Санкт-Петербург, 2024
15 августа 2024
ОСНОВНЫЕ ПОНЯТИЯ
Автоматизированная обработка персональных данных (ПДн) - обработка персональных данных с помощью средств вычислительной техники. Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Неавтоматизированная обработка персональных данных – обработка персональных данных, осуществляемая без использования средств автоматизации.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включающее сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных (оператор) - юридическое лицо, организующее и
осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая политика определяет цели и принципы обработки персональных данных в рамках Акселератора “Стартап на миллион” (далее – Акселератор), а также основные механизмы защиты персональных данных в Акселераторе.
2. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка ПДн осуществляется на основе следующих принципов:
законности и справедливой основы;
ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
недопущения обработки ПДн, несовместимой с целями сбора ПДн;
недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработки только тех ПДн, которые отвечают целям их обработки;
соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;
обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;
уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения оператором допущенных нарушений ПДн, если иное не предусмотрено федеральным законом.
2.2. Персональные данные обрабатываются в Акселераторе в целях:
обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации и локальных нормативных актов Акселератора;
осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Акселератор;
регулирования трудовых отношений с работниками, партнерами и Участниками Акселератора;
защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
подготовки, заключения, исполнения и прекращения договоров с контрагентами;
противодействия коррупции и хищениям;
обеспечения экономической безопасности деятельности Акселератора;
формирования справочных материалов для внутреннего информационного обеспечения деятельности Акселератора;
осуществления прав и законных интересов Акселератора в рамках деятельности, предусмотренной уставом и иными локальными нормативными актами Акселератора;
в иных законных целях.
3. КАТЕГОРИИ И ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Перечень персональных данных работников, контрагентов, партнеорв и участников, обрабатываемых Акселераторром с целью организации кадрового, бухгалтерского, налогового учета, учета плательщиков страховых взносов для обеспечения требований действующего законодательства Российской Федерации: фамилия, имя, отчество, паспортные данные, сведения об ИНН, СНИЛС, информация о должности, контактные данные, банковские сведения, сведения об образовании, сведения о трудовом договоре, информация о заработной плате, информация о предыдущих местах трудовой деятельности, сведения о заграничном паспорте, информация о судимости, информация о трудовом стаже.
3.2. Перечень персональных данных работников, обрабатываемых Акселератором с целью содействия работникам в получении образования и продвижении по карьерной лестнице: фамилия, имя, отчество, информация о должности, контактные данные, сведения об образовании, сведения о трудовом договоре.
3.3. Перечень персональных данных работников, обрабатываемых Акселератором с целью осуществления социальных мероприятий, иных мероприятий, возникающих в процессе трудовой деятельности, в соответствии с действующим законодательством Российской Федерации и информационного обеспечения: фамилия, имя, отчество, информация о должности, контактные данные.
3.4. Перечень персональных данных, полученных от соискателя/работника, о своих
близких родственников, обрабатываемых Акселератором с целью обеспечения соблюдения локальных нормативных актов Акселератора, а также предоставления гарантий и компенсаций работникам, установленных действующим законодательством:
фамилия, имя, отчество, сведения о степени родства, год рождения, место
регистрации, должность.
3.5. Перечень персональных данных, полученных от соискателя, обрабатываемых
Акселератором с целью в целях содействия в трудоустройстве, проверки деловых и личностных качеств: фамилия, имя, отчество, паспортные данные, сведения об ИНН, СНИЛС, контактные данные, банковские сведения, сведения об образовании, информация о предыдущих местах трудовой деятельности, информация о трудовом стаже, сведения о заграничном паспорте, информация о судимости
3.6. Перечень персональных данных работников компаний - участников конкурсных
отборов программ, реализуемых Акселератором, обрабатываемых в целях проведения конкурсных отборов: фамилия, имя, отчество, паспортные данные, информация о рабочем опыте (стаж, профессия, профессиональный стаж), контактные данные, место работы, информация о должности, адрес места регистрации и адрес фактического места проживания
3.7. Перечень персональных данных работников компаний - участников конкурсных
отборов программ, реализуемых Акселератором, участников программ преакселерации,
акселерации проектов, в том числе заочной, обрабатываемых с целью формирования
статистических и иных консолидаций данных, реализуемых в целях исполнения программ, реализуемых Акселератором: фамилия, имя, отчество, контактные данные, место работы, информация о должности.
3.8. Перечень персональных данных членов конкурсной комиссии, внешних
экспертов, обрабатываемых Акселератором в целях проведения конкурсного отбора и акселерации проектов: фамилия, имя, отчество, место работы, информация о должности, контактные данные.
3.9. Перечень персональных данных работников компаний - участников программ
преакселерации, акселерации проектов, в том числе заочной, обрабатываемых Акселератором в целях реализации соответствующих программ: фамилия, имя, отчество, паспортные данные, информация о рабочем опыте (стаж, профессия, профессиональный стаж), контактные данные, место работы, информация о должности, адрес места регистрации и адрес фактического места проживания, сведения о гражданстве, ИНН, СНИЛС, информация о судимости, сведения о заграничном паспорте, банковские сведения, сведения о рождении.
