ПОЛИТИКА АССОЦИАЦИИ СПЕЦИАЛИСТОВ, ПРАКТИКУЮЩИХ АРТ-ТЕРАПИЮ
«ЛИГА АРТ-ТЕРАПЕВТОВ» В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Термины и принятые сокращения

Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.


1. Введение

1.1. Важнейшим условием реализации целей деятельности Ассоциации специалистов, практикующих арт-терапию «Лига арт-терапевтов», ИНН 9723259139 (далее по тексту – Ассоциация) является обеспечение необходимого и достаточного уровня информационной безопасности, в том числе в отношении обработки персональных данных.

1.2. Обеспечение безопасности персональных данных пользователей является одной из приоритетных задач Ассоциации.

1.3. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), а также иными нормативно-правовыми актами в области защиты и обработки персональных данных, определяет принципы, порядок и условия обработки персональных данных и действует в отношении всех персональных данных, которые Ассоциация может получить от  различных категорий субъектов, чьи персональные данные обрабатываются Ассоциацией (далее - «Пользователь», «Субъект персональных данных»), с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Ассоциацией в отношениях, регулируемых законодательством.

1.4. Персональные данные являются охраняемой информацией и на них распространяются все требования, установленные законодательством РФ и внутренними документами Ассоциации.

1.5. Согласие с условиями Политики может быть выражено субъектом персональных данных через совершение любого из следующих действий:

— заключение с Ассоциацией договора, такого как, например, договора на оказание услуг; при условии, что Пользователю в каждом месте сбора персональных данных предоставлена возможность ознакомиться с полным текстом настоящей Политики;

— предоставление письменного согласия;

— простановка символа в чек-боксе (в поле для ввода) на веб-сайте Ассоциации https://arttherapyliga.ru/ рядом с текстом вида: «Я даю согласие на обработку персональных данных» на условиях Политики конфиденциальности», при условии, что Пользователю в каждом месте сбора персональных данных предоставлена возможность ознакомиться с полным текстом настоящей Политики.
2. Понятие и состав персональных данных

2.1. Перечень обрабатываемых персональных данных, подлежащих защите в Ассоциации, формируется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Уставом и внутренними нормативными документами Ассоциации.

2.2. Сведениями, составляющими персональные данные, в Ассоциации является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.3. В зависимости от субъекта персональных данных, Ассоциация обрабатывает персональные данные следующих категорий субъектов персональных данных:
— физических лиц, добровольно предоставивших свои персональные данные в связи с оформлением Анкеты (Личного кабинета) для регистрации на веб-сайте Ассоциации https://arttherapyliga.ru/ и https://forms.yandex.ru/cloud/68d5595ce010dbacb67a36e1/ для целей рассмотрения кандидатуры в члены Ассоциации, а также физических лиц, которые заключили какой-либо договор с Ассоциацией;
— при использовании функций веб-сайта Ассоциации https://arttherapyliga.ru/, включая все его домены, поддомены и страницы, их содержимое, а также интернет-сервисы и программное обеспечение, предлагаемые Ассоциацией к использованию на этом сайте;
— физических лиц, обратившихся в Ассоциацию в целях трудоустройства и предоставивших свои персональные данные, работников Ассоциации;
— физических лиц, являющихся аффилированными лицами Ассоциации или руководителями, участниками (акционерами) или сотрудниками юридического лица, являющегося аффилированным лицом по отношению к Ассоциации;
— при осуществлении Ассоциацией прав и обязанностей, установленных соглашениями/договорами, заключенными между Ассоциацией и Пользователем;
— при обработке обращений, жалоб, запросов, сообщений, направляемых Ассоциацией и Пользователем друг другу.
— физических лиц, обратившихся в Ассоциацию с запросом любого характера, и предоставивших в связи с этим свои персональные данные.

