- Настоящим Положением устанавливается порядок обработки персональных данных Клиентов, которые заключают с Индивидуальным предпринимателем Спириным Игорем Владимировичем (далее-«Оператор») договоры на оказание физкультурно-оздоровительных услуг.
- Цель данного Положения – обеспечение требований защиты прав Клиентов при обработке их персональных данных Оператором. Персональные данные не могут быть использованы Оператором или его сотрудниками в целях причинения имущественного и морального вреда Клиентам, затруднения реализации их прав и свобод. Оператор обязан осуществлять обработку персональных данных только на законной и справедливой основе.
- Обработка персональных данных Клиентов должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с Клиентами целей. Обработке подлежат только те персональные данные Клиентов, и только в том объеме, которые отвечают целям их обработки, определенным в договоре с Клиентами или законодательством Российской Федерации.
- Обрабатываемые персональные данные Клиентов подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
- Настоящее Положение и изменения к нему утверждаются Оператором и вводятся приказом Оператора. Все сотрудники Оператора, обрабатывающие каким-либо образом персональные данные Клиентов, должны быть ознакомлены с данным Положением.
- Настоящее Положение является обязательным для исполнения всеми сотрудниками Оператора, имеющими доступ к персональным данным Клиентов, а также всеми третьими лицами, получившими доступ к персональным данным в рамках исполнения предмета договора с Клиентом.
- ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА
- Под Клиентами в интересах настоящего Положения понимаются:
а) Физические лица (субъекты персональных данных), заключившие с Оператором Договоры на оказание физкультурно-оздоровительных услуг (далее – Договор). В данных правоотношениях с Клиентами Оператор по терминологии Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее по тексту – Закон «О персональных данных») выступает в качестве оператора персональных данных.
б) Физические лица (субъекты персональных данных), от имени которых заключается и оплачивается Договор (в терминологии Договора – Заказчик\Представитель\ Клиент, а (далее по тексту настоящего Положения – «Клиент»). В данных правоотношениях с Клиентами Оператор выступает в качестве оператора персональных данных.
- Под персональными данными Клиента понимается любая информация о субъекте персональных данных, необходимая Оператору в связи с исполнением им договорных обязательств перед Клиентом.
- Состав персональных данных Клиента, обработка которых осуществляется Оператором, включает в себя в основном следующие документы и сведения:
- Фамилия, имя, отчество;
- Год, месяц и число рождения;
- Пол;
- Данные об общегражданском паспорте Российской Федерации: – серия и номер общероссийского паспорта – дата его выдачи – наименование органа, выдавшего паспорт;
- Адрес регистрации;
- Адрес электронной почты;
- Мобильный телефон;
- Фотография Клиентов;
- Договоры на оказание физкультурно-оздоровительных услуг с Клиентами и приложения к ним;
- Копии претензий и исковых заявлений, относящиеся к Клиентам;
- Копии ответов на претензии и возражений на исковые заявления, относящиеся к Клиентам.
- Персональная информация, которую Клиент предоставляет о себе самостоятельно в процессе использования сервисов на официальном сайте Оператора ___________________________
- Оператор получает персональные данные Клиента только ниже указанным образом:
- От субъекта персональных данных – Клиента, на основании заключения с Клиентом письменного Договора\ выступающего также на законном основании представителем других субъектов персональных данных, указанных в Договоре, заключенном с Заказчиком.
- От субъекта персональных данных, на основании информации, которую Клиент предоставляет о себе самостоятельно в процессе использования сервисов и заполнения форм на официальном сайте Оператора.
- КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Документы и сведения, перечисленные в п. 2.3. Положения, и содержащие информацию о персональных данных Клиентов, являются конфиденциальными. Оператор обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.
- Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
- Если Оператор с согласия Клиента поручает обработку персональных данных Клиента третьему лицу, то Оператор обязан обременить это третье лицо обязанностью соблюдения конфиденциальности персональных данных Клиента.
- ПРАВА И ОБЯЗАННОСТИ КЛИЕНТА
- Клиент обязан передавать Оператору достаточные, достоверные, документированные персональные данные, полный состав которых установлен в настоящем Положении.
- Клиент должен в разумный срок сообщать Оператору об изменении своих персональных данных.
- Клиент имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к Клиенту, а также на ознакомление с такими персональными данными.
- Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Оператором: правовые основания и цели обработки персональных данных; цели и применяемые Оператором способы обработки персональных данных; сроки обработки персональных данных, в том числе сроки их хранения; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование третьего лица или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по договору с Оператором; иные сведения, предусмотренные федеральными законами.
- Клиент вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
- Доступ к своим персональным данным предоставляется Клиенту или его законному представителю Оператором при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
- Согласие на обработку персональных данных может быть отозвано Клиентом.
- Если Клиент считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона «О персональных данных» или иным образом нарушает его права и свободы, Клиент вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
- Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
- ОБЯЗАННОСТИ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Оператор осуществляет обработку персональных данных Клиентов, указанных в п. 2.3. настоящего Положения, в следующих целях:
- Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем.
