ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ АВТОНОМНОЙ НЕКОММЕРЧЕСКОЙ ОРГАНИЗАЦИИ «РОССИЙСКИЙ ИНСТИТУТ СОВРЕМЕННОГО АРБИТРАЖА»
Общие положения
1. Политика конфиденциальности (Политика) определяет порядок обработки и защиты персональных данных различных категорий субъектов персональных данных (субъекты)[1] автономной некоммерческой организацией «Российский институт современного арбитража» (ИНН 7707371500, ОГРН 1167700062804, адрес местонахождения: 119017, г. Москва, Кадашёвская наб., дом 14, стр.3, оф.3) и ее структурным подразделением – Российский арбитражный центр (РИСА).
2. РИСА ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
3. Политика может быть изменена РИСА. Новая редакция Политики вступает в силу с момента ее размещения в публичном доступе, в том числе на сайтах РИСА https://modernarbitration.ru; https://centerarbitr.ru.
4. Политика применяется ко всей информации, которую РИСА может получить о посетителях веб-сайтов, расположенных на доменном имени modernarbitration.ru; centerarbitr.ru (и доменах третьего уровня).
Цели, категории и основания обработки персональных данных
5. РИСА может обрабатывать персональные данные исключительно в целях, для которых они были собраны или получены. Цели обработки персональных данных РИСА указаны в Приложении к настоящей Политике.
6. РИСА вправе в указанных целях обрабатывать персональные данные любыми не противоречащими законодательству способами путем автоматизированной, неавтоматизированной и смешанной обработки. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством, либо иное отдельно не согласовано сторонами, обрабатываемые персональные данные подлежат уничтожению.
7. РИСА не обрабатывает биометрические данные, а также сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни субъектов персональных данных, сведения о судимости.
8. Обработка персональных данных в целях, указанных в Приложении, осуществляется РИСА на следующих законных основаниях:
· заключение и исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект;
· с согласия субъекта персональных данных, предоставляемого при заполнении веб-форм, направлении РИСА запросов или в ином виде;
· для выполнения функций и обязанностей, возложенных на РИСА применимым законодательством, в том числе Федеральным законом от 29 декабря 2015 г. № 382-ФЗ «Об арбитраже (третейском разбирательстве) в Российской Федерации» (Закон об арбитраже);
· для осуществления прав и законных интересов РИСА или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта.
Принципы обработки персональных данных
9. Обработка информации осуществляется РИСА в соответствии с настоящей Политикой, внутренними актами РИСА, а также законодательством Российском Федерации, в частности Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Закон о персональных данных).
10. РИСА обрабатывает персональные данные на основании следующих принципов:
· обработка персональных данных осуществляется на законной и справедливой основе;
· обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
· не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
· не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
· обработке подлежат только персональные данные, которые отвечают целям их обработки;
· содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
· при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях – и актуальность по отношению к целям обработки персональных данных, принимаются необходимые меры по удалению или уточнению неполных или неточных персональных данных;
· хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, согласием на обработку, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
· обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
· обработка персональных данных не используется в целях причинения имущественного и/или морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.
Условия обработки персональных данных
11. Обработка информации осуществляется РИСА в соответствии с настоящей Политикой, внутренними актами РИСА, а также законодательством Российском Федерации.
12. Обработка персональных данных осуществляется РИСА, а также иными третьими лицами, которые привлекаются РИСА к обработке, или которым передаются персональные данные в соответствии с законодательством Российской Федерации. К числу подобных третьих лиц, в частности, могут относиться:
· контрагенты РИСА, оказывающие услуги, в том числе услуги поддержки используемых информационных систем;
· соорганизаторы мероприятий, проводимых РИСА;
· государственные/муниципальные органы власти в случаях, установленных законодательством.
13. Данные, собираемые используемыми системами веб-аналитики, могут также получать и обрабатывать третьи лица-провайдеры таких систем (в частности, Яндекс Метрика).
14. РИСА может осуществлять трансграничную передачу персональных данных в соответствии с законодательством Российской Федерации.