3.10. Перечень персональных данных участников портфельных компаний Акселератора
обрабатываемых Акселератором с целью обеспечения процессов развития Проектов,
финансирование проектов, в том числе в виде инвестиций, для достижения общественно
полезных результатов в области развития проектов: паспортные данные, контактные данные, сведения о месте жительства, сведения об ИНН, СНИЛС, информация о должности, банковские сведения, сведения о рождении, сведения о заграничном паспорте.
3.11. Перечень персональных данных третьих лица и контрагентов, обрабатываемых
Акселератором с целью заключения и исполнения договоров: фамилия, имя, отчество, сведения о должности, адрес фактического проживания, паспортные данные, сведения об ИНН, СНИЛС, банковские сведения, сведения о договоре, контактные данные.
3.12. Перечень персональных данных участников программ преакселерации,
акселерации проектов, в том числе заочной, обрабатываемых Акселератором с целью
распространения информации о проекте в сфере информационных технологий, в том числе размещение информации на интернет-ресурсах Акселератора, социальных сетях, СМИ, в брошюрах, информационных и рекламных материалах: фамилия, имя, отчество, информация о должности, контактные данные.
3.13. Перечень персональных данных посетителей сайта, расположенного по адресу
https://million-dollar-startup.tilda.ws/ и телеграм-бота https://t.me/partner1mdollars_bot и его поддоменах, которые автоматически передаются в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, обрабатываемых Акселератором с целью обеспечения нормального и безопасного функционирования интернет-сайта: IP-адрес, данные файлов cookie, информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к сайту), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к сайту, местоположение пользователя, адреса запрашиваемых страниц.
3.14. Перечень персональных данных посетителей сайта, расположенного по адресу
https://million-dollar-startup.tilda.ws/ и телеграм-бота https://t.me/partner1mdollars_bot и их поддоменах, обрабатываемых Акселератором в целях проведения новостных рассылок и материалов обучения: ФИО, контактные данные, место работы.
3.15. Перечень персональных данных работников компаний - участников конкурсных
отборов, участников программ преакселерации, акселерации проектов, в том числе заочной, обрабатываемых Акселератором в целях проведения новостных рассылок и материалов обучения, проведения образовательных программ: информация о должности, контактные данные.
3.16. Перечень персональных данных специалистов, обладающих компетенциями и функциями для целей реализации информационно-методического и экспертного сопровождения программ акселерации (эксперты), обрабатываемых с целью формирования экспертной сети и обеспечения участия в мероприятиях, направленных на развитие перспективных российских решений в сфере ИТ и высокотехнологичной области «Новые коммуникационные интернет-технологии»: фамилия, имя, отчество, контактные данные, место работы, информация о должности.
3.17. В Акселераторе не осуществляется обработка персональных данных, касающихся
расовой, национальной принадлежности, философских убеждений, интимной жизни, состояния здоровья, политических взглядов и религиозных убеждений.
3.21. В Акселераторе не осуществляется обработка биометрических персональных данных.
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Правовыми основаниями для обработки персональных данных являются:
Согласие субъекта персональных данных на обработку его персональных данных;
Договоры, заключаемые между Акселератором и контрагентами; Гражданский кодекс Российской Федерации; Трудовой кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Устав и внутренние документы Акселератора.
5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В Фонде осуществляется обработка следующих категорий субъектов персональных данных:
работники Акселератора;
близкие родственники работников Акселератора и дочерних компаний Акселератора;
участники портфельных компаний Акселератора;
участники программ акселерации проектов;
участники программ преакселерации проектов;
участники программ заочной акселерации проектов;
члены Совета Акселератора;
члены Совета по инвестициям;
члены Конкурсной комиссии;
внешние эксперты и работники участников конкурсных отборов;
специалисты, обладающие компетенциями и функциями для целей реализации
информационно-методического и экспертного сопровождения программ акселерации
(эксперты);
третьи лица и контрагенты Акселератора, включающие в себя:
основателей юридических лиц;
партнеров и инвесторов проектов;
участников мероприятий, организуемых Акселератором;
иные физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Акселератором;
кандидаты на вакантные места;
данные посетителей сайта, расположенного по адресу https://million-dollar-startup.tilda.ws/ и телеграм-бота https://t.me/partner1mdollars_bot и их поддоменов, которые автоматически передаются в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP- адрес, данные файлов cookie, информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к сайту), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к сайту, местоположение пользователя, адреса запрашиваемых страниц и иная подобная информация.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Акселератор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Российской Федерации.
6.2. Обработка персональных данных на основании договоров и иных соглашений
Акселератора, поручений Акселератора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, а также соглашений с лицами, которым поручена обработка персональных данных. Такие соглашения могут определять, в частности: цели, условия, сроки обработки персональных данных;
обязательства сторон, в том числе меры по обеспечению конфиденциальности;
права, обязанности и ответственность сторон, касающиеся обработки персональных
данных.
