Політика конфіденційості
І. МЕТА І ЗАВДАННЯ
1.1. Ця політика встановлює вимоги та процедури збору, обробки та захисту персональних даних фізичних осіб (в тому числі, дітей та молоді), які беруть участь в наших проектах і з якими ми контактуємо, а також збереження інформації, захисту інформації на публічних ресурсах Благодійної організації "ФУНДАЦІЯ ОЛЕНИ ЗЕЛЕНСЬКОЇ" (надалі - "Фундація").
1.2. Політика не застосовується при обробці Фундацією даних / інформації юридичних осіб, а також даних / інформації, які не є персональними даними фізичних осіб.
1.3. Політику розроблено на підставі Конституції України, Законів України «Про захист персональних даних», «Про інформацію», «Про благодійну діяльність та благодійні організації», інших нормативно-правових і підзаконних актів, а також статуту Фундації.
1.4. Політика є невід’ємною частиною відповідних правочинів, що укладаються Фундацією з фізичними особами, зокрема з благодійниками та бенефіціарами (отримувачами благодійної допомоги, послуг тощо).
1.5. Розміщення даної Політики за посиланням https://zelenskafoundation.org також є повідомленням суб’єктів персональних даних про володільця персональних даних, склад та зміст персональних даних, що збираються у зв’язку з відвідуванням/використанням сайту, про права таких суб’єктів, мету збору їх персональних даних та третіх осіб, яким можуть передаватись такі персональні дані.
1.6. Метою політики є:
забезпечити відповідність діяльності Фундації законодавству України щодо збору, обробки та зберігання персональних даних бенефіціарів та членів Команди Фундації;
забезпечити механізми та процедури захисту та конфіденційності збору, обробки та зберігання персональних даних та інформації про бенефіціарів, а також підвищення рівня свідомості та відповідальності членів Команди Фундації у сфері інформаційної безпеки.
2. ВИЗНАЧЕННЯ
2.1. Персональні дані - будь-яка інформація, що стосується ідентифікованої фізичної особи («бенефіціара»).
2.2. Команда Фундації - особи, які залучені до реалізації проєктів Фундації та працюють для, від імені та в Фундації на будь-якій посаді, незалежно від того, чи отримує така особа заробітну плату (або оплату за надання послуг), чи працює на волонтерських засадах, надає послуги Фундації, є постачальником чи партнером Фундації. До них належать (але не обмежуючись): співробітники (повний і неповний робочий день), надавачі послуг, консультанти, підрядники, постачальники, партнери.
2.3. Бенефіціар - особа, яка безпосередньо отримує товари або послуги в межах проєктів Фундації. До осіб, визначених цим терміном, відносяться вразливі та постраждалі групи населення, особливо діти, молодь, внутрішньо переміщені особи та інші потребуючі особи.
2.4. Обробка персональних даних - будь-яка операція або сукупність операцій, здійснених з персональними даними, включаючи збір, запис, організацію, збереження, адаптацію, зміну, витяг, використання, передачу, поширення, об'єднання, блокування, видалення або знищення, тощо.
2.5. База персональних даних - організована структура, що містить персональні дані бенефіціарів та забезпечує їх систематизацію та доступ до них.
2.6. Власник бази персональних даних - Фундація, яка володіє та керує базою персональних даних бенефіціарів та членів Команди Фундації.
2.7. Суб'єкт персональних даних - фізична особа, до якої належать персональні дані та яка ідентифікована або може бути ідентифікована за допомогою таких даних.
2.8. Згода суб'єкта персональних даних - будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети ïx обробки;
2.9. Знеособлення персональних даних - вилучення відомостей, які дають змогу ідентифікувати особу.
2.10. Зберігання інформації - забезпечення належного стану інформації та її матеріальних носіїв.
2.11. Конфіденційність інформації - властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем і (або) процесом. Інформація зберігає конфіденційність, якщо дотримуються встановлені правила ознайомлення з нею.
3. ВІДПОВІДАЛЬНІ ОСОБИ ТА СФЕРА ЗАСТОСУВАННЯ
3.1. Ця Політика поширюється на всю Команду Фундації, включаючи осіб з повною трудовою зайнятістю, неповною зайнятістю або тимчасових співробітників, всіх підрядників, замовників, партнерських організацій, що співпрацюють з Фундацією в процесі реалізації проектів чи організаційної діяльності, всiх, хто надає послуги за договором та опосередковано, на бенефіціарів та інші сторони, які є учасниками фінансових чи інших відносин із Фундацією, кожен з яких має право на захист.
3.2. Директор Фундації приймає рішення щодо збору, обробки, зберігання та передачі персональних даних, конфіденційності та захисту інформаційної безпеки.
