защиту данных.

3. Определения

3.1. Под Данными понимается любая информация, которая может быть прямо или косвенно связана с конкретным или идентифицируемым физическим лицом. К таким данным относятся: фамилия, имя, отчество, адрес регистрации или отправки корреспонденции, адрес электронной почты, номер телефона, дата и место рождения, ссылка на персональный веб-сайт или аккаунты в социальных сетях, а также IP-адрес. В отношении работников Оператора под Данными дополнительно понимается паспортные данные (серия, номер, кем и когда выдан); адрес регистрации; ИНН; СНИЛС; семейное положение, наличие детей (для налоговых вычетов); должность; профессия; квалификация; размер заработной платы, реквизиты банковского счета для перечисления зарплаты; трудовая книжка (сведения о предыдущих местах работы); данные об образовании (дипломы, сертификаты); воинский учет (для военнообязанных); медицинские справки (для водителей, работы с детьми и т.д.); данные о здоровье (если работник предоставляет добровольно, например, для льгот); график работы, отпуска, больничные; дисциплинарные взыскания, поощрения; командировки, служебные поездки; доступ к корпоративным системам (логины, пароли, IP-адреса)

3.2. Под обработкой Данных понимается любое действие (операция) или совокупность действий (операций), производимых с данными с использованием автоматизированных средств и/или без их применения. К таким действиям (операциям) относятся: сбор, фиксация, классификация, агрегация, архивирование, хранение, модификация (обновление, изменение), извлечение, применение, передача (распространение, предоставление, доступ), анонимизация, блокирование, удаление и уничтожение данных.

3.3. Под безопасностью Данных подразумевается обеспечение защищенности информации от неправомерного и/или несанкционированного доступа, а также от других видов неправомерных действий, включая уничтожение, изменение, блокирование, копирование, предоставление и распространение данных.

4. Правовые основания и цели обработки Данных

4.1. Обработка и обеспечение безопасности персональных данных осуществляется Оператором в строгом соответствии с требованиями Конституции Российской Федерации, Федерального закона "О персональных данных", Трудового кодекса Российской Федерации, подзаконных нормативных правовых актов, а также иных федеральных законов Российской Федерации, регулирующих особенности обработки персональных данных, руководящих и методических документов.

4.2. Субъектами Данных, обрабатываемых Оператором, являются:

  • Потребители, включая посетителей веб-сайта https://fabergemuseum.ru/, далее - Сайт, принадлежащего Оператору, в том числе для оформления билетов на Сайте с последующей их доставкой;
  • Участники специальных программ Оператора, включая программы лояльности;
  • Физические лица, с которыми Оператор заключает договоры гражданско-правового характера;
  • Работники Оператора и их родственники в пределах, установленных законодательством Российской Федерации, при условии, что данные о них предоставлены работником;
  • Лица, входящие в органы управления Оператора, но не являющиеся его сотрудниками;
  • Представители контрагентов Оператора.

4.3. Оператор осуществляет обработку персональных данных субъектов для выполнения следующих задач:

Потребителей в целях:

  • предоставления информации о товарах/услугах, включая данные об акциях и специальных предложениях;
  • анализа качества сервиса, предоставляемого Оператором, с целью повышения уровня обслуживания;
  • информирование о статусе заказов;
  • исполнения договорных обязательств, включая договоры купли-продажи, заключенные дистанционным способом на Сайте, а также договоры возмездного оказания услуг. Кроме того, осуществляется учет товаров/услуг для целей взаиморасчетов с потребителем;
  • доставки заказанного товара потребителю, совершившему заказ на Сайте, возврата товара/услуги.

Участников специальных программ Оператора, включая программы лояльности в целях:

  • предоставления информации о товарах, участвующих в специальных предложениях, а также о составе услуг;
  • идентификации участников программы лояльности и осуществление процедур учета и использования накопленных бонусных единиц;
  • исполнение Оператором обязательств, предусмотренных программой лояльности.

