1. Общие положения.

1.1. Настоящий документ определяет политику Российского спортивного фонда (далее – Оператор, Фонд) в отношении обработки персональных данных и раскрывает сведения о реализованных мерах по обеспечению безопасности персональных данных у Оператора с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Оператор является юридическим лицом, созданным Российской Федерацией, регистрационные данные: ОГРН 1257700316510, ИНН 9704262640, КПП 770401001, юридический адрес: 119270, город Москва, вн.тер.г муниципальный округ Хамовники, Лужнецкая набережная, д. 8, стр. 1.

1.2. Действие Политики обработки персональных данных (далее – Политика) распространяется на работников Оператора, контрагентов и иных субъектов, чьи данные обрабатываются Фондом.

1.3. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152–ФЗ «О персональных данных» (далее – ФЗ–152), Федеральным законом от 24.06.2025 № 157-ФЗ «О Российском спортивном фонде», иными нормативными правовыми актами, определяющими требования к обработке персональных данных и обеспечении их безопасности и конфиденциальности.

1.4. Положения Политики являются обязательными для исполнения всеми работниками Оператора, осуществляющими обработку персональных данных.

1.5. Положения Политики являются основой для организации обработки персональных данных у Оператора, в том числе для разработки внутренних нормативных документов, регламентирующих обработку и защиту персональных данных.

1.6. В случае если отдельные положения Политики войдут в противоречие с действующим законодательством о персональных данных, применяются положения действующего законодательства.

1.7. Запросы субъектов персональных данных в отношении обработки их персональных данных Оператором принимаются по адресу: 119270, город Москва, вн.тер.г муниципальный округ Хамовники, Лужнецкая набережная, д. 9, стр. 5.

Также субъекты персональных данных могут направить свой запрос на адрес электронной почты: mail@rusportfond.ru.

Телефон для обращений: +7 495 136-14-47

Срок ответа составляет 10 рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации

1.8. Политика является документом, к которому обеспечивается неограниченный доступ через Интернет-сайт Фонда, а также непосредственно в офисе Оператора.

2. Термины и определения.

Субъект персональных данных — это определенное или определяемое физическое лицо, к которому прямо или косвенно относятся персональные данные. Под персональными данными понимается любая информация, которая позволяет установить личность человека — как напрямую, так и в сочетании с другими данными.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

Доступ к информации - возможность получения информации и ее использования.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Инцидент информационной безопасности – это непредвиденное или нежелательное событие (группа событий) в сфере информационной безопасности, которое привело или может привести к нарушению функционирования информационного ресурса, возникновению угроз безопасности информации или нарушению требований по защите информации.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), распространение, обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

Третьи лица – физические и юридические лица, напрямую не задействованные в правоотношениях между субъектом и Оператором персональных данных, но привлечение которых необходимо для реализации полномочий Фонда.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Реализуется способами, исключающими возможность восстановления данных.

Информационная система (ИС) — это организационно-техническая система, которая предназначена для выполнения информационно-вычислительных работ или предоставления информационно-вычислительных услуг, удовлетворяющих потребности системы управления и ее пользователей — управленческого персонала и внешних пользователей путем использования или создания информационных продуктов.

Модель угроз безопасности персональных данных — это документ, содержащий систематизированный перечень потенциальных угроз, характерных для конкретной информационной системы персональных данных (ИСПДн), с указанием их источников, способов реализации, вероятных последствий и уровня риска. Она включает анализ уязвимостей системы, классификацию угроз, сценарии их реализации и рекомендации по мерам защиты, необходимым для минимизации рисков.

3. Принципы и условия обработки персональных данных.

3.1. Принципы обработки персональных данных.

Обработка персональных данных у Оператора осуществляется на основе следующих принципов:

• законности и справедливой основы;
• ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
• недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
• недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработка только тех персональных данных, которые отвечают целям их обработки;
• соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
• недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
• обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
• уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом;
• обеспечения защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

3.2. Принцип минимизации данных

Оператор руководствуется принципом минимизации данных, который означает:

• сбор и обработку только необходимых для конкретных целей данных;
• регулярную проверку актуальности хранящихся данных;
• своевременное удаление или обезличивание избыточных данных;
• ограничение доступа к данным в соответствии с принципом «необходимо знать».

3.3. Условия обработки персональных данных.

Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

3.3. Конфиденциальность персональных данных.