- Оператор вправе поручить обработку персональных данных третьему лицу с согласия Клиента, на основании заключенного с этим третьим лицом договора. В этом случае Оператор должен на обязать третье лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом «О персональных данных» и настоящим Положением. В договоре Оператора с третьим лицом должны быть определены; – перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных Клиента; – цели обработки персональных данных Клиента; – обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке; – требования к защите обрабатываемых персональных данных в соответствии с Законом «О персональных данных». Если Оператор поручает обработку персональных данных Клиента третьему лицу, то ответственность перед Клиентом за действия указанного лица несет непосредственно Оператор в пределах, переданных третьему лицу прав. При определении объема и содержания персональных данных Клиента, подлежащих обработке, Оператор обязан руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», договорными обязательствами, взятыми на себя сторонами по договорам между Клиентом – Оператором, Оператор получает персональные данные Клиентов только в объеме, необходимом для достижения целей, указанных в договорах с Клиентом. Оператор не имеет права получать и обрабатывать персональные данные Клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни.
- ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
- Защите подлежат следующие объекты персональные данные Клиентов, если только с них на законном основании не снят режим конфиденциальности: – документы, содержащие персональные данные Клиента; – бумажные носители, содержащие персональные данные Клиентов; – информация, содержащая персональные данные Клиентов, размещенная на электронных носителях.
- Оператор в интересах обеспечения выполнения обязанностей, возложенных на него Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и другими нормативными актами, регламентирующими деятельность по обработке персональных данных, принимает меры, предусмотренные настоящим Положением.
- Общую организацию защиты персональных данных Клиентов осуществляет Оператор, обеспечивает:
- Ознакомление сотрудников и контрагентов, оказывающих услуги, связанные с непосредственным исполнением Оператором договора с настоящим Положением.
- Истребование с сотрудников и контрагентов, оказывающих услуги, связанные с непосредственным исполнением Оператором договора письменного обязательства о соблюдении конфиденциальности персональных данных Клиента и соблюдении правил их обработки.
- Ознакомление сотрудников с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных Оператором.
- Защита информационных систем Оператора, в которых обрабатываются персональные данные Клиентов, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Положение о мерах по организации защиты информационных систем персональных данных Оператора.
- Доступ к персональным данным Клиента имеют сотрудники Оператора, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей (либо контрагенты, оказывающие услуги по договорам возмездного оказания услуг).
- В целях выполнения ведения хозяйственной деятельности Оператора, обусловленной исполнением договоров с Клиентами доступ к персональным данным Клиента может быть предоставлен третьему лицу, с согласия Клиента. Оператор ведет перечень третьих лиц и сотрудников, имеющих доступ к персональным данным Клиента, и которым они необходимы в связи с исполнением Оператором договора перед Клиентом.
- Процедура оформления доступа к персональным данным Клиента включает в себя:
- Ознакомление сотрудника\третьего лица с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление.
- Истребование с сотрудника\третьего лица (за исключением Руководителя) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки, подготовленного по установленной форме. 1
- Сотрудник или третье лицо, имеющее доступ к персональным данным Клиентов в связи с исполнением Договора:
- Обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц,
- В отсутствие сотрудника\ третьего лица на его рабочем месте\месте оказания услуг не должно быть документов, содержащих персональные данные Клиентов.
- При увольнении\расторжении договора оказания услуг сотрудника\ третьего лица, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются Оператору.
- Допуск к персональным данным Клиента других сотрудников\третьих лиц, не имеющих надлежащим образом оформленного доступа, запрещается.
- Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.
- Защита доступа к электронным носителям, содержащим персональные данные Клиентов, обеспечивается, в том числе:
- организацией контроля доступа в помещения информационной системы посторонних лиц.
- Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным.
- Разграничением прав доступа с использованием учетной записи.
- Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
- Учетом машинных носителей персональных данных.
- Обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер, –
- Копировать и делать выписки персональных данных Клиента разрешается исключительно в целях исполнения обязательств по договору с Клиентом
- Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством или Договором.
- ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
- Обработка персональных данных Клиента осуществляется Оператором исключительно для достижения целей, определенных письменными договорами между Клиентом – Оператором, в частности для оказания физкультурно-оздоровительных услуг Клиенту.
- Обработка персональных данных Оператором в интересе Клиента заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов.
- Обработка персональных данных Клиентов ведется смешанным методом (в том числе автоматизированной) обработки.
- К обработке персональных данных Клиента могут иметь доступ только сотрудники\третье лица Оператора, допущенные к работе с персональными данными Клиента.
- Согласие на обработку персональных данных может быть отозвано Клиентом. В случае отзыва Клиентом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Клиента при наличии следующих оснований:
- обработка персональных данных Клиента необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем;
- обработка персональных данных Клиента необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы Клиента.