15. РИСА имеет право привлекать третьих лиц к обработке полученных персональных данных и/или передавать им полученные данные, а также получать от них данные в целях, указанных в Приложении, без дополнительного согласия субъекта при условии обеспечения указанными третьими лицами конфиденциальности и безопасности персональных данных при обработке. Допускается обработка персональных данных указанными третьими лицами с использованием и без использования средств автоматизации, а также совершение ими любых действий по обработке персональных данных, не противоречащих законодательству Российской Федерации. Обработка персональных данных третьим лицом может осуществляться только на основании договора, в котором определены перечень действий (операций), которые будут осуществляться с персональными данными, и цели обработки, а также положения по обеспечению безопасности персональных данных, в том числе требования не раскрывать и не распространять персональные данные без согласия субъекта, если иное не предусмотрено законодательством Российской Федерации, а также требования в соответствии со статьей 19 Закона о персональных данных.
16. РИСА обязуется принимать необходимые правовые, организационные и технические меры для защиты получаемых персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, представления, распространения персональных данных, иных неправомерных действий в отношении персональных данных, и соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных и иными соответствующими нормативными актами.
17. В РИСА запрещено принятие решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
18. РИСА не размещает персональные данные в общедоступных источниках без согласия субъекта персональных данных.
19. В случае если РИСА распространяет среди неопределенного круга лица, в том числе на своих вебсайтах, персональные данные субъектов, РИСА собирает согласия субъектов на обработку персональных данных, разрешенных субъектом для распространения в соответствии со статьей 10.1 Закона о персональных данных. Если субъекты устанавливают дополнительные условия/запреты последующей обработки персональных данных, РИСА доводит эту информацию посредством размещения условий/запретов на соответствующих страницах веб-сайтов, на которых осуществляется распространение персональных данных.
Меры по обеспечению безопасности персональных данных
20. РИСА принимает все необходимые организационные и технические меры для защиты персональных данных субъектов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения, а также от иных неправомерных действий с ней.
21. К мерам обеспечения безопасности персональных данных в РИСА относятся, в том числе, следующие:
· учет обрабатываемых РИСА категорий и перечня персональных данных, категорий субъектов, персональные данные которых обрабатываются, сроков хранения и порядка уничтожения таких персональных данных;
· учет машинных носителей персональных данных и информационных систем РИСА, в которых обрабатываются персональные данные;
· определение необходимого уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных РИСА;
· определение угроз безопасности персональных данных при их обработке в информационных системах;
· определение и внедрение перед введением новых процессов обработки персональных данных и новых информационных систем персональных данных технических и организационных мер, обеспечивающих защиту персональных данных;
· осуществление и документирование оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых РИСА мер;
· установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета действий, совершаемых с персональными данными в информационных системах;
· применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· обнаружение фактов несанкционированного доступа к персональным данным и других инцидентов, принятие мер по ликвидации и митигации последствий;
· восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· учет должностей работников РИСА, доступ которых к персональным данным, обрабатываемым как с использованием, так и без использования средств автоматизации, необходим для выполнения служебных (трудовых) обязанностей;
· обеспечение ознакомления под подпись работников РИСА, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой и иными локальными актами РИСА по вопросам обработки и защиты персональных данных, обучение работников РИСА;
· контроль и оценка эффективности применяемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
· осуществление регулярного внутреннего контроля/аудита соответствия обработки и обеспечения безопасности персональных данных действующему законодательству Российской Федерации в области обработки и обеспечения безопасности персональных данных.
22. В РИСА назначено лицо, ответственное за организацию обработки персональных данных.
