ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
включая порядок использования файлов cookie
Сайт kvcentr.ru
Разработана во исполнение п. 2 ч. 1 ст. 18.1 Федерального закона
от 27.07.2006 № 152-ФЗ «О персональных данных»
1. ОБЩИЕ ПОЛОЖЕНИЯ1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее — «Политика») разработана Автономной некоммерческой организацией «Камско-Волжский Центр Духовного Просвещения, Патриотизма и Поддержки Военнослужащих» (далее — «Организация», «Оператор») во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о ПДн»).
1.2. Политика определяет порядок сбора, хранения, использования, передачи и защиты персональных данных физических лиц (субъектов персональных данных), взаимодействующих с сайтом https://kvcentr.ru (далее — «Сайт»), а также устанавливает правила использования файлов cookie.
1.3. Политика является общедоступным документом. Актуальная редакция постоянно размещена на Сайте по адресу https://kvcentr.ru/privacy. Использование Сайта, а также предоставление персональных данных через его формы означает ознакомление с настоящей Политикой и согласие с её условиями в соответствующей части.
1.4. Правовую основу настоящей Политики составляют:
— Конституция Российской Федерации (статья 24);
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции, действующей с учётом изменений, внесённых Федеральным законом от 30.11.2024 № 420-ФЗ);
— Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральный закон от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;
— Федеральный закон от 11.08.1995 № 135-ФЗ «О благотворительной деятельности и добровольчестве (волонтёрстве)»;
— Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе»;
— Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных»;
— иные нормативные правовые акты Российской Федерации в области персональных данных.
1.5. Организация не обрабатывает специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, биометрические данные) и не предусматривает их предоставление через Сайт.
1.6. Трансграничная передача персональных данных Оператором не осуществляется. Все данные хранятся на серверах, расположенных на территории Российской Федерации, в соответствии с требованием статьи 18.1 Закона о ПДн о локализации данных.
2. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ
2.1. Оператором персональных данных в соответствии с настоящей Политикой является:
Полное наименование: Автономная некоммерческая организация «Камско-Волжский Центр Духовного Просвещения, Патриотизма и Поддержки Военнослужащих»
ОГРН: 1251600050162
ИНН: 1650448666 / КПП: 165001001
Юридический адрес: 423810, Республика Татарстан, г. Набережные Челны, Московский пр-кт, д. 133, кв. 56
Телефон: +7 (927) 047-42-31
E-mail: office@kvcentr.ru
Сайт: https://kvcentr.ru
2.2. Ответственным за организацию обработки персональных данных у Оператора является Директор Осипов Иван Николаевич. Контакт для обращений по вопросам обработки персональных данных: office@kvcentr.ru.
2.3. Организация в установленном порядке уведомила Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своей деятельности в качестве оператора персональных данных и включена в соответствующий реестр.
3. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
3.1. «Персональные данные» — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных) в соответствии со статьёй 3 Закона о ПДн.
3.2. «Обработка персональных данных» — любое действие (операция) или совокупность действий (операций) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
3.3. «Оператор» — юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки и её состав.
3.4. «Субъект персональных данных» — физическое лицо, чьи персональные данные обрабатываются Оператором.
3.5. «Согласие субъекта» — добровольное, конкретное, информированное и однозначное указание воли субъекта персональных данных, посредством которого он соглашается на обработку своих персональных данных в заявленных целях. Согласие оформляется в виде отдельного документа или отметки (флажка) в форме на Сайте.
3.6. «Конфиденциальность персональных данных» — обязательное для соблюдения Оператором и лицами, получившими доступ к данным, требование не допускать их распространения без согласия субъекта или иного законного основания.
3.7. «Cookie (куки)» — небольшие текстовые файлы, автоматически размещаемые на устройстве Пользователя при посещении Сайта и используемые для обеспечения его корректной работы, анализа поведения и персонализации.
3.8. «Локализация данных» — требование об обработке и хранении персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории Российской Федерации (ст. 18.1 Закона о ПДн).
4. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
4.1. Оператор вправе:
— обрабатывать персональные данные при наличии хотя бы одного из оснований, предусмотренных частью 1 статьи 6 Закона о ПДн;
— поручить обработку персональных данных третьим лицам на основании заключённого договора при условии соблюдения ими требований Закона о ПДн (ч. 3 ст. 6);
— продолжить обработку персональных данных после отзыва согласия субъекта, если для этого имеется иное законное основание (исполнение договора, соблюдение требований законодательства);
— отказать субъекту в реализации права на удаление данных, если их хранение обязательно в силу закона (бухгалтерская, налоговая отчётность и иное).
4.2. Оператор обязан:
— обрабатывать персональные данные исключительно в заявленных, конкретных и законных целях, не допуская их обработки в несовместимых с целями сбора целях;
— обеспечивать конфиденциальность персональных данных и не допускать их распространения без законного основания;
— принимать технические и организационные меры по защите персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения (ст. 19 Закона о ПДн);
— рассматривать обращения субъектов персональных данных в сроки, установленные Законом о ПДн и настоящей Политикой;
— уведомлять Роскомнадзор об инцидентах в области персональных данных в порядке и сроки, предусмотренные Законом о ПДн (в редакции 420-ФЗ);
— хранить документально оформленное согласие субъекта на обработку данных.
5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
— Жертвователи — физические лица, совершающие пожертвования в пользу Организации через Сайт посредством платёжного сервиса MixPlat;
— Волонтёры — физические лица, подающие заявки на участие в добровольческой деятельности Организации через соответствующую форму на Сайте;
— Подписчики — физические лица, давшие отдельное добровольное согласие на получение информационной рассылки Организации;
— Посетители Сайта — физические лица, использующие Сайт, чьи технические данные автоматически собираются через cookie-файлы и аналитические сервисы.
5.2. Организация не осуществляет обработку персональных данных, относящихся к специальным категориям, указанным в части 1 статьи 10 Закона о ПДн (сведения о расовой принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, биометрические данные и иное). Предоставление таких данных через Сайт не предусмотрено и не допускается.
6. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ
6.1. Обработка персональных данных Оператором осуществляется исключительно в конкретных, заранее определённых и законных целях. Расширительное толкование целей обработки не допускается. Состав данных, цели и правовые основания представлены в таблице:
Категория субъектов | Состав персональных данных | Цель обработки | Правовое основание |
Жертвователи | Фамилия, имя, отчество; адрес электронной почты; номер телефона; сумма пожертвования | — Проведение пожертвования; — исполнение условий публичной оферты; — бухгалтерская и налоговая отчётность Организации | ч. 1 ст. 6 п. 5 152-ФЗ (исполнение договора); ч. 1 ст. 6 п. 4 152-ФЗ (уставная деятельность АНО); 135-ФЗ |
Волонтёры | Фамилия, имя, отчество; адрес электронной почты; номер телефона | — Организация и учёт добровольческой деятельности; — ведение реестра волонтёров Организации | ч. 1 ст. 6 п. 1 152-ФЗ (согласие субъекта); ст. 5 135-ФЗ |
Подписчики рассылки | Адрес электронной почты; номер телефона (при наличии согласия на SMS) | Направление информационной рассылки о деятельности Организации, анонсах мероприятий и сборах | ч. 1 ст. 6 п. 1 152-ФЗ (отдельное согласие); ст. 18 38-ФЗ «О рекламе» |
Посетители Сайта | IP-адрес устройства; тип браузера и ОС; страницы и время посещения; файлы cookie | Анализ посещаемости и улучшение качества Сайта посредством Яндекс.Метрики | ч. 1 ст. 6 п. 1 152-ФЗ (согласие субъекта через cookie-баннер) |
6.2. Перечень персональных данных, обрабатываемых Оператором, является исчерпывающим. Оператор не собирает и не обрабатывает данные, выходящие за пределы, указанные в таблице п. 6.1.
