Помощь благотворительному фонду по вопросу защиты прав потребителей

Возможно-ли оказание юридических услуг в режиме pro-bono? Вопросы: Доброго времени суток! Мы зарегистрировали благотворительный фонд защиты животных "Благое Дело". Сейчас в наших планах создание сайта. В связи с этим необходимо решение по включению фонда в реестр операторов, осуществляющих обработку персональных данных. При изучении этого вопроса я понял алгоритм заполнения формы уведомления в Роскомнадзор на включение фонда в реестр операторов, осуществляющих обработку персональных данных. Но появились вопросы, по которым я прошу вашего пояснения и помощи. По двум пунктам формы (1 - "Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»", 2 - "Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ ") у меня появились вопросы: 1. При заполнении этих пунктов я увидел требования (и в первом, и во втором, в той или иной степени, напрямую или косвенно, через ссылки) исполнения следующих НПА: - Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных"; - Постановление Правительства РФ от 01.11.2012г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" - Приказ ФСБ России от 10.07.2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности". Соответственно, возник вопрос: Необходимо-ли при заполнении данных пунктов формы расписывать полностью все требования указанных НПА или достаточно основных требований? Когда я начал готовить заполнение формы по этим вопросам, я подготовил "заготовку" этого заполнения (текст после вопросов). Но, в процессе заполнения я отследил все требования, все ссылки на НПА, в связи с чем я понял, что необходимо дальнейшее изучение вопроса и помощь. Соответственно, кроме вопроса у меня появились 2 просьбы: 1. Рассмотреть и скорректировать мою "заготовку" по заполнению этих вопросов формы и дополнительно, еще по двум вопросам (3 - "Правовое основание обработки персональных данных”, 4 - “Цель обработки персональных данных"). На всякий случай, так как по ним, по еще двум вопросам, мне, вроде, все понятно). 2. Оказать помощь в подготовке следующих документов, которые должны быть у фонда (если необходимо, скорректировать перечень документов): 1. Политика конфиденциальности (она же политика обработки персональных данных) для сайта/мобильного приложения фонда. 2. Пользовательское соглашение (оно же договор-оферта и оно же лицензионное соглашение) для сайта/мобильного приложения фонда. 3. Положение об обработке персональных данных фонда. 4. Положение о конфиденциальности у фонда (если это необходимо). 5. Формы всех документов, наличие которых необходимо у фонда в свете требований к защите персональных данных при их обработке в информационных системах персональных данных. Учитывая, что фонд у нас еще только в начале пути, прошу рассмотреть возможность оказания вашей услуги в режиме pro-bono. Заранее благодарю! С уважением, Богомолов А.В., заместитель руководителя Благотворительного фонда защиты животных "Благое Дело" 89059400919, factory-2@mail.ru "Заготовка": Правовое основание обработки персональных данных * руководствуясь: • Конституцией Российской Федерации; • Гражданским кодексом Российской Федерации; • Налоговым кодексом Российской Федерации; • Трудовым кодексом Российской Федерации; • Федеральным Законом от 27.07.2006г. № 152-ФЗ “О персональных данных”; • Федеральным Законом от 27.07.2006г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”; • Законом Российской Федерации от 27.12.1991 N 2124-1 “О средствах массовой информации»; • Федеральным Законом от 11.08.1995г. № 135-ФЗ ”О благотворительной деятельности и добровольчестве (волонтерстве)”, • Федеральным Законом от 12.01.1996г. № 7-ФЗ “О некоммерческих организациях”, • Уставом Благотворительного Фонда помощи животным “Благое Дело” • Федеральным законом от 19.12.2005 г. №160-ФЗ “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных”; • Федерального закона от 08.08.2001 N 129-ФЗ “О государственной регистрации юридических лиц и индивидуальных предпринимателей”; • Федерального закона от 26.07.2006 N135-ФЗ “О защите конкуренции”/ Цель обработки персональных данных * с целью: • Достижения целей, предусмотренных Уставом Благотворительного Фонда помощи животным "Благое Дело”; • Оказания благотворительной помощи (в т.ч. сбор благотворительных пожертвований, оплата благотворительных пожертвований); • Организации коммуникаций и оповещений, осуществления информационных рассылок; • Оказания услуги по созданию личного кабинета на сайте Оператора; • Исполнения обязанностей, возложенных на Оператора действующим законодательством РФ; • Осуществления прав и законных интересов Оператора и третьих лиц, в том числе по исполнению требований действующего законодательства Российской Федерации, обеспечению безопасности деятельности; • Достижения общественно значимых целей с использованием эффективных инструментов для выполнения требований действующего законодательства Российской Федерации, противодействия коррупции, мошенничеству, легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; • Осуществления прав и обязанностей работодателя, обучения работников Оператора, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Оператора, обеспечения пользования работниками установленными законодательством РФ гарантиями, компенсациями и льготами, ведение кадрового делопроизводства; • Заключения и исполнения обязательств по договорам гражданско-правового характера, в том числе по трудовым договорам и государственным контрактам; • Осуществления обратной связи с пользователями Интернет-сайтов Оператора, в том числе для получения от пользователей мнений, вопросов по информации сайтов и информационным продуктам Оператора, а также для направления им ответов; • Формирование обезличенного цифрового портрета пользователя сайта Оператора, лица, осуществляющего платежи через сайт Оператора. • Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» *: Организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных. Организационные меры: 1. Оформлена Политика Оператора в отношении обработки и защиты персональных данных. Политика опубликована на сайте Оператора ……….. 2. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства: - Приказ о назначении лица, ответственного за организацию обработки персональных данных (администратора безопасности персональных данных) с номерами контактных телефонов, почтовым адресом и адресом электронной почты; - Инструкция по работе администратора безопасности персональных данных; - Перечень персональных данных, подлежащих защите; - Положение об обработке и защите персональных данных; - Приказ об утверждении перечня лиц, допущенных к обработке персональных данных; - Положение о разграничении прав доступа сотрудников к базе персональных данных; - Положение о правилах доступа к персональным данным; - Перечень информационных систем персональных данных; - Правила обработки персональных данных без использования средств автоматизации; - Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении; - Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации; - Оформлен журнал учета машинных носителей персональных. 3. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, знакомятся с документами о политике Оператора в отношении обработки персональных данных, нормами законодательства, подписывают соглашение о неразглашении персональных данных, об ознакомлении с документами по защите персональных данных. Технические меры: 1. Определено место хранения информации с персональными данными, обеспечена сохранность информации с персональными данными. 2. На ЭВМ Оператора установлено антивирусное программное обеспечение. 3. Исключен несанкционированный доступ к системе обеспечения защищенности персональных данных. 4. Информация с персональными данными передается на магнитных и бумажных носителях только лицами, допущенными к обработке персональных данных, а также по специально выделенной сети. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ * 1. Определены угрозы безопасности персональных данных при их обработке в информационных системах; 2. Проведена оценка эффективности принимаемых мер по обеспечению безопасности прсональных данных. 3. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратора безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. 4. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности персональных данных и положением об обработке и защите персональных данных. 5. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности персональных данных. 6. Положение о разграничении прав доступа сотрудников к базе персональных данных технически реализуются с помощью средств защиты информации.