3.3. Директор Фундації відповідає за забезпечення виконання цієї Політики щодо безпечного та правильного збирання, зберігання, обробки та передачі персональних даних, конфіденційності та інформаційної безпеки, відповіді на запити, включаючи розробку та впровадження політик та процедур інформаційної безпеки.
3.4. Директор Фундації може призначати інших співробітників Фундації відповідальними за зберігання, обробку та передачу персональних даних, конфіденційність та інформаційну безпеку, оформивши відповідний наказ.
3.5. Директор Фундації відповідає за ознайомлення членів Команди з цією Політикою, а також вживатиме заходів з підвищення обізнаності Команди Фундації щодо знань захисту та безпеки в обробці та зберіганні персональних даних, конфіденційності та інформаційної безпеки.
3.6. Директор Фундації, члени Правління, керівники напрямів, проєктні менеджери Фундації обов’язуються вживати ефективних заходів щодо збирання, обробки та зберігання персональних даних, конфіденційності та не можуть без письмового дозволу Директора Фундації передавати персональні дані інших сторонам за їх запитом.
3.7. Встановлення програмного забезпечення, антивірусних програм, оновлення операційних систем на всіх мережевих пристроях у Фундації виконує виключно системний адміністратор за погодженням Директора.
3.8. Системний адміністратор не рідше ніж 1 раз на квартал має проводити перевірку оновлення операційних систем, програмного забезпечення для забезпечення максимального рівня безпеки Фундації, а також забезпечувати захист мережевого з'єднання шляхом використання зашифрованих протоколів, фаєрволів та інших технологій захисту.
3.9. Правління Фундації забезпечує нагляд та робочий контроль за обробкою персональних даних Фундації, конфіденційністю та інформаційною безпекою.
4. КОНФІДЕНЦІЙНІСТЬ, ЗБЕРЕЖЕННЯ ТА ЗАХИСТ ІНФОРМАЦІЇ ФУНДАЦІЇ
4.1. Співробітникам на початку своєї роботи в Фундації системним адміністратором створюється робоча пошта Фундації на домені zelenskafoundation.org.
4.2. Запит на створення робочої пошти для нового співробітника системному адміністратору дає Директор Фундації.
4.3. Після отримання корпоративної пошти співробітник отримує відповідні інструкції і матиме доступ до хмарних технологій Фундації таких, як гугл-диск Фундації та інші, де кожному користувачеві надаються тільки ті привілеї та рівень доступу, які необхідні для виконання його обов'язків.
4.4. Члени команди Фундації можуть використовувати адресу робочої електронної пошти лише для комунікації в рамках виконання своїх обов’язків, пов'язаних з діяльністю Фундації.
4.5. Забороняється використання корпоративної пошти у власних цілях.
4.6. При необхідності передачі конфіденційної інформації електронною поштою, слід використовувати дворівневе шифрування для забезпечення безпеки передачі даних згідно налаштувань в електронній пошті.
4.7. Члени команди Фундації з моменту отримання робочої електронної пошти Фундації повинні дотримуватись вимог до конфіденційності інформації. Вони не повинні розголошувати конфіденційну інформацію третім особам без належного дозволу Директора Фундації.
4.8. Після припинення співпраці з членом Команди обліковий запис на запит Директора блокується в день припинення співпраці системним адміністратором Фундації та через два тижні архівується ним.
4.9. При публікації будь-якої інформації на публічних ресурсах, необхідно дбати про збереження конфіденційності персональних даних та конфіденційної інформації Фундації. За це відповідає начальник відділу інформаційної діяльності та зв’язків з громадськістю. Це стосується сторінок Фундації в соціальних мережах (фейсбук, телеграм-каналів тощо) та корпоративного сайту https://zelenskafoundation.org.
4.9. Доступ до публічних ресурсів, де розміщується інформація Фундації, обмежений і доступний лише відповідальним особам, які мають на це повноваження. Начальник відділу інформаційної діяльності та зв’язків з громадськістю періодично перевіряє список користувачів-адмінів соціальних сторінок та інших спільних ресурсів (групи, канали тощо).
4.10. Будь-яка інформація, яка стала відома членам команди Фундації, у зв’язку з виконанням обов’язків за договором із Фундацією, і розголошення якої може нанести шкоду Фундації, є комерційною таємницею, і не підлягає розголошенню третім особам або опублікуванню без попередньої згоди на це Фундації. За розголошення вказаної інформації винна сторона несе відповідальність, передбачену діючим законодавством України.
4.11. Конфіденційною вважається у тому числі інформація, яка складає дійсну або потенційну комерційну цінність для Фундації та є невідомою третім особам, і по відношенню до якої Фундація вживає заходи щодо охорони її конфіденційності, а також інша інформація, яка не є комерційною таємницею, але відносно якої Фундацією було заявлено, що вона є конфіденційною.