Оператор и иные лица, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4. Правовые основания обработки персональных данных.

Правовые основания обработки персональных данных в Фонде:

- ст.23, 24 Конституции Российской Федерации,

- ст.85-90 Трудового кодекса Российской Федерации,

- Гражданский кодекс Российской Федерации,

- Федеральный закон от 19.12.2005 г. № 160–ФЗ «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных»,

- Федеральный закон от 27.07.2006 г. № 152–ФЗ «О персональных данных»,

- Федеральный закон от 24.06.2025 № 157-ФЗ «О Российском спортивном фонде»,

- иные федеральные законы, нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора,

- договоры, заключаемые между Российским спортивным фондом и субъектами ПДн,

- согласия на обработку ПДн.

5. Поручение обработки персональных данных другому лицу.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора с определением его ответственности. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ–152 и Политикой.

Категории возможных получателей:

- ИТ подрядчики (поддержка/разработка/хостинг/информационная безопасность),

- почтовые сервисы для доставки служебных уведомлений,

- привлекаемые эксперты (в пределах функций экспертизы и рассмотрения заявок).

6. Трансграничная передача персональных данных

6.1. Фонд вправе осуществлять трансграничную передачу персональных данных (передачу данных на территорию иностранного государства) в строгом соответствии с требованиями Федерального закона от 27 июля 2006 года №152‑ФЗ «О персональных данных» (ст. 12).

6.2. Передача данных допускается:

• в страны, обеспечивающие адекватную защиту прав субъектов персональных данных, - в том числе государства - участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и страны, включенные в перечень Роскомнадзора (утвержден приказом Роскомнадзора от 05.08.2022 №128);
• в иные страны - только при наличии письменного согласия субъекта персональных данных либо в случаях, предусмотренных законом (защита жизни и здоровья субъекта, исполнение международного договора РФ и т. д.).

6.3. До начала трансграничной передачи Фонд:

• оценивает меры защиты данных, применяемые иностранным получателем (шифрование, контроль доступа, порядок уничтожения данных и т. п.);
• запрашивает у иностранного получателя сведения о правовом регулировании в области персональных данных в стране его местонахождения (если страна не включена в перечень Роскомнадзора);
• уведомляет Роскомнадзор о намерении осуществлять трансграничную передачу.

6.4. Уведомление в Роскомнадзор содержит:

• наименование и адрес Фонда, контактные данные ответственного за обработку ПДн;
• правовое основание и цель передачи;
• категории и перечень передаваемых данных, категории субъектов ПДн;
• перечень иностранных государств, на территорию которых планируется передача;
• сведения о мерах защиты данных со стороны иностранного получателя.

Уведомление направляется в электронном виде через портал персональных данных Роскомнадзора либо на бумажном носителе и подписывается уполномоченным лицом.

6.5. Сроки и ограничения:

• после направления уведомления Фонд вправе передавать данные в страны из перечня Роскомнадзора;
• передача в иные страны до получения решения Роскомнадзора (в течение 10 рабочих дней) допускается только для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн.

6.6. В случае запрета или ограничения трансграничной передачи, установленного Роскомнадзором, Фонд обязан:

• прекратить передачу данных в соответствующее государство;
• обеспечить уничтожение ранее переданных данных иностранным получателем, если это предусмотрено решением уполномоченного органа.

6.7. Фонд обязуется регулярно отслеживать изменения в законодательстве РФ и перечне стран с адекватной защитой персональных данных, утвержденном Роскомнадзором.

7. Права и обязанности Субъекта и Оператора персональных данных.

7.1. В рамках обработки персональных данных Субъект персональных данных имеет право:

• Право на доступ к данным:
  • получать информацию о целях, условиях и способах обработки персональных данных;
  • знакомиться с персональными данными, касающимися его, в установленном порядке;
  • получать копии любой записи, содержащей его персональные данные;
  • получать информацию о сроках обработки и хранения персональных данных;
  • получать сведения о лицах, имеющих доступ к его персональным данным.
• Право на уточнение и удаление данных:
  • требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, недостоверными или незаконно полученными;
  • требовать прекращения обработки персональных данных в случае нарушения законодательства;
  • обжаловать действия или бездействие Оператора при обработке персональных данных.
• Право на отзыв согласия:
  • отозвать свое согласие на обработку персональных данных в любое время путем направления письменного заявления;
  • требовать прекращения обработки данных после отзыва согласия, за исключением случаев, предусмотренных законом;
  • получать подтверждение об уничтожении персональных данных после отзыва согласия в течение 30 дней.
• Право на обжалование:
  • направлять жалобы на действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных;
  • обращаться в суд за защитой своих прав;
  • требовать возмещения причиненного ущерба.