7. СРОКИ ХРАНЕНИЯ И ПОРЯДОК УНИЧТОЖЕНИЯ
7.1. Персональные данные хранятся в течение сроков, необходимых для достижения целей обработки, либо в течение сроков, установленных нормативными правовыми актами Российской Федерации:
Категория данных / цель обработки | Срок хранения | Нормативное основание |
Данные жертвователей | 5 лет с даты последней операции | Ст. 29 402-ФЗ «О бухгалтерском учёте»; ст. 23 Налогового кодекса РФ |
Данные волонтёров | 3 года после прекращения деятельности | Ст. 196 ГК РФ (общий срок исковой давности) |
Данные подписчиков рассылки | До отзыва согласия субъекта | Ч. 4 ст. 9 152-ФЗ «О персональных данных» |
Технические данные посетителей (cookie, аналитика) | 13 месяцев с момента сбора | Технические регламенты сервиса Яндекс.Метрика; ч. 4 ст. 9 152-ФЗ |
7.2. По истечении установленного срока хранения персональные данные подлежат уничтожению или обезличиванию. Уничтожение производится способом, исключающим возможность последующего восстановления содержания уничтоженных данных.
7.3. При отзыве субъектом согласия на обработку персональных данных Оператор прекращает обработку и обеспечивает уничтожение соответствующих данных в течение 30 (тридцати) календарных дней, если иное не предусмотрено законом или заключённым договором. Данные, обработка которых обязательна в силу закона (бухгалтерская, налоговая отчётность), после отзыва согласия обрабатываются исключительно на данном законном основании до истечения срока, установленного законодательством.
8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
8.1. Оператор не передаёт персональные данные субъектов третьим лицам в целях, отличных от целей обработки, без согласия субъекта или иного законного основания, предусмотренного Законом о ПДн.
8.2. В целях исполнения договорных обязательств и технического обеспечения работы Сайта персональные данные субъектов передаются следующим лицам:
Получатель данных | Передаваемые данные | Цель передачи и основание |
ООО «Миксплат Процессинг» 123060, Москва, ул. Маршала Рыбалко, д. 2, корп. 6, эт. 14 info@mixplat.ru mixplat.ru | ФИО, email, номер телефона, сумма пожертвования. —— Реквизиты банковской карты вводятся жертвователем напрямую в защищённый виджет MixPlat и НЕ передаются через серверы АНО. | Проведение онлайн-платежей. Карточные данные обрабатываются исключительно MixPlat как самостоятельным оператором в соответствии с PCI DSS. Основание: ч. 3 ст. 6 152-ФЗ |
АО «Тильда Паблишинг» ИНН 9707041449 https://tilda.cc | Технические данные: логи сервера, файлы cookie, данные сессий | Хостинг и техническое обеспечение Сайта. Серверы расположены на территории Российской Федерации. Основание: ч. 3 ст. 6 152-ФЗ |
ООО «Яндекс» (Яндекс.Метрика) https://metrika.yandex.ru | IP-адрес, тип браузера, ОС, поведение на сайте, cookie-идентификаторы | Статистика посещаемости и анализ поведения пользователей. Данные обрабатываются Яндексом согласно его Политике конфиденциальности. Основание: ч. 1 ст. 6 п. 1 152-ФЗ (согласие субъекта) |
8.3. Особо важное разграничение в части платёжных данных: реквизиты банковской карты (номер, CVV, срок действия) жертвователь вводит непосредственно в защищённый виджет ООО «Миксплат Процессинг», минуя серверы и инфраструктуру Организации. Организация в любой момент времени не имеет доступа к полным карточным реквизитам и не осуществляет их обработку. В адрес Организации поступает исключительно уведомление о факте и статусе платежа. Ответственность за обработку и защиту карточных данных в полном объёме несёт ООО «Миксплат Процессинг» как самостоятельный оператор персональных данных.
8.4. С каждым из указанных получателей данных Оператор заключил соответствующие соглашения, обеспечивающие надлежащий уровень защиты персональных данных и соблюдение требований Закона о ПДн.
