Порядок обработки персональных данных

ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ УЧАСТНИКОВ МЕРОПРИЯТИЯ

1. В рамках организации и проведения мероприятия «Хакатон» (далее – Мероприятие) Банк (далее – Организатор Мероприятия) обрабатывает персональные данные (далее – ПДн) физических лиц – совершеннолетних и несовершеннолетних (далее соответственно –Совершеннолетний Участник и Несовершеннолетний Участник, совместно – Участники). Обработка ПДн Участников осуществляется Организатором Мероприятия на следующих правовых основаниях и в следующих целях:
1.1. Согласие Совершеннолетнего Участника по форме Приложения 3 к настоящему Распоряжению, предоставляется путем проставления «галочки» в регистрационной форме, указанной в Приложении 2 к Распоряжению, в целях организации и проведения Мероприятия, предоставления возможности принять участие в Мероприятии, направления уведомлений, связанных с проведением Мероприятия, получения обратной связи по итогам Мероприятия;
1.2. Законный представитель Несовершеннолетнего Участника вправе зарегистрировать своего ребенка (Несовершеннолетнего Участника) предоставляя согласие по форме Приложения 3 к настоящему Распоряжению путем проставления «галочки» в регистрационной форме, указанной в Приложении 2 к Распоряжению, при условии предоставления оригинала согласия по форме Приложения 4 к настоящему Распоряжению;
1.3. Согласие, оформленное по форме Приложения 6 к Распоряжению, которое дается Участником путем проставления «галочки» в регистрационной форме, указанной в Приложении 2 к Распоряжению, в целях информирования об аналогичных мероприятиях, проводимых Организатором Мероприятия и его партнерами;
1.4. Законный интерес в обеспечении контроля пропуска на территорию проведения Мероприятия[1]. Для входа на территорию Мероприятия Участник должен будет предъявить на стойке регистрации оригинал документа, удостоверяющего личность (паспорт, водительское удостоверение или загранпаспорт).
2. Согласия на обработку ПДн действуют в течение сроков, указанных в соответствующих формах согласий (Приложения 3, 4 и 5 к Распоряжению).
3. Организатор Мероприятия обрабатывает персональные данные, состав которых определен в соответствующих согласиях (Приложения 3, 4 и 5 к Распоряжению).
4. Организатор Мероприятия с целью регистрации Участников и печати бейджей передает ПДн Участников Мероприятия третьему лицу (в т.ч. с поручением обработки), которое будет определено по результатам проведения конкурса, с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
5. Передача ПДн Участников Мероприятий осуществляется:
5.1. в электронном виде по электронным каналам (email/ICPost) с принятием мер, исключающих несанкционированный доступ к передаваемым ПДн (в том числе с использованием шифрования);
5.2. на материальных носителях (бумажных и машинных носителях информации):
- почтой – в соответствии с правилами оказания услуг почтовой связи, установленными уполномоченным органом государственной власти;
- курьером – в закрытом виде, без возможности просмотра (доступа) содержимого, по акту приема-передачи (накладной), с принятием мер контроля несанкционированного вскрытия (если применимо к упаковке).
6. Полученные Организатором Мероприятия ПДн подлежат обработке и уничтожению по окончании срока действия согласий на обработку ПДн или по достижении цели обработки ПДн в зависимости от того, что наступит раньше. Организатор Мероприятия вправе продолжить обработку ПДн, если у него есть иная цель и правовое основание обработки (например, если обработка необходима для исполнения требований законодательства РФ).
7. Организатор Мероприятия осуществляет учет и хранение согласий (в том числе сведений о предоставлении согласий) в течение всего срока действия согласий с учётом срока обеспечения доказательства наличия согласия на обработку ПДн – по истечении 3 лет после окончания срока действия согласий (их отзыва)[2]. Отзывы согласий, направленные Участниками, подлежат хранению в течение такого же срока. Согласия, оформленные по формам Приложений 3 и 5 к Распоряжению (сведения о предоставлении согласий), и ПДн Участников Мероприятия подлежат хранению на корпоративных АРМ ответственных лиц, указанных в Приложении 6 к Распоряжению, в соответствии с требованиями ВНД Банка[3]. Оригиналы согласий, оформленных по форме Приложения 4 подлежат хранению в металлическом шкафу, запирающемся на ключ по адресу: г. Екатеринбург, ул. Розы Люксембург, 56а, местонахождение шкафа – 15 этаж, место 15.01.61.1 , срок хранения - в течение срока действия Согласия, а также в течение 3 (трёх) лет с момента прекращения действия Согласия (срок исковой давности).
8. Перечень работников Организатора Мероприятия, допущенных к обработке ПДн, указан в Приложении 6 к Распоряжению.
9. Под ПДн понимаются ПДн Участников Мероприятия, – как они определены в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».
10. Под обработкой ПДн понимаются действия (операции), совершаемые с использованием средств автоматизации или без использования таких средств с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение, передача (предоставление, распространение, доступ).
11. Организатор Мероприятия гарантирует необходимые меры защиты ПДн от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий. Все ПДн Участников обрабатываются Организатором Мероприятия на территории Российской Федерации.
12. Участники вправе отозвать свое согласие на обработку ПДн, направив соответствующее уведомление на адрес Организатора Мероприятия, указанный в согласиях на обработку ПДн. После получения уведомления Участника об отзыве согласия на обработку ПДн Организатор Мероприятия прекращает их обработку (обеспечивает прекращение) и уничтожает (обеспечивает уничтожение) ПДн в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, за исключением случаев, когда Организатор Мероприятия вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
13. В случае достижения цели обработки ПДн Организатор Мероприятия прекращает обработку (обеспечивает прекращение) ПДн и уничтожает ПДн (обеспечивает уничтожение) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки ПДн.
14. В случае обращения Участника к Организатору Мероприятия с требованием о прекращении обработки ПДн Организатор Мероприятия в срок, не превышающий 10 (десяти) рабочих дней с даты получения соответствующего требования, прекращает их обработку (обеспечивает прекращение), за исключением случаев, предусмотренных Федеральном законом от 27.07.2006 № 152-ФЗ «О персональных данных».
15. Уничтожение ПДн осуществляется в порядке, определенном ВНД Организатора Мероприятия[4].

[1] п. 6 Приложения 5 к Памятке по проведению оценки применимости законного интереса в качестве основания обработки персональных данных от 26.12.2022 № П-382-2.
[2] Согласия на обработку ПДн после окончания срока их действия, а также отзывы согласий (в случае их оформления) подлежат хранению в течение 3 лет в соответствии с Перечнем документов со сроками хранения, образующихся в деятельности ПАО Сбербанк и его филиалов от 06.11.2018 № 1350-4 и Сборником стандартов по организации обработки персональных данных в ПАО Сбербанк от 19.03.2019 № 4916
[3] В частности, в соответствии с Частью 1 Сборника стандартов по организации обработки персональных данных в ПАО Сбербанк от 19.03.2019 № 4916, Частью 1 Сборника стандартов управления кибербезопасностью от 09.02.2018 № 4727.
[4] п. 2.6.3 Части 1 Сборника стандартов по организации обработки персональных данных в ПАО Сбербанк от 19.03.2019 № 4916.