23. Во внутренних документах, обязательных для исполнения всеми работниками РИСА, а также в соответствующих соглашениях с партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются:
· процедуры предоставления доступа к информации;
· процедуры внесения изменений в персональные данные с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки;
· процедуры уничтожения либо блокирования персональных данных в случае необходимости выполнения такой процедуры;
· процедуры обработки обращений и субъектов персональных данных (их законных представителей) для случаев, предусмотренных Законом о персональных данных, в частности порядок подготовки информации о наличии персональных данных, относящихся к конкретному субъекту, информации, необходимой для предоставления возможности ознакомления субъектом (его законными представителями) с его персональными данными, а также процедуры обработки обращений об уточнении персональных данных, их блокировании или уничтожении, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;
· процедуры обработки запроса уполномоченного органа по защите прав субъектов персональных данных;
· процедуры получения согласия субъекта персональных данных на обработку персональных данных;
· процедуры передачи персональных данных третьим лицам;
· процедуры работы с материальными носителями персональных данных;
· процедуры, необходимые для осуществления уведомления уполномоченного органа по защите прав субъектов персональных данных в сроки, установленные Законом о персональных данных.
24. При сборе персональных данных РИСА обеспечивает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Использование cookie-файлов и иных средств веб-аналитики
25. Cookie — это небольшие файлы, которые создаются и сохраняются браузером при посещении сайтов РИСА. Cookie-файлы хранятся на устройстве не более года и позволяют отслеживать качество работы сайта и характеристики его использования, а также оптимизировать маркетинговые активности в Интернете.
26. Посещение и использование сайтов по умолчанию предусматривает генерацию и сохранение cookie-файлов. Однако пользователь в любой момент может удалить cookie-файлы с устройства через настройки используемого браузера. Пользователь также может отказаться от принятия cookie-файлов, однако при этом не гарантирована работа всех функций сайтов.
27. На сайтах РИСА используются следующие виды средств веб-аналитики:
| Технические и функциональные cookie-файлы | Эти файлы, генерируемые движками сайтов, используются для обеспечения бесперебойной работы сайтов, а также для запоминания выбранных пользователем настроек (в частности, всплывающих баннеров и запоминания предоставленных согласий и разрешений). |
| Аналитические cookie-файлы | Эти файлы позволяют подсчитывать количество пользователей сайта; определять, какие действия пользователь совершает на сайте (посещаемые страницы, время и количество просмотренных страниц). Сбор аналитических данных осуществляется через Яндекс Метрика. |
Права субъектов персональных данных и контакты по вопросам обработки персональных данных
28. При обработке персональных данных субъекты вправе:
· запросить информацию, касающуюся обработки их персональных данных;
· получить любые разъяснения по интересующим вопросам, касающимся обработки их персональных данных;
· потребовать уточнения, уничтожения или блокирования их персональных данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки,
· отказаться от обработки персональных данных для получения информационных сообщений от РИСА;
· отозвать предоставленные РИСА согласия на обработку персональных данных,
· обжаловать действия РИСА в административном или судебном порядке.
29. В случае возникновения любых вопросов и обращений касательно обработки персональных данных, в частности для отзыва согласия на обработку персональных данных, Вы можете обратиться по адресу электронной почты info@centerarbitr.ru либо направить письменное обращение по адресу: Россия, г. Москва, Кадашевская наб. д. 14, к. 3, каб. 3.
30. РИСА отвечает на запросы субъектов в сроки, установленные законодательством РФ. В случае возникновения обстоятельств, которые требуют установления дополнительной информации, РИСА в случаях, установленных законодательством РФ, вправе продлить срок ответа на запрос субъекта на срок до 5 рабочих дней при условии направления субъекту мотивированного уведомления о причинах продления срока.