8.5. Трансграничная передача персональных данных (на территорию иностранных государств) Оператором не осуществляется. Все данные хранятся и обрабатываются исключительно на серверах, расположенных на территории Российской Федерации, в соответствии с требованием о локализации (ст. 18.1 Закона о ПДн).
9. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Каждый субъект персональных данных вправе:
— получить информацию об обработке его персональных данных, в том числе о целях, категориях данных, источниках получения, сроках хранения и лицах, которым они могут быть переданы (ст. 14 Закона о ПДн);
— требовать уточнения, блокирования или уничтожения своих персональных данных в случае их неполноты, устарелости, неточности, незаконного получения или несоответствия заявленным целям (ст. 21 Закона о ПДн);
— отозвать согласие на обработку персональных данных в любое время (ст. 9 Закона о ПДн);
— требовать прекращения обработки данных, если они обрабатываются незаконно или в несовместимых с целями сбора целях;
— возражать против принятия решений, основанных исключительно на автоматизированной обработке его данных;
— обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке (ст. 17 Закона о ПДн).
9.2. Для реализации своих прав субъект персональных данных направляет письменное заявление (обращение) на адрес электронной почты Оператора: office@kvcentr.ru. Заявление должно содержать: фамилию, имя, отчество субъекта; реквизиты документа, удостоверяющего личность (серия, номер, кем и когда выдан); сведения о конкретных данных, в отношении которых направляется запрос; суть обращения.
9.3. Оператор рассматривает обращение субъекта в течение 30 (тридцати) календарных дней с даты его получения. При необходимости данный срок может быть продлён не более чем на 30 (тридцать) дней с направлением субъекту мотивированного уведомления.
9.4. В случае нарушения своих прав субъект вправе обратиться в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): www.rkn.gov.ru, 109074, г. Москва, Китайгородский пр-д, д. 7/2.
10. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЕГО ОТЗЫВ
10.1. В случаях, когда обработка персональных данных требует согласия субъекта (подача заявки на волонтёрскую деятельность, подписка на рассылку), такое согласие оформляется в виде отдельного волеизъявления — проставления соответствующей отметки (флажка) в форме на Сайте. Согласие является самостоятельным и не обусловлено принятием иных условий использования Сайта (требование Закона о ПДн в редакции, вступившей в силу с 01.09.2025).
10.2. Обработка персональных данных жертвователей осуществляется на основании договора — публичной оферты на совершение пожертвования (ч. 1 ст. 6 п. 5 Закона о ПДн). Отдельного согласия для данной цели не требуется; вместе с тем согласие на рассылку и иные цели является самостоятельным и необязательным.
10.3. Субъект персональных данных вправе отозвать согласие в любое время, направив письменный запрос на адрес: office@kvcentr.ru. Отзыв согласия на рассылку также возможен через ссылку отписки, содержащуюся в каждом письме информационной рассылки. Запрос исполняется в течение 10 (десяти) рабочих дней.
10.4. Отзыв согласия не влечёт автоматического прекращения обработки персональных данных в тех случаях, когда обработка продолжается на ином законном основании (исполнение договора, соблюдение требований налогового и бухгалтерского законодательства). Оператор уведомляет субъекта о сохраняющихся основаниях обработки в ответ на запрос об отзыве.
11. ФАЙЛЫ COOKIE И АНАЛИТИЧЕСКИЕ СЕРВИСЫ
11.1. Сайт использует файлы cookie — небольшие текстовые файлы, сохраняемые на устройстве Пользователя. IP-адреса и иные поведенческие данные, передаваемые через cookie в аналитические сервисы, являются персональными данными в понимании Закона о ПДн.
11.2. Сайт использует следующие категории cookie:
— Технические (необходимые) cookie — обеспечивают корректное функционирование Сайта (навигация, сессии). Не могут быть отключены без нарушения работы Сайта;
— Аналитические cookie — передают обезличенные данные о поведении Пользователя на Сайте в сервис Яндекс.Метрика (ООО «Яндекс»). Используются для анализа посещаемости и улучшения Сайта;
— Функциональные cookie — сохраняют предпочтения Пользователя (например, язык, настройки) при повторных визитах.