Физические лица, с которыми Оператор заключает договоры гражданско-правового характера в целях:

  • исполнения договорных обязательств, включая договоры купли-продажи, возмездного оказания услуг, подряда, аренды, любых иных договоров, в том числе не поименованных в законодательстве;
  • осуществления учета для целей взаиморасчетов с физическим лицом;
  • доставки товаров, оказании услуг, выполнения работ;

Работников в целях:

  • реализации функций, полномочий и обязанностей, возложенных на Оператора в соответствии с законодательством Российской Федерации, включая, но не ограничиваясь, следующие нормативные правовые акты: Гражданский кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Трудовой кодекс Российской Федерации; Семейный кодекс Российской Федерации; Федеральный закон от 1 апреля 1996 года № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»; Федеральный закон от 28 марта 1998 года № 53-ФЗ «О воинской обязанности и военной службе»; Федеральный закон от 26 февраля 1997 года № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»; Федеральный закон от 7 февраля 1992 года № 2300-1 «О защите прав потребителей»; Федеральный закон от 21 ноября 1996 года № 129-ФЗ «О бухгалтерском учете»; Федеральный закон от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

Лиц, входящих в органы управления Оператора, не являющихся работниками Оператора, в целях:

  • исполнения нормативных требований, включая обязательное раскрытие информации, проведение аудита, а также проверку правомерности совершения сделок, в том числе с заинтересованностью и/или крупных сделок.

Представителей юридических лиц – контрагентов Оператора в целях:

  • поведения переговоров, заключения и исполнения договоров, предусматривающих предоставление данных о сотрудниках юридического лица для целей выполнения обязательств по различным направлениям деятельности Оператора

5. Принципы и условия обработки Данных

5.1. При обработке данных Оператор руководствуется следующими принципами:

  • обработка данных осуществляется на законной и справедливой основе;
  • данные не разглашаются третьим лицам и не распространяются без согласия субъекта данных, за исключением случаев, когда раскрытие данных требуется по запросу уполномоченных государственных органов или в рамках судебного производства;
  • определение конкретных законных целей обработки данных, включая их сбор, осуществляется до начала обработки;
  • сбор данных осуществляется только в объеме, необходимом и достаточном для достижения заявленных целей обработки;
  • объединение баз данных, содержащих данные, обработка которых осуществляется с различными и несовместимыми целями, не допускается;
  • обработка данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • по достижении целей обработки или в случае утраты необходимости в их достижении данные подлежат уничтожению или анонимизации, если иное не установлено федеральным законодательством.

5.2. Оператор имеет право интегрировать персональные данные субъектов в общедоступные базы данных. При этом Оператор должен получить письменное согласие субъекта на обработку персональных данных либо путем выражения согласия посредством онлайн-формы на сайте, где согласие подтверждается путем активации соответствующего чекбокса, что свидетельствует о волеизъявлении субъекта персональных данных. Субъект персональных данных имеет безусловное право отозвать такое согласие в любой момент времени.

5.3. Оператор не осуществляет обработку персональных данных, связанных с расовой, национальной принадлежностью, политическими взглядами, религиозными, философскими и иными убеждениями, интимной жизнью, а также членством в общественных объединениях.

5.4. Биометрические данные, представляющие собой информацию, характеризующую физиологические и биологические особенности индивидуума, на основе которой может быть идентифицирована его личность, не подвергаются обработке Оператором.

5.5. Оператор не осуществляет трансграничную передачу Данных.

5.6. В соответствии с положениями действующего законодательства Российской Федерации, Оператор обладает правом и/или обязанностью на передачу персональных данных государственным органам, при наличии законных оснований, установленных нормативными правовыми актами Российской Федерации.

5.7. Оператор вправе поручить обработку Данных субъектов Данных третьим лицам с согласия субъекта Данных, на основании заключаемого с этими лицами договора, в том числе при согласии с пользовательским соглашением и политикой обработки персональных данных, размещенных на Сайте.

5.8. Лица, обрабатывающие данные на основании договора (поручения) с Оператором, обязаны соблюдать принципы и правила обработки и защиты данных, установленные действующим законодательством. В отношении каждого привлеченного лица в договоре определяются перечень операций с данными, цели их обработки, обязанность соблюдения конфиденциальности и обеспечения безопасности данных, а также требования к защите обрабатываемых данных в соответствии с законодательством.

5.9. В соответствии с требованиями действующего законодательства Российской Федерации и в рамках исполнения договорных обязательств, Оператор осуществляет обработку Данных как с применением автоматизированных средств, так и без их использования. Комплекс операций обработки включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение Данных.