Приложение «Цели обработки ПД РИСА»
| Цель обработки | Категории персональных данных | Категории субъектов | Срок обработки | Порядок уничтожения |
| Обеспечение возможности субъекта посетить мероприятия и проекты РИСА (в том числе регистрация на мероприятие; обеспечение доступа на площадку; направление информации относительно проведения мероприятия) | · ФИО; · адрес электронной почты; · иные данные, которые субъект посчитал необходимым предоставить | Посетители мероприятий или проектов, организуемых или поддерживаемых (соорганизуемых) РИСА | До достижения целей обработки персональных данных или до дня отзыва согласия | Уничтожение информации с электронных носителей информации, сдача бумажных документов предприятию по утилизации |
| Обеспечение участия субъекта в качестве спикера мероприятия, в том числе оплата или возмещение расходов спикера | · ФИО; · адрес электронной почты; · место работы и позиция; · банковские реквизиты, ИНН, паспортные данные (если участие в мероприятии предполагает оплату); · иные данные, которые субъект посчитал необходимым предоставить | Спикеры мероприятий или проектов, организуемых или поддерживаемых (соорганизуемых) РИСА | До достижения целей обработки персональных данных или до дня отзыва согласия | Уничтожение информации с электронных носителей информации, сдача бумажных документов предприятию по утилизации |
| Ответы на запросы субъектов, в том числе относительно функционирования РИСА, проектов, администрирования арбитража, арбитражных оговорок | · ФИО; · адрес электронной почты; · место работы и позиция; · номер телефона; · иные данные, которые субъект посчитал необходимым предоставить | Лица, направившие запросы РИСА по электронной почте или путем заполнения веб-форм на сайтах | До достижения целей обработки персональных данных или до дня отзыва согласия | Уничтожение информации с электронных носителей информации, сдача бумажных документов предприятию по утилизации |
| Обеспечение участия субъекта в арбитражных разбирательствах, администрируемых Российским арбитражным центром | · ФИО; · паспортные данные; · дата рождения; · адрес электронной почты; · номер телефона; · иные данные, которые субъект посчитал необходимым предоставить | Стороны арбитражных разбирательств и представители | 10 лет после окончания арбитража (срок, установленный Арбитражным регламентом Российского арбитражного центра в соответствии со статьей 39 Закона об арбитраже) | Уничтожение информации с электронных носителей информации, сдача бумажных документов предприятию по утилизации |
| Участие субъекта в качестве арбитра в арбитражных разбирательствах, администрируемых Российским арбитражным центром, в том числе назначение арбитра, выплата гонорара арбитру, участие в устном слушании | · ФИО; · дата рождения; · адрес электронной почты; · номер телефона; · почтовый адрес; · паспортные данные; · ИНН; · банковские реквизиты; · сведения об опыте работы, квалификации и образовании; · иные данные, которые субъект посчитал необходимым предоставить | Лица, выступающие (выступавшие) арбитрами РАЦ | 10 лет после окончания арбитража (срок, установленный Арбитражным регламентом РАЦ в соответствии со статьей 39 Закона об арбитраже) | Уничтожение информации с электронных носителей информации, сдача бумажных документов предприятию по утилизации |
| Включение субъекта в единый рекомендованный лист арбитров и базы специалистов Российского арбитражного центра и размещение информации о специалисте на соответствующих разделах сайта (с ограничениями) | · ФИО; · дата рождения; · адрес электронной почты; · номер телефона; · почтовый адрес; · сведения об опыте работы, квалификации и образовании; · членство в организациях; · иные данные, которые субъект посчитал необходимым предоставить | Специалисты, включенные в Единый рекомендованный список арбитров и в базы специалистов Российского арбитражного центра | До достижения целей обработки персональных данных или до дня отзыва согласия | Уничтожение информации с электронных носителей информации, сдача бумажных документов предприятию по утилизации |
| Заключение гражданско-правовых договоров | · ФИО; · дата рождения; · адрес электронной почты; · номер телефона; · банковские реквизиты; · иные данные, которые субъект посчитал необходимым предоставить | Контрагенты по гражданско-правовым договорам и их представители | 3 года после исполнения всех обязательств по договору | Уничтожение информации с электронных носителей информации, сдача бумажных документов предприятию по утилизации |
| Информационные рассылки | · ФИО; · адрес электронной почты; · место работы и позиция; · иные данные, которые субъект посчитал необходимым предоставить | Субъекты, согласившиеся на получение информационных рассылок | До достижения целей обработки персональных данных или до дня отзыва согласия | Уничтожение информации с электронных носителей информации, сдача бумажных документов предприятию по утилизации |
[1] За исключением работников, уволенных работников и родственников работников.