7.2. Процедура отзыва согласия

• Порядок отзыва:
  • направление письменного заявления Оператору по адресу: 119270, город Москва, вн.тер.г муниципальный округ Хамовники, Лужнецкая набережная, д. 8, стр. 1
  • указание в заявлении персональных данных, обработка которых подлежит прекращению;
  • получение подтверждения о получении заявления.
• Сроки исполнения:
  • рассмотрение заявления в течение 10 рабочих дней;
  • прекращение обработки данных после подтверждения отзыва согласия;
  • уничтожение персональных данных в течение 30 дней после прекращения обработки.

7.3. Порядок обжалования

• Способы обжалования:
  • направление письменной жалобы Оператору на адрес: 119270, город Москва, вн.тер.г муниципальный округ Хамовники, Лужнецкая набережная, д. 8, стр. 1 или на электронную почту
  • обращение в Роскомнадзор;
  • подача искового заявления в суд.
• Содержание жалобы:
  • описание нарушенных прав;
  • указание действий или бездействия Оператора;
  • требования по устранению нарушений;
  • дата и подпись заявителя.

7.2. Субъекты персональных данных обязаны:

- предоставлять Оператору только достоверные данные о себе;

- предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;

- сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

7.3. В рамках обработки персональных данных Оператор имеет право:

- обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью,

- требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных,

- ограничить доступ субъекта персональных данных к его персональным данным в случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации,

- обрабатывать персональных данных, разрешенных субъектом персональных данных для распространения с учетом положений ст. 10.1. ФЗ-152,

- осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации,

- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных,

- иные права, предусмотренные законодательством о персональных данных.

7.4. Оператор обязан:

• обрабатывать персональные данные в порядке, установленном действующим законодательством Российской Федерации;
• рассматривать обращения субъектов персональных данных в течение 10 рабочих дней;
• рассматривать обращения субъектов персональных данных в течение 10 рабочих дней;
• информировать субъектов о фактах неправомерной или случайной обработки их данных;

- предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным;

- принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями;

- организовывать защиту персональных данных в соответствии с требованиями законодательства Российской Федерации.

8. Цели обработки персональных данных.

8.1. Обработка Оператором персональных данных осуществляется в следующих целях:

8.1.1. ведения кадрового и бухгалтерского учета;

8.1.2. регистрация контрагентов на сайте Оператора, заключение договоров в целях реализации Оператором полномочий, установленных Федеральным законом от 24.06.2025 № 157-ФЗ «О Российском спортивном фонде».

9. Объем и категории обрабатываемых персональных данных, способы обработки

9.1. Категории субъектов и обрабатываемых данных

Оператор обрабатывает персональные данные следующих категорий субъектов:

• работники Фонда, соискатели на вакансии и их родственники:
  • идентификационные данные: Ф. И. О., дата и место рождения, пол, семейное положение, гражданство;
  • контактные данные: адрес регистрации и места жительства, номер телефона, адрес электронной почты;
  • реквизиты документов: данные документа, удостоверяющего личность, СНИЛС, ИНН, номер расчетного счета;
  • профессиональные данные: профессия, должность, сведения об образовании и трудовой деятельности (включая аттестации, повышение квалификации, профессиональную переподготовку), награды и почетные звания;
  • социальные данные: сведения об отпусках и социальных гарантиях, отношение к воинской обязанности, сведения о воинском учете;
  • иные данные: фотоизображение лица;
• контрагенты, их представители и выгодоприобретатели по договорам:
  • Ф. И. О.;
  • дата рождения;
  • данные документа, удостоверяющего личность;
  • контактные данные (номер телефона, адрес электронной почты);
  • должность.

9.2. Способы обработки персональных данных

Обработка осуществляется в соответствии с законодательством РФ следующими способами:

• неавтоматизированная обработка;
• автоматизированная обработка (в т. ч. с передачей данных по информационно‑телекоммуникационным сетям);
• смешанная обработка.