4.12. Члени Команди зобов’язуються протягом строку дії договору із Фундацією та протягом 3 (трьох) років після його припинення не розголошувати та не розкривати третім особам конфіденційну інформацію, надану їм Фундацією, та не використовувати її з будь-якою іншою метою, окрім тієї, для якої така інформація була надана Фундацією, без отримання попередньої письмової згоди Директора Фундації. Фундація залишає за собою право у разі необхідності контролювати використання членами Команди конфіденційної інформації та її збереження.
4.13. Члени Команди та Фундація зобов’язуються дотримуватися конфіденційності переговорів, листування та інших дій, пов’язаних з договірними умовами, та не розголошувати таку інформацію третім особам без письмової згоди іншої сторони.
5. БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ ВЛАСНИКОМ, ЯКИХ Є ФУНДАЦІЯ
5.1. Обробка персональних даних здійснюється Фундацією для реалізації її проєктів, захисту бенефіціарів, членів Команди Фундації та інших цілей, визначених чинним законодавством України.
5.2. Підставами виникнення права на використання персональних даних є:
● згода суб'єкта персональних даних на обробку його персональних даних письмово чи за допомогою електронних засобів (Додаток 1);
● дозвіл на обробку персональних даних, наданий Фундації відповідно до законодавства України, виключно для здійснення її повноважень.
5.3. Фундація володіє та обробляє наступні бази персональних даних:
5.3.1. Базу даних бенефіціарів, яка містить основну інформацію про бенефіціарів Фундації, включаючи ім'я, прізвище, контактні дані, інформацію про отримувану підтримку тощо. Метою оброблення бази персональних даних бенефіціарів є виконання вимог законодавства, реалізації прав, наданих Фундації чинним законодавством та забезпечення реалізації податкових відносин та відносин у сферах бухгалтерського обліку, аудиту, тощо.
5.3.2. Базу персональних даних членів Команди Фундації, яка містить інформацію про прізвище, ім’я, по-батькові, дату та місце народження, домашній та мобільний телефон, електронну адресу, місце реєстрації, паспортні дані, реєстраційний номер облікової картки платника податків, освіту, сімейний стан, дітей, громадянство, наявність закордонного паспорту, наявність та категорію водійських прав, наявність судимості, дані про досвід роботи, та інші дані за потребою. Метою оброблення бази персональних даних членів Команди Фундації є ведення кадрового діловодства, підготовка відповідно до вимог законодавства та внутрішніх стандартів та політик Фундації, статистичної, адміністративної та іншої інформації з питань персоналу, а також внутрішніх документів Фундації з питань реалізації визначених законодавством прав та обов’язків у сфері трудових правовідносин i соціального захисту тощо.
5.3.3. Володіючи базою персональних даних бенефіціарів та членів Команди Фундації, Фундація зобов'язується використовувати ці дані тільки для визначених цілей, зазначених у статуті або інших локальних нормативних документах і згідно з принципами законності, справедливості та прозорості.
5.4. Фундація не буде передавати персональні дані бенефіціарів та членів Команди Фундації третім особам без належних правових підстав, таких як згода бенефіціарів або законні вимоги відповідних органів.
5.5. Передачу персональних даних третім особам Фундація робить виключно за наказом Директора Фундації.
5.6. Підставою передачі персональних даних має бути укладена угода або письмово зафіксовані інші механізми, що гарантують адекватний рівень захисту цих даних та забезпечують дотримання вимог чинного законодавства України про захист персональних даних.
6. ОБМЕЖЕНИЙ ДОСТУП ДО ПЕРСОНАЛЬНИХ ДАНИХ
6.1. Фундація забезпечує обмежений доступ до персональних даних бенефіціарів та членів Команди Фундації тільки співробітникам та іншим особам, які мають необхідний письмовий дозволений доступ до таких даних від Директора Фундації.
6.2. Доступ до персональних даних надається лише в межах, необхідних для виконання визначених завдань та обов'язків в реалізації проєктів Фундації.
6.3. Фундація забезпечує регулярне навчання та інструктаж свого персоналу щодо використання та обробки персональних даних відповідно до вимог чинного законодавства не рідше ніж 1 раз на півроку. Відповідальним за постійне навчання та підвищення кваліфікації членів Команди Фундації є Директор.
6.4. Персонал Фундації, який має доступ до персональних даних бенефіціарів та членів Команди Фундації, зобов'язується дотримуватися конфіденційності та виконувати всі необхідні заходи безпеки для захисту цих даних згідно цієї Політики та вимог українського законодавства.
6.5. Суб'єкти персональних даних мають право на захист своїх персональних даних та використання їх відповідно до чинного законодавства України та цієї Політики.