6.3. Акселератор производит обработку персональных данных как автоматизированным
способом, так и без использования средств автоматизации. Особенности неавтоматизированной обработки персональных данных изложены в Положении об
обработке персональных данных Акселератора.
6.4. Акселератор прекращает обработку персональных данных в следующих случаях:
Достижение целей обработки персональных данных;
Истечение срока действия согласия или отзыв согласия субъекта персональных данных;
Выявление неправомерной обработки персональных данных;
Прекращение деятельности Акселератора.
6.5. В целях информационного обеспечения Акселератор может создавать общедоступные источники персональных данных субъектов, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его персональные данные.
6.6 Трансграничная передача персональных данных на территории иностранных
государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных
государств, обеспечивающих адекватную защиту прав субъектов персональных данных,
осуществляется в порядке, предусмотренном законодательством Российской Федерации.
Оператор обязан убедиться в том, что иностранным государством, на территорию
которого предполагается осуществлять передачу ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления такой передачи. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться в случаях:
− наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
− исполнения договора, стороной которого является субъект ПДн.
6.7. Сроки обработки и хранения персональных данных определяются в соответствии
со сроком действия договоров и иных соглашений Акселератора, поручений Акселератора на обработку персональных данных, Приказом Росархива от 20.12.2019 №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», а также иными сроками, установленными законодательством РФ и организационно-распорядительными документами Акселератора.
6.8. Уничтожение персональных данных при достижении целей их обработки или при
наступлении иных законных оснований осуществляется в порядке, предусмотренном
Регламентом обеспечения безопасности ПДн Акселератора.
7. РЕАЛИЗОВАННЫЕ ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Руководство Акселератора осознает необходимость и заинтересовано в обеспечении
должного как с точки зрения требований законодательства Российской Федерации в области персональных данных, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Акселератора.
7.2. С целью обеспечения безопасности персональных данных при их обработке в
Акселераторе реализуются требования следующих нормативных документов Российской
Федерации в области обработки и обеспечения безопасности персональных данных:
Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»; Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»; Постановление Правительства Российской Федерации от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
7.3. В соответствии с выявленными актуальными угрозами Акселератор применяет
необходимые и достаточные организационные и технические меры, включающие в себя
использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.
7.4. В Акселераторе действуют следующие организационные меры:
назначены лица, ответственные за организацию обработки и обеспечения безопасности персональных данных;
разработаны локальные акты по вопросам обработки персональных данных;
осуществляется внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных;
проводится оценка вреда, который может быть причинен субъектам персональных данных, и определяются актуальные угрозы безопасности персональных данных;
утвержден документ, определяющий перечень лиц, доступ которых к персональным данным необходим для выполнения ими служебных обязанностей;
7.5. Все лица, уполномоченные в Акселераторе на обработку персональных данных,
ознакомлены с положениями законодательства Российской Федерации о персональных
данных, в том числе с требованиями к защите персональных данных, документами,
определяющими политику Акселератора в отношении обработки персональных данных,
локальными актами по вопросам обработки персональных данных.
7.6. В Акселераторе действуют следующие технические меры:
в зданиях установлены охранная и пожарная сигнализация;
сведения на бумажных носителях хранятся в сейфах или запирающихся шкафах, доступ к которым ограничен;
обеспечивается физическая охрана, предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения;
обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения технических средств (используются антивирусные средства защиты информации, межсетевое экранирования и иные технические средства);
осуществляется идентификация и проверка подлинности пользователя при входе в информационную систему по паролю;
обеспечено наличие средств резервного копирования и восстановления персональных данных;
разработаны правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечивается регистрация и учет действий, совершаемых с персональными данными в информационных системах персональных данных.
8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Субъект персональных данных имеет право отозвать согласие на обработку
персональных данных, направив соответствующий запрос Фонду по почте или обратившись лично.
8.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Акселератором;
правовые основания и цели обработки персональных данных;
цели и применяемые Акселератором способы обработки персональных данных;
наименование и место нахождения Акселератора, сведения о лицах (за исключением сотрудников/работников Акселератора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Акселератором либо на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных;
адрес лица, осуществляющего обработку персональных данных по поручению Акселератора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
8.3. Субъект персональных данных вправе требовать от Акселератора уточнения его
персональных данных, их блокирования или уничтожения в случае, если персональные
данные являются неполными, устаревшими, неточными, незаконно полученными или не
являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.4. Срок предоставления информации о наличии персональных данных, относящихся
к соответствующему субъекту персональных данных, а также возможности ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо составляет десять рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Акселератором в адрес субъекта
персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.5. Если субъект персональных данных считает, что Акселератор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Акселератор в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. В случае вопросов, связанных с обработкой Ваших персональных данных в Акселераторе, вы можете направить запрос ответственному лицу по адресу info@mofl.ru