9.3. Особые категории персональных данных

Обработка специальных категорий персональных данных (расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь и т. д.) допускается исключительно в случаях, предусмотренных ст. 10 ФЗ № 152‑ФЗ, в т. ч.:

• при наличии письменного согласия субъекта;
• для защиты жизни и здоровья субъекта или других лиц, если получение согласия невозможно;
• в целях правосудия или установления прав субъекта;
• в рамках законодательства об обязательном страховании.

После устранения причин, послуживших основанием для обработки таких данных, она должна быть незамедлительно прекращена (если иное не предусмотрено законом).

9.4. Биометрические персональные данные

Биометрические данные (физиологические и биологические особенности человека) обрабатываются исключительно с письменного согласия субъекта персональных данных.

9.5. Данные о судимости

Обработка данных о судимости осуществляется исключительно в случаях и порядке, установленных федеральными законами.

9.6. Обработка данных из отчетных документов получателей финансирования Оператора (далее – получателей)

• Оператор обрабатывает персональные данные, содержащиеся в отчетных документах, которые предоставляют получатели. К таким данным относятся, в частности:
• сведения о званиях и степенях тренеров, спортивных специалистов и других лиц, связанных с реализацией проектов, финансируемых за счет финансовой поддержки Оператора;
• иные данные, необходимые для оценки выполнения условий соглашений, контроля целевого использования средств и анализа результатов проектов.

Обработка этих данных осуществляется в целях:

• проверки соответствия отчетности требованиям программ финансирования;
• анализа эффективности реализации проектов;
• формирования статистики и отчетности по деятельности Оператора.

9.7. Обработка фото- и видеоматериалов с соревнований

Оператор обрабатывает фото- и видеоматериалы, предоставляемые получателями или полученные в ходе проведения соревнований. К таким материалам относятся:

• изображения и видеозаписи мест проведения соревнований;
• кадры с участием спортсменов, тренеров, судей и других участников мероприятий;
• иные материалы, связанные с ходом соревнований.
• Обработка осуществляется в целях:
• документирования проведения соревнований;
• контроля соблюдения правил и условий программ финансирования;
• создания отчетных материалов, включая фото- и видеорепортажи;
• размещения материалов на официальных ресурсах Фонда (при наличии согласия субъектов ПДн);
• анализа и улучшения организации будущих мероприятий.

9.8. Особые условия обработки фото- и видеоматериалов

При обработке фото- и видеоматериалов Оператор обязан:

• получать письменное согласие субъектов ПДн на обработку их изображений, если это не предусмотрено иными законными основаниями (например, если изображение получено в открытом месте и не является основным объектом использования);
• обеспечивать защиту персональных данных, содержащихся в материалах, от несанкционированного доступа, распространения и иных неправомерных действий;
• соблюдать сроки хранения материалов, установленные целями обработки, и уничтожать их по достижении этих целей, если иное не предусмотрено законом.

10. Обеспечение безопасности персональных данных.

10.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

10.2. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно–технические меры:

- назначение ответственного за организацию обработки персональных данных,

- назначение ответственных за обеспечение мер по сохранности персональных данных и исключению несанкционированный к ним доступа,

- назначение ответственного за обеспечение безопасности персональных данных в информационных системах,

- ограничение состава лиц, допущенных к обработке персональных данных,

- ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных,

- организация учета, хранения и обращения носителей, содержащих информацию с персональными данными,

- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз,

- разработка на основе модели угроз системы защиты персональных данных,

- проверка готовности и эффективности использования средств защиты информации,

- разграничение доступа пользователей к информационным ресурсам и программно–аппаратным средствам обработки информации,

- регистрация и учет действий пользователей информационных систем персональных данных,

- использование антивирусных средств и средств восстановления системы защиты персональных данных,

- применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации,

- организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.

10.3. Технические меры защиты

10.3.1. Антивирусная защита

• Регулярное сканирование всех информационных систем и рабочих станций
• Автоматическое обновление антивирусных баз не реже 1 раза в сутки
• Проверка входящей почты на наличие вредоносного ПО
• Контроль внешних носителей информации

10.3.2. Резервное копирование

• Регулярное создание резервных копий данных
• Хранение копий в защищенном месте
• Тестирование восстановления данных из резервных копий
• Документация процедур резервного копирования

10.3.3. Обновление средств защиты

• Мониторинг уязвимостей используемых средств защиты
• Своевременное обновление программного обеспечения
• Тестирование обновлений перед внедрением
• Документирование изменений в системе защиты