6.5.1. Суб'єкти персональних даних мають наступні права:
Право на інформацію: Суб'єкти персональних даних мають право бути інформованими про те, що їхні персональні дані збираються та обробляються, про цілі обробки, категорії отримувачів даних та правову підставу для обробки згідно Додатку 1.
Право на доступ: Суб'єкти персональних даних мають право отримувати доступ до своїх персональних даних, які зберігаються в базі персональних даних Фундації, і отримувати копії цих даних, подавши відповідний письмовий запит до Директора Фундації.
Право на виправлення: Суб'єкти персональних даних мають право вимагати виправлення неправдивих або недостовірних персональних даних, які стосуються їх.
Право на вилучення: Суб'єкти персональних даних мають право вимагати видалення своїх персональних даних з бази персональних даних Фундації у разі, коли ці дані більше не потрібні для визначених цілей, або якщо обробка їх незаконна.
Право на обмеження обробки: Суб'єкти персональних даних мають право обмежити обробку своїх персональних даних у певних ситуаціях, зокрема, якщо обробка є незаконною або суб'єкт персональних даних заперечує проти обробки.
Право на перенесення даних: Суб'єкти персональних даних мають право отримати свої персональні дані, які вони надали Фундації, у структурованому, звичайно використовуваному та машиночитанному форматі, передати ці дані, які вони надали Фундації, у структурованому, звичайно використовуваному та машиночитанному форматі, а також передати ці дані іншому володарю персональних даних без перешкоди з боку Фундації, якщо обробка ґрунтується на згоді або укладеному договорі та здійснюється автоматизованим способом.
Право на відкликання згоди: У разі, коли обробка персональних даних здійснюється на підставі згоди суб'єкта даних, суб'єкт має право в будь-який час відкликати свою згоду. Відкликання згоди не впливає на законність обробки, здійсненої до відкликання згоди.
Право на подання скарги: Суб'єкти персональних даних мають право подавати скарги до відповідних контролюючих органів, якщо вони вважають, що їхні права в сфері захисту персональних даних порушені.
6.6. Застосування прав суб'єктів персональних даних здійснюється шляхом звернення до Фундації на підставі Статті 16 Закону України “Про захист персональних даних”. Фундація зобов'язана забезпечити можливість здійснення цих прав та відповідно реагувати на запити суб'єктів персональних даних у межах вимог чинного законодавства.
7. ПОРЯДОК ОБРОБЛЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ
7.1. Оброблення персональних даних здійснюється відповідно до вимог чинного законодавства України, принципів конфіденційності та безпеки персональних даних.
7.2. Персональні дані збираються та обробляються згідно дозволу встановленої форми (Додаток 1).
7.3. Оброблення персональних даних може здійснюватися з використанням автоматизованих засобів, які використовує Фундація, а також без автоматизованих засобів (зберігання письмових дозволів в офісі Фундації тощо).
7.4. Фундація забезпечує виконання належних заходів для захисту персональних даних від несанкціонованого доступу, випадкової втрати або пошкодження, знищення, зміни, поширення або незаконної обробки, постійно оновлюючи безпеку автоматизованих засобів зберігання персональних даних та безпечне і захищене місце в офісі, архіві Фундації для неавтоматизованих засобів зберігання персональних даних.
7.5. Здійснення обробки персональних даних може здійснюватися Фундацією або за її дорученням третіми особами на підставі укладених угод, або на підставі законних підстав, визначених законодавством України.
7.6. Фундація забезпечує зберігання персональних даних (як автоматизованих, так і неавтоматизованих) протягом періоду, необхідного для досягнення цілей обробки згідно умов договору, реалізації проекту, якщо інше не передбачено законодавством або угодою з суб'єктом персональних даних.
7.7. Припинення оброблення персональних даних може здійснюватися за ініціативою суб'єкта персональних даних, за письмовим запитом контролюючих органів або у разі виконання законних вимог, визначених чинним законодавством.
7.8. Передача персональних даних третім особам може здійснюватися лише у випадках, передбачених законодавством, договором реалізації проєкту та відповідно до вимог забезпечення конфіденційності та безпеки персональних даних.
7.9. У разі порушення безпеки персональних даних, що може призвести до несанкціонованого доступу, втрати, зміни або пошкодження таких даних, Фундація зобов'язана повідомити відповідний контролюючий орган та суб'єктів персональних даних відповідно до вимог чинного законодавства.
7.10. Фундація забезпечує належні умови для здійснення прав суб'єктів персональних даних, зокрема прав на доступ до персональних даних, виправлення неправдивих або недостовірних даних, вилучення даних тощо.
7.11. Фундація гарантує, що вона дотримується належної практики та нормативних вимог щодо захисту персональних даних, захищає права суб’єктів персональних даних та запобігає ризику порушення безпеки обробки персональних даних.