5.10. Оператору категорически запрещено принимать решения, которые имеют юридические последствия для субъекта данных или иным образом затрагивают его права и законные интересы исключительно на основании автоматизированной обработки данных. Данное ограничение распространяется на все случаи, за исключением тех, которые прямо предусмотрены законодательством Российской Федерации.

6. Права и обязанности субъектов данных, а также Оператора в контексте обработки данных.

6.1. Субъект, данные которого подвергаются обработке Оператором, обладает следующими правами:

получать от Оператора:

  • подтверждение факта обработки персональных данных и сведения о наличии данных, относящихся к конкретному субъекту персональных данных;
  • сведения о правовых основаниях и целях обработки персональных данных;
  • сведения о применяемых методах и способах обработки персональных данных;
  • наименование и место нахождения Оператора;
  • сведения о лицах, за исключением сотрудников Оператора, которые имеют доступ к персональным данным или которым они могут быть раскрыты на основании договора с оператором или в соответствии с законодательством Российской Федерации;
  • перечень обрабатываемых персональных данных, относящихся к конкретному субъекту, и информацию об источнике их получения, если иной порядок предоставления таких данных не установлен законодательством Российской Федерации;
  • сведения о сроках обработки персональных данных, включая сроки их хранения;
  • сведения о порядке реализации субъектом персональных данных прав, предусмотренных законодательством Российской Федерации;
  • наименование (фамилия, имя, отчество) и адрес лица, осуществляющего обработку персональных данных по поручению оператора;
  • иные сведения, предусмотренные законодательством Российской Федерации или иными нормативными правовыми актами;

Субъект данных имеет право:

  • требовать от Оператора уточнения, блокирования или уничтожения своих персональных данных случаях если данные являются неполными, устаревшими, неточно оформленными, если данные были получены с нарушением законодательства, если данные не являются необходимыми для целей, для которых они были обработаны;
  • в любое время отозвать свое согласие на обработку персональных данных.
  • требовать устранения неправомерных действий Оператора в отношении его персональных данных;
  • обжаловать действия или бездействие Оператора в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке, если субъект данных считает, что обработка его персональных данных осуществляется с нарушением законодательства или иным образом нарушает его права и свободы;
  • защищать свои права и законные интересы, включая требование возмещения убытков и/или компенсации морального вреда в судебном порядке.

6.2. В процессе обработки персональных данных Оператор обязан:

  • предоставлять субъекту данных или его законному представителю информацию по запросу, касающуюся обработки его персональных данных, либо обоснованный отказ в течение тридцати календарных дней с момента получения запроса;
  • информировать субъекта данных о юридических последствиях отказа в предоставлении данных, если их раскрытие является обязательным в соответствии с законодательством Российской Федерации;
  • предоставлять субъекту данных следующую информацию до начала обработки его персональных данных (за исключением случаев, предусмотренных частью 4 статьи 18 Закона):
    1. наименование (или фамилия, имя, отчество) и адрес Оператора или его законного представителя;
    2. цель обработки персональных данных и её правовое основание;
    3. предполагаемые категории лиц, которые будут иметь доступ к персональным данным;
    4. права субъектов данных, предусмотренные законодательством;
    5. источник получения персональных данных;
  • принимать необходимые меры правового, организационного и технического характера для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, передачи, распространения и иных неправомерных действий;
  • размещать в информационно-телекоммуникационной сети "Интернет" и обеспечивать неограниченный доступ к документу, определяющему политику Оператора в отношении обработки персональных данных, а также к сведениям о реализуемых мерах по защите персональных данных;
  • предоставлять субъектам данных или их законным представителям возможность ознакомления с их персональными данными безвозмездно по запросу в течение тридцати календарных дней с момента его получения;
  • осуществлять блокирование неправомерно обрабатываемых персональных данных или обеспечивать блокирование таких данных (если обработка осуществляется другим лицом по поручению Оператора) с момента получения запроса или обращения на период проверки, если выявлена неправомерная обработка персональных данных;
  • уточнять персональные данные или обеспечивать их уточнение (если обработка осуществляется другим лицом по поручению оператора) в течение семи рабочих дней с момента получения сведений и снимать блокирование данных в случае подтверждения факта их неточности на основании сведений, предоставленных субъектом данных или его законным представителем;
  • прекратить неправомерную обработку персональных данных или обеспечить прекращение такой обработки лицом, действующим по поручению Оператора, в течение трех рабочих дней с момента выявления неправомерной обработки;
  • прекратить обработку персональных данных или обеспечить её прекращение и уничтожить данные или обеспечивать их уничтожение (если обработка осуществляется другим лицом по договору с оператором) по достижении цели обработки, если иное не предусмотрено договором, стороной которого является субъект данных, в случае достижения цели обработки;
  • прекратить обработку персональных данных или обеспечить её прекращение и уничтожать данные или обеспечивать их уничтожение в случае отзыва субъектом согласия на обработку, если законодательство Российской Федерации не допускает обработку данных без такого согласия;
  • вести журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы на получение персональных данных, а также факты их предоставления по этим запросам;
  • вести журнал учета носителей и действий с персональными данными.