11.3. Правовым основанием обработки данных через аналитические и функциональные cookie является согласие субъекта (ч. 1 ст. 6 п. 1 Закона о ПДн). Согласие выражается при принятии условий cookie-баннера при первом посещении Сайта. Технические cookie обрабатываются на основании законного интереса Оператора (ч. 1 ст. 6 п. 7 Закона о ПДн) в части обеспечения работоспособности Сайта.
11.4. Пользователь вправе управлять параметрами cookie:
— через инструмент управления cookie (cookie-баннер), размещённый на Сайте;
— через настройки браузера — инструкции доступны в разделе справки соответствующего браузера;
— отказаться от аналитики Яндекс.Метрики, установив официальный плагин-блокировщик Яндекса.
11.5. Отключение технических cookie может повлечь некорректную работу отдельных функций Сайта. Отключение аналитических cookie не влияет на основные функциональные возможности Сайта.
11.6. Данные, собранные через аналитические cookie, хранятся в течение 13 (тринадцати) месяцев, после чего автоматически удаляются в соответствии с регламентами сервиса Яндекс.Метрика.
12. МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ И ДЕЙСТВИЯ ПРИ ИНЦИДЕНТАХ
12.1. Оператор принимает необходимые правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. Меры реализуются в соответствии со статьёй 19 Закона о ПДн, Постановлением Правительства РФ от 01.11.2012 № 1119 и Приказом ФСТЭК России от 18.02.2013 № 21.
12.2. Технические меры защиты включают:
— передачу данных по защищённому протоколу HTTPS (TLS), исключающему их перехват при транзите;
— межсетевое экранирование и антивирусную защиту серверной инфраструктуры;
— разграничение прав доступа к информационным системам, содержащим персональные данные;
— регулярное резервное копирование данных.
12.3. Организационные меры защиты включают:
— ограничение круга лиц, имеющих доступ к персональным данным, исключительно теми сотрудниками, для кого это необходимо в рамках их должностных обязанностей;
— проведение инструктажа и обучения сотрудников требованиям законодательства в области защиты персональных данных;
— принятие от лиц, имеющих доступ к персональным данным, обязательств о конфиденциальности;
— назначение ответственного за организацию обработки персональных данных.
12.4. При выявлении инцидента, связанного с нарушением безопасности персональных данных (утечка, несанкционированный доступ, уничтожение), Оператор действует в следующем порядке в соответствии с требованиями 420-ФЗ:
— в течение 24 (двадцати четырёх) часов с момента обнаружения — уведомляет Роскомнадзор о факте инцидента через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА);
— в течение 72 (семидесяти двух) часов — направляет в Роскомнадзор результаты внутреннего расследования с описанием предполагаемых причин, перечня скомпрометированных данных и принятых мер;
— в течение 10 (десяти) рабочих дней — уведомляет затронутых инцидентом субъектов персональных данных о факте нарушения, его возможных последствиях и принимаемых Оператором мерах по устранению последствий.
13. ПОРЯДОК ИЗМЕНЕНИЯ НАСТОЯЩЕЙ ПОЛИТИКИ
13.1. Оператор вправе в одностороннем порядке вносить изменения в настоящую Политику без предварительного уведомления субъектов персональных данных.
13.2. Актуальная редакция Политики постоянно размещена в открытом доступе по адресу https://kvcentr.ru/privacy. Дата последнего обновления указывается в блоке «УТВЕРЖДЕНО» в начале документа.
13.3. Продолжение использования Сайта после публикации изменений означает согласие субъекта с обновлённой редакцией Политики в части, не требующей предоставления отдельного согласия в соответствии с Законом о ПДн.
13.4. Если внесённые изменения существенно затрагивают порядок обработки данных, для которой требуется согласие субъекта, Оператор обеспечивает получение нового согласия в установленном настоящей Политикой порядке (раздел 10).