- В случае отзыва Клиентом согласия на обработку его персональных данных, и если сохранение персональных данных более не требуется для целей обработки персональных данных Оператор обязан прекратить их обработку и обеспечить прекращение такой обработки другим лицом, действующим по поручению Оператора, а также уничтожить персональные данные Клиента и обеспечить их уничтожение другим лицом, действующим по поручению Оператора.
- Оператор уничтожает персональные данные Клиента, и обеспечивает их уничтожение другими лицами, действующими по поручению Оператора, в следующие сроки:
- Хранящиеся на электронных носителях в течение тридцати дней со дня окончания установленного законодательством претензионного срока обращения Клиента с жалобой на качество предоставленных ему физкультурно- оздоровительных услуг;
- Хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока исковой давности по договору Оператора»;
- Хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
- ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
- Передача персональных данных Клиента осуществляется Оператором исключительно для достижения целей, определенных письменными договорами между Клиентом – Оператором. Передача персональных данных Клиента третьим лицам может осуществляться Оператором только на основании письменного согласия Клиента по Договору с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Клиента и безопасности персональных данных при их обработке.
- Оператор не осуществляет трансграничную передачу персональных данных Клиента на территории иностранных государств.
- ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
- Персональные данные Клиентов могут храниться, как на бумажных носителях, так и в электронном виде.
- Персональные данные Клиентов хранятся:
- В отделе продаж, который осуществляет работу непосредственно с Клиентами, заключает договоры;
- В бухгалтерии;
- Персональные данные Клиентов содержатся в следующих группах документов:
- Письменные договоры с Клиентами на оказание физкультурно-оздоровительных услуг; – приложения к письменным договорам оказание физкультурно-оздоровительных услуг;
- Бухгалтерские документы, которыми оформляются сделки между Клиентом и Оператором;
- Письменные претензии Клиентов по качеству предоставленных Клиентам услуг;
- Письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по искам Клиентов либо против Клиентов.
- Персональные данные Клиентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных архивах.
- Персональные данные Клиентов также хранятся в электронном виде: в локальной компьютерной сети Оператора, в электронных папках и файлах
- После достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных Клиентов и уничтожить их персональные данные.
- Персональные данные Клиентов, содержащиеся на бумажных носителях, уничтожаются по акту в следующие сроки:
- Хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока исковой давности по договору Клиент-Оператор;
- Хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
- Обработка персональных данных, содержащихся на электронных носителях информации, прекращается, а сами персональные данные уничтожаются в течение тридцати дней со дня окончания установленного законодательством претензионного срока обращения Клиента с жалобой на качество предоставленных ему услуг.
- Оператор обязан обеспечить исполнение требований п.9. настоящего Положения всеми третьими лицами, которым Оператором передавались персональные данные Клиентов.
- ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ КЛИЕНТА
- Право доступа к персональным данным Клиента у Оператора имеют допущенные к обработке персональных данных Клиентов в соответствии с Перечнем должностей и третьих лиц, имеющих доступ к персональным данным Клиентов,
- Доступ Клиента к своим персональным данным предоставляется при обращении либо при получении запроса Клиента. Оператор обязан в течение тридцати дней с даты получения запроса сообщить Клиенту информацию о наличии персональных данных о нем, и при необходимости предоставить возможность ознакомления с ними, либо в течение этого же срока дать мотивированный отказ в предоставлении информации.
- Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
- При передаче персональных данных Клиента Оператор должен соблюдать следующие требования:
- Не сообщать персональные данные Клиента третьей стороне без письменного согласия Клиента, за исключением случаев, установленных федеральным законом;
- Предупредить лиц, получающих персональные данные Клиента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
- Разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.
- ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА
- Оператор несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Клиента. Оператор закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.
- Оператор несет персональную ответственность за соблюдение сотрудниками его подразделения норм, регламентирующих получение, обработку и защиту персональных данных Клиента. Оператор, разрешающий доступ сотрудника\третьего лица к документам, содержащим персональные данные Клиента, несет персональную ответственность за данное разрешение.
- Каждый сотрудник\третье лицо, получающее для работы\оказания услуг документ, содержащий персональные данные Клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством РФ.
- Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Клиентов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
- ОБЕСПЕЧЕНИЕ НЕОГРАНИЧЕННОГО ДОСТУПА К НАСТОЯЩЕМУ ПОЛОЖЕНИЮ
- Оператор во исполнение требований п.2. ст. 18.1. Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» для обеспечения неограниченного доступа к сведениям о реализуемых Оператором мероприятиях по защите персональных данных, и к документам, определяющим политику Оператора в отношении обработки персональных данных, размещает текст настоящего Положения на своём общедоступном сайте.
- СПИСОК ИСПОЛЬЗОВАННЫХ ЗАКОНОДАТЕЛЬНЫХ И НОРМАТИВНЫХ АКТОВ
- Разработка настоящего Положения осуществлена в соответствии со следующими нормативными документами:
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматической обработке персональных данных»
- Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
- Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»
- Постановление Правительства Российской Федерации от 1 декабря 2012 года N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Постановление Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».