2.4. Ассоциация также настоящим уведомляет пользователя о том, что использует cookie-файлы для повышения качества предоставляемых услуг.
Ассоциация использует основные и сторонние cookie-файлы для сбора статистических данных и данных о пользователях в совокупности и по отдельности при помощи аналитических средств, которые Ассоциация применяет для оптимизации работы веб-сайта https://arttherapyliga.ru/ и предоставления пользователям информационных и рекламных материалов, соответствующих их потребностям и предпочтениям.
Ассоциация также использует сторонние cookie-файлы для межсайтового отслеживания, что позволяет предоставлять пользователям информационные и рекламные материалы по другим веб-сайтам/каналам.
При помощи браузера пользователь может удалить cookie-файлы со своего компьютера или мобильного устройства. Инструкции о том, как обращаться с cookie-файлами и удалять их, можно найти в разделе «Справка» установленного на личном ПК браузера. Пользователь может деактивировать опцию использования cookie-файлов или выбрать возможность получать уведомление о каждой отправке cookie-файлов на свой компьютер или мобильное устройство. В данном случае, пользователь должен принять к сведению, что в случае, если он деактивирует опцию использования cookie-файлов, то не сможет пользоваться всеми функциями сайта https://arttherapyliga.ru/.

3. Цели обработки персональных данных

3.1. Ассоциация осуществляет обработку персональных данных в следующих целях:
— исполнение настоящей Политики и требований законодательства Российской Федерации;
— связь с пользователем путём направления уведомлений, запросов и информации, касающихся использования Сайта Ассоциации, оказания, предусмотренных Сайтом Ассоциации услуг, а также обработка запросов и заявок от Пользователей, отправка сообщений по электронной почте о любых событиях, связанных с оказанием услуг и в рамках использования Сайта Ассоциации;
— улучшение качества работы Сайта Ассоциации, удобства его использования, разработка и тестирование новых услуг, проведения опросов, касающихся работы Сайта Ассоциации и пользовательского опыта;
— рассмотрения  кандидатуры в члены Ассоциации;
— содействие работникам Ассоциации в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества работника и Ассоциации как работодателя;
— осуществление возложенных на Ассоциацию законодательством Российской Федерации функций в соответствии с Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральным законом «О персональных данных», Федеральным законом «О некоммерческих организациях»;
— подготовки, заключения и исполнения гражданско-правового договора;
— идентификация Пользователя;
— информирование о проводимых Ассоциацией и (или) третьими лицами, в интересах которых действует Ассоциация, рекламных и (или) маркетинговых акциях, опросах, анкетировании, маркетинговых исследованиях в отношении услуг, оказываемых Ассоциацией.

3.2. Категории и перечень обрабатываемых данных: фамилия, имя, отчество; дата рождения; пол; адрес электронной почты; страна и город фактического проживания, адрес регистрации; номер телефона; ИНН; СНИЛС; возраст, изображение, данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; сведения об образовании и профессиональном опыте, профиль в социальных сетях, пользовательские данные, автоматически передаваемые в процессе пользования интернет-ресурсом, в т.ч. сведения о местоположении; тип и версия ОС; тип и версия браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и браузера; какие страницы открывает и на какие кнопки нажимает; IP-адрес.

3.3. В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

3.4. Персональные данные обрабатываются до достижения цели обработки или до отзыва согласия на обработку персональных данных, смотря какое событие наступит ранее.

3.5. Срок обработки и хранения: до получения от субъекта персональных данных требования о прекращении обработки/отзыва согласия либо 10 (десять) лет.

3.6. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит стирание данных методом перезаписи (замена всех единиц хранения информации на «0»).
Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

4. Принципы и условия обработки персональных данных

4.1. Основной задачей обеспечения безопасности персональных данных при их обработке в Ассоциации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.

4.2. Обработка персональных данных Ассоциации осуществляется на основе принципов:
— законности и справедливости целей и способов обработки персональных данных;
— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Ассоциации;
— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом.