7. Требования к защите Данных

7.1. Оператор предпринимает необходимые юридические, организационные и технические меры для обеспечения защиты Данных от неправомерного или несанкционированного доступа, уничтожения, модификации, блокирования, копирования, предоставления, распространения, а также от других неправомерных действий в отношении данных. В соответствии с законодательством, в том числе в соответствии с Приказом Федеральной службы по техническому и экспортному контролю №21/ФСБ №372, к числу таких мер относятся:

  • назначение лиц, ответственных за организацию обработки персональных данных и обеспечение их безопасности;
  • разработка и утверждение внутренних нормативных актов, регулирующих вопросы обработки и защиты персональных данных;
  • применение комплекса мер для обеспечения безопасности персональных данных;
  • идентификация угроз безопасности персональных данных при их обработке в информационных системах;
  • реализация организационных и технических мер защиты, необходимых для соответствия требованиям законодательства и обеспечивающих установленные Правительством Российской Федерации уровни безопасности;
  • использование средств защиты информации, прошедших процедуру оценки соответствия в установленном порядке;
  • предварительная оценка эффективности мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем;
  • учет носителей информации, если данные хранятся на таких носителях;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по предотвращению подобных инцидентов в будущем;
  • восстановление персональных данных, подвергшихся модификации или уничтожению в результате несанкционированного доступа;
  • установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также регистрация и учет всех операций с данными;
  • контроль за реализацией мер по обеспечению безопасности персональных данных и уровнем защищенности информационных систем;
  • оценка потенциального вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства, и сопоставление этого вреда с мерами, принимаемыми организацией для обеспечения выполнения своих обязанностей;
  • соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих их сохранность;
  • ознакомление сотрудников, непосредственно участвующих в обработке персональных данных, с положениями законодательства Российской Федерации в области персональных данных, включая требования к их защите, а также с внутренними нормативными актами, регулирующими вопросы обработки и защиты данных, и их обучение.

8. Сроки обработки и хранения Данных

8.1. Сроки обработки и/или хранения данных устанавливаются в зависимости от целей их обработки, длительности действия договора с субъектом данных, нормативных требований федеральных законов, предписаний операторов данных, по поручению которых компания осуществляет обработку, а также в соответствии с основными правилами архивного дела, сроками исковой давности и иными применимыми нормативными актами.

8.2. По истечении установленных сроков обработки и/или хранения данные подлежат уничтожению, если иное не предусмотрено действующим законодательством. Хранение данных после прекращения их обработки допускается исключительно в обезличенной форме.

9. Порядок предоставления разъяснений по вопросам обработки персональных данных

9.1. Субъекты персональных данных, чьи данные обрабатываются Оператором, имеют право на получение разъяснений по вопросам обработки их персональных данных. Для этого они могут обратиться к Оператору лично или направить письменный запрос по адресу его местонахождения.

9.2. При направлении официального запроса Оператору необходимо указать следующую информацию:

  • полное имя субъекта персональных данных или его законного представителя;
  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, а также дату его выдачи и наименование органа, выдавшего документ;
  • сведения, подтверждающие наличие договорных или иных правоотношений между субъектом персональных данных и Оператором;
  • контактные данные для обратной связи, необходимые для направления Оператором ответа на запрос;
  • подпись субъекта персональных данных или его представителя. В случае направления запроса в электронном виде, он должен быть оформлен в виде электронного документа и подписан электронной цифровой подписью в соответствии с действующим законодательством Российской Федерации.

10. Обработка и защита данных, получаемых Оператором через интернет

10.1. Оператор осуществляет обработку данных, поступающих от пользователей Сайта, а также данных, получаемых посредством электронной почты.