10.4. Аудит безопасности

• Плановый аудит не реже 1 раза в год
• Внеплановый аудит при:
  • изменении инфраструктуры
  • выявлении инцидентов
  • обновлении законодательства
• Документирование результатов аудита
• Реализация рекомендаций по результатам аудита

10.5. Контроль эффективности защиты

• Регулярная оценка защищенности информационных систем
• Мониторинг событий безопасности
• Анализ инцидентов информационной безопасности
• Корректировка мер защиты при необходимости

11. Выявление и реагирование на инциденты информационной безопасности

Оператор организует работу по выявлению инцидентов информационной безопасности (ИБ), их расследованию и устранению последствий.

11.1. Определение инцидента

Инцидентом ИБ признается факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекший нарушение прав субъектов персональных данных.

11.2. Порядок уведомления Роскомнадзора

При выявлении инцидента оператор обязан уведомить Роскомнадзор:

• в течение 24 часов - направить первичное уведомление с указанием:
  • даты и времени выявления инцидента;
  • характеристик скомпрометированных персональных данных (категории, объем - количество затронутых записей);
  • предполагаемых причин инцидента;
  • оценки вреда, причиненного правам субъектов персональных данных (высокая, средняя, низкая - в соответствии с приказом Роскомнадзора от 27.10.2022 № 178);
  • принятых мер по устранению последствий инцидента;
  • сведений о лице, уполномоченном оператором на взаимодействие с Роскомнадзором (ФИО, должность, контактные данные);
  • реквизитов оператора (наименование, ИНН, адрес).

Уведомление направляется через Портал персональных данных Роскомнадзора (pd.rkn.gov.ru/incidents/form) в электронном виде (с использованием усиленной квалифицированной электронной подписи) либо на бумажном носителе.

• в течение 72 часов - направить дополнительное уведомление с результатами внутреннего расследования, включающее:
  • окончательные сведения о причинах инцидента;
  • информацию о нанесенном вреде;
  • перечень дополнительных мер, принятых по результатам расследования;
  • реквизиты решения оператора о проведении внутреннего расследования;
  • сведения о лицах, действия которых стали причиной инцидента (при наличии: ФИО и должность сотрудника оператора либо ФИО, наименование, IP‑адрес, предполагаемое местонахождение стороннего виновника).

11.3. Дополнительные обязательства при хакерской атаке

Если инцидент связан с хакерской атакой (компьютерным взломом), оператор дополнительно обязан в течение 24 часов направить сведения о происшествии в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

11.4. Порядок внутреннего расследования

При выявлении инцидента оператор в течение 24 часов:

• создает рабочую группу (комиссию) для расследования (включает специалистов по ИБ, юристов, IT‑специалистов и иных необходимых сотрудников);
• проводит оценку вреда субъектам персональных данных;
• фиксирует результаты расследования в акте внутреннего расследования (форма акта утверждается внутренним регламентом оператора).

• Срок расследования не может составлять более 30 дней.

11.5. Ответственность

Непредставление или несвоевременное представление уведомлений влечет административную ответственность по ст. 19.7 КоАП РФ. В случае утечки данных более 100 тысяч субъектов или специальных категорий персональных данных возможна уголовная ответственность по ст. 272 УК РФ.

12. Актуализация, исправление, удаление и уничтожение персональных данных.

12.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели их обработки, а также иные сведения, указанные в ч. 7 ст. 14 ФЗ-152, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении соответствующего запроса субъекта.

12.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам, за исключением случаев, когда имеются законные основания для раскрытия таких данных.

12.3. Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 ФЗ-152, в том числе если доступ нарушает права и законные интересы третьих лиц.

12.4. В случае выявления неточных персональных данных Фонд осуществляет блокирование данных, относящихся к конкретному субъекту, с момента такого выявления, если их блокирование не нарушает права и законные интересы субъекта или третьих лиц.

12.5. В случае подтверждения факта неточности персональных данных Оператор уточняет информацию в течение семи рабочих дней со дня представления актуальных сведений и снимает блокирование данных.

12.6. В случае выявления неправомерной обработки персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых данных.

12.7. При достижении целей обработки персональных данных, а также в случае отзыва субъектом согласия на их обработку, персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации;

- иное не предусмотрено другим соглашением между Фондом и субъектом персональных данных.