4.3. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации. Ассоциация осуществляет обработку персональных данных с использованием средств автоматизации, в том числе с использованием информационных технологий и технических средств, включая средства вычислительной техники, информационно-технические комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах, а также без использования средств автоматизации.
Хранение персональных данных, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
Не допускается хранение и размещение документов, содержащих персональных данных, в открытых электронных каталогах (файлообменниках) в ИСПД.

4.4. При обработке персональных данных Ассоциация будет стремиться обеспечить точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Ассоциация стремится обеспечить принятие необходимых мер по удалению или уточнению неполных или неточных персональных данных.

4.5. Ассоциация не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.

4.6. Используя сайт Ассоциации для личного или любого иного использования, пользователь добровольно и без каких-либо ограничений, а также автоматически соглашается с настоящей Политикой и с каждым ее условием. В случае несогласия с условиями Политики пользователь должен воздержаться от использования Сайта.

4.7. Соглашаясь с условиями Политики, пользователь выражает свое письменное согласие на обработку Ассоциацией и (или) поставщиками услуг, оказываемых с помощью Сайта, любых персональных данных пользователя в течение неопределенного срока, в том числе пользователь соглашается на обработку любых персональных данных согласно статье 10 и статье 12 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

4.8. Действие согласия пользователя прекращается на основании письменного заявления, которое подписывается Пользователем и направляется заказным письмом с уведомлением о вручении в Ассоциацию по адресу её местонахождения.

4.9. Ассоциация не контролирует и не несёт ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте Ассоциации. Ассоциация не несёт ответственность в случае, если Пользователь добровольно раскрыл свои персональные данные третьим лицам.

4.10. Пользователь может обратиться в Ассоциации по любым вопросам, касающимся обработки его персональных данных и отзыва согласия на обработку персональных данных, по электронному адресу: info@arttherapyliga.ru.

5. Права и обязанности

5.1. Права и обязанности Ассоциации.
5.1.1. Ассоциация, как оператор персональных данных, вправе:
— отстаивать свои интересы в суде;
— предоставлять персональные данные субъектов государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и др.);
— отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством РФ;
— обрабатывать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством РФ.

5.2. Права и обязанности субъекта персональных данных.
5.2.1. Субъект персональных данных имеет право:
— в письменном виде требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Соответствующее уведомление об уточнении, блокировании или уничтожении своих персональных данных отправляется субъектом персональных данных на юридический адрес Ассоциации ценным письмом с уведомлением о вручении;
— в письменном виде требовать перечень своих персональных данных, обрабатываемых Ассоциацией и источник их получения путем подачи соответствующего запроса на юридический адрес Ассоциации ценным письмом с уведомлением о вручении;
— получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
— обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
— на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5.2.2. Субъект персональных данных может в рабочее время обратиться в Ассоциацию по любым вопросам, касающимся обработки его персональных данных и отзыва согласия на обработку персональных данных, отправив соответствующее сообщение по электронному адресу: info@arttherapyliga.ru.

6. Обеспечение безопасности персональных данных

6.1. Ассоциация предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

6.2. При обработке персональных данных с использованием средств автоматизации Ассоциацией, в частности, применяются следующие меры:
— разработка и применение Ассоциацией политики в отношении обработки персональных данных;
— назначается ответственный за организацию и обеспечение безопасности обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением в Ассоциации и его работниками требований к защите персональных данных;
—  установление правил доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПД, установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
— соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
— осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству РФ и внутренним документам Ассоциации;
— сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами, определение актуальных угроз безопасности персональных данных при их обработке в ИСПД и разработка мер и мероприятий по защите персональных данных;
— проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства РФ о персональных данных, определяется соотношение указанного вреда и принимаемых Ассоциацией мер, направленных на обеспечение исполнения обязанностей, предусмотренных законодательством РФ.