10.2. Процесс сбора данных

Оператор осуществляет сбор данных посредством двух основных методов, использующих интернет-инфраструктуру:

10.2.1. Самостоятельное предоставление данных пользователями

Пользователи могут самостоятельно вводить следующие данные:

  • фамилия
  • имя
  • отчество
  • адрес регистрации/отправки корреспонденции
  • электронная почта
  • номер телефона
  • ссылка на персональный веб-сайт или аккаунты в социальных сетях

10.2.2. Автоматизированный сбор данных

Оператор также осуществляет сбор и обработку обезличенных данных, включая:

  • IP-адрес;
  • информацию о пользовательских интересах, полученную на основании поисковых запросов, связанных с товарами и услугами, предоставляемыми Оператором. Эти данные используются для предоставления целевой информации пользователям, а также для анализа популярности различных разделов веб-ресурса и товаров/услуг.
  • обработку и хранение поисковых запросов, осуществляемых пользователями на Сайте, с целью формирования статистической информации о посетителях и анализа использования разделов Сайта.

Автоматизированный сбор обезличенных данных производится с использованием технологий и сервисов, таких как веб-протоколы, файлы cookie, веб-метки, а также приложения и инструменты сторонних поставщиков. Оператор подчеркивает, что файлы cookie, веб-отметки и прочие мониторинговые технологии не предназначены для автоматического сбора персональных данных. При предоставлении пользователями своих данных, например, при заполнении форм обратной связи или отправке электронных писем, инициируются процессы автоматизированного сбора информации с целью повышения качества пользовательского опыта и оптимизации взаимодействия с посетителями.

10.3. Использование Данных

Оператор имеет право использовать предоставленные Данные в соответствии с целями их сбора, при условии наличия согласия субъекта Данных, если законодательство Российской Федерации в области обработки персональных данных требует такого согласия.

Полученные Данные в обобщенном и обезличенном виде могут использоваться для лучшего понимания потребностей покупателей товаров/услуг, реализуемых Оператором и улучшения качества обслуживания.

10.4. Передача данных

Оператор имеет право поручать обработку данных третьим лицам исключительно при наличии предварительного согласия субъекта данных. Передача данных третьим лицам также допускается в следующих случаях:

  • в ответ на законные запросы уполномоченных государственных органов, предусмотренные законодательством, судебными решениями и иными нормативными актами.

Передача данных третьим лицам для маркетинговых, коммерческих и аналогичных целей не допускается, за исключением случаев, когда субъект данных предоставил предварительное письменное согласие.

На сайте размещены ссылки на внешние веб-ресурсы, содержащие информацию, которая может быть полезна и интересна пользователям сайта. Действие настоящей политики конфиденциальности не распространяется на данные ресурсы. Пользователям, переходящим по внешним ссылкам, рекомендуется ознакомиться с политиками обработки данных, опубликованными на соответствующих сайтах.

Пользователь сайта имеет право отозвать свое согласие на обработку данных в любое время, направив уведомление на электронную почту или по адресу местонахождения Оператора. После получения такого уведомления обработка данных пользователя будет прекращена, а его данные будут удалены, за исключением случаев, когда законодательством запрещено такое действие .

Заключительные положения

Настоящая политика является локальным нормативным актом Оператора. Она общедоступна и размещена на официальном сайте Оператора. Изменения в настоящей политике могут быть внесены в следующих случаях:

  • при изменении законодательства Российской Федерации, регулирующего обработку и защиту персональных данных;
  • в случае получения предписаний от компетентных государственных органов, требующих устранения несоответствий в рамках действия политики;
  • по решению руководства Оператора;
  • при изменении целей, сроков или условий обработки данных;
  • при внесении изменений в организационную структуру, информационные или телекоммуникационные системы, включая введение новых систем;
  • при внедрении новых технологий обработки и защиты данных, включая передачу и хранение;
  • при необходимости изменения процессов обработки данных, связанных с деятельностью оператора.

В случае несоблюдения положений настоящей политики, Оператор и его сотрудники несут ответственность в соответствии с законодательством Российской Федерации. Контроль за соблюдением требований настоящей политики осуществляется лицами, ответственными за обработку данных и обеспечение безопасности персональных данных Оператора.
Введите ключевые слова для поиска и нажмите “Enter”, например: Синий зал