12.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении определенных условий в следующие сроки:

- достижение целей обработки персональных данных или максимальных сроков хранения, либо утрата необходимости в достижении целей обработки данных — в течение 30 дней (ч. 4 ст. 21 ФЗ-152);

- предоставление субъектом или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 рабочих дней (ч. 1 ст. 14 и ч. 3 ст. 20 ФЗ-152);

- невозможность обеспечения правомерности обработки персональных данных — в течение 10 рабочих дней (ч. 3 ст. 21 ФЗ-152);

- отзыв субъектом согласия на обработку персональных данных, если их сохранение более не требуется для целей обработки — в течение 30 дней (ч. 5 ст. 21 ФЗ-152);

- обращение субъекта с требованием о прекращении обработки персональных данных — в течение 10 рабочих дней (ч. 5.1 ст. 21 ФЗ-152).

13. Заключительные положения

13.1. Настоящая Политика является локальным нормативным документом постоянного действия.

13.2. Настоящее Политика утверждается Правлением Фонда и вводится в действие и признается утратившим силу приказами генерального директора Фонда.

13.3. Изменения в Политику вносятся на основании решения Правления Фонда при:

• изменении законодательства в сфере персональных данных
• возникновении обстоятельств, влияющих на условия обработки данных
• необходимости актуализации внутренних процессов

Процедура согласования изменений:

• подготовка проекта изменений
• согласование с ответственным подразделением
• утверждение Правлением Фонда
• ознакомление сотрудников с изменениями.

13.3. Ответственность должностных лиц:

• Руководитель Отдела кадров и делопроизводства Фонда:
  • поддержание Политики в актуальном состоянии
  • контроль исполнения требований
  • организация обучения сотрудников

13.4. Ответственность за поддержание настоящей Политики в актуальном состоянии возлагается на руководителя Отдела кадров и делопроизводства Фонда.

13.5. Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.

13.6. Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско–правовую или уголовную ответственность в порядке, установленном федеральными законами.

13.4. Порядок ознакомления сотрудников:

• Все сотрудники обязаны ознакомиться с Политикой под подпись
• Ознакомление проводится:
  • при приеме на работу
  • при внесении изменений в документ
  • при изменении должностных обязанностей
• Учет ознакомления ведется в специальном журнале

13.5. Периодичность пересмотра документа:

• Плановая актуализация Политики проводится не реже 1 раза в год
• Внеплановая актуализация осуществляется при:
  • изменении законодательства
  • выявлении несоответствий
  • изменении бизнес-процессов
  • поступлении рекомендаций надзорных органов

13.6. Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.

13.7. Контроль исполнения требований Политики осуществляется:

• Руководством Фонда
• Ответственным подразделением по защите персональных данных
• В рамках внутренних аудитов.

Я, субъект персональных данных, осуществляя регистрацию на сайте Российского спортивного фонда (далее – РСФ), в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» (далее – ФЗ-152) свободно, в своей воле и в своем интересе, а также подтверждая свою дееспособность даю согласие РСФ, расположенному по адресу: 119270, г. Москва, Лужнецкая Набережная, дом 8, стр. 1, на обработку на следующих условиях:

1. Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
2. Согласие дается на обработку следующих моих персональных данных:

            1) персональные данные, не являющиеся специальными или биометрическими: фамилия, имя, отчество; адрес электронной почты; номер телефона; реквизиты документа, удостоверяющего личность; должность.

3. Цель обработки персональных данных: регистрация контрагентов на сайте Оператора, заключение договоров в целях реализации Оператором полномочий, установленных Федеральным законом от 24.06.2025 №157-ФЗ «О Российском спортивном фонде».
4. В ходе обработки над персональными данными будут совершены следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
5. Следующие третьи лица обрабатывают предоставленные персональные данные по поручению РСФ: ПАО «ВЫМПЕЛ-КОММУНИКАЦИИ».
6. Персональные данные на территорию иностранного государства не передаются.
7. Персональные данные обрабатываются до удаления аккаунта или до отзыва данного согласия, в зависимости от того, какое из событий наступит раньше и уничтожаются в течение 30 дней после достижения целей или сроков обработки в соответствии с ч.4, ч.5 ст.21 ФЗ-152.
8. Согласие может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления по адресу РСФ, указанному в начале текста настоящего Согласия.
9. Оператор вправе продолжить обработку персональных данных после отзыва согласия при наличии условий обработки, указанных в ч.1 ст.6 ФЗ-152.