6.3. По умолчанию персональная информация обрабатывается автоматическим оборудованием без доступа к ней кого-либо. В случае если такой доступ понадобится, то Ассоциация предоставляет доступ к персональным данным только тем лицам, которым эта информация необходима для обеспечения Целей обработки. Для защиты и обеспечения конфиденциальности данных такие лица должны обязаться соблюдать внутренние правовые правила и процедуры, технические и организационные меры безопасности в отношении обработки персональной информации.

6.4. Как при обработке персональных данных без использования средств автоматизации, так и при автоматизированной обработке обеспечивается достаточная безопасность места, где происходит обработка персональных данных.

6.5. Раскрытие персональных данных может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, и в иных предусмотренных законодательством Российской Федерации случаях. 

6.6. Ассоциация не проверяет достоверность информации, предоставляемой Субъектом персональных данных, и исходит из того, что Субъект персональных данных в порядке принципа добросовестности и требований ст. 19 Гражданского кодекса РФ предоставляет достоверную и достаточную информацию, заботится о своевременности внесения изменений в ранее предоставленную информацию, актуализирует информацию.
7. Передача персональных данных третьим лицам и распространение персональных данных, правила о трансграничной передаче персональных данных

7.1. Ассоциация осуществляет обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Ассоциация вправе осуществить передачу (способом доступа и предоставления) персональных данных следующим третьим лицам:
—  в отношении которых произведена уступка (перевод) прав или обязанностей, либо новация по соответствующему соглашению;
— любому регулирующему органу, правоохранительным органам, центральным или местным органам власти, другим официальным или государственным органам или судам, которым Ассоциация обязана по запросу предоставлять информацию в соответствии с применимым законодательством;
—  лицам, осуществляющим обеспечение правовой защиты Ассоциации или третьих лиц при нарушении их прав либо угрозе нарушения их прав, включая нарушение законов или регулирующих документов;
— партнёрам Ассоциации, услуги которых помогают предоставлять Субъектам персональных данных определённые решения для качественного оказания услуг Ассоциацией.

7.2. В случае если Субъект персональных данных сам выразил согласие на передачу персональных данных третьему лицу, либо передача персональных данных требуется для исполнения соглашения или договора, заключенного с Субъектом персональных данных. Сюда относятся в том числе случаи, когда Пользователь разрешил своему оборудованию прием, передачу и хранение файлов технологии куки (cookie), если такой файл содержит персональные данные.

7.3. Ассоциация вправе осуществить передачу (способом распространения неограниченному кругу лиц) персональных данных в случаях когда Пользователь сам разрешил свободное распространение категорий персональных данных неограниченному кругу лиц.

7.4. Ассоциация до начала осуществления трансграничной передачи персональных данных обязана убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надёжная защита прав субъектов персональных данных и уведомить государственный орган, уполномоченный в сфере персональных данных, о намерении осуществлять трансграничную передачу персональных данных на территории иностранных государств, отвечающих указанным требованиям.
Ассоциация до начала осуществления трансграничной передачи персональных данных на территорию иностранного государства, в котором не обеспечивается надежная защита прав субъектов персональных данных, обязан получить разрешение государственного органа, уполномоченного в сфере персональных данных, осуществлять трансграничную передачу персональных данных на территории таких иностранных государств.
8. Заключительные положения

8.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Ассоциации в сети Интернет https://arttherapyliga.ru/.

8.2. Настоящая Политика подлежит изменению, дополнению в случае внесения изменений в действующие законодательные акты и появления новых законодательных актов, и специальных нормативных документов по обработке и защите персональных данных.

8.3. Настоящая Политика может быть изменена без предварительного уведомления или согласия пользователя. Новая редакция Политики вступает в силу с момента её размещения, если иное не предусмотрено новой редакцией Политики.

8.4. Контроль исполнения требований настоящей Политики осуществляется лицом ответственным за обеспечение безопасности персональных данных Ассоциации.

8.5. Ответственность должностных лиц Ассоциации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Ассоциации.