Политика защиты и обработки персональных данных

Термины и принятые сокращения

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, обобщение, анализ, систематизацию, накопление, хранение, уточнение (обновление, изменение, дополнение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующее обработку персональных данных, а также определяющее цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Сайт – веб-сайт Оператора, находящийся в сети Интернет по адресу: https://triel.club.

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) ООО «Фитнес Технологии» (далее – Оператор), составлена в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также иными федеральными законами и нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – ПДн), которые Оператор может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).

1.2. Политика разработана с целью обеспечения защиты прав и свобод субъекта ПДн при обработке его ПДн.

1.3. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих у Оператора вопросы обработки персональных данных работников ООО «Фитнес Технологии» и других субъектов ПДн.

1.5. Использование услуг Оператора, а так же взаимодействие с веб-сайтом Оператора, находящимися в сети Интернет по адресам: https://triel.club (далее – Сайт), направление электронного письма, заполнение регистрационной формы на Сайте, отправление сообщения и/или комментария на Сайте или группе ВКонтакте (https://vk.com/trielclub), группе Facebook (https://www.facebook.com/trielclub),аккаунте Instagram (https://www.instagram.com/trielclub) подтверждает факт ознакомления и безоговорочного согласия с Субьекта с принятой на сайте Политикой обработки ПДн.

1.6. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

2. Цели сбора персональных данных

2.1. ПДн обрабатываются Оператором в следующих целях:

- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Оператора; 

- организации кадрового, бухгалтерского, налогового учета предприятия, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами;

- в целях организации и проведения Оператором (в т.ч. с привлечением третьих лиц) программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий; а также на Сайте; фитнес-клуба, оказания спортивных услуг, физкультурных мероприятий и любых иных услуг субъектам ПДн; продвижения услуг и/или товаров Оператора и/или партнеров Оператора на рынке путем осуществления прямых контактов с клиентами Оператора с помощью различных средств связи, в т.ч., не ограничиваясь, по телефону, электронной почте, почтовой рассылке, в сети Интернет и т.д.; в иных целях, если действия Оператора не противоречат действующему законодательству;

– для идентификации и осуществления обслуживания субъекта ПДн;

– для связи с субъектом ПДн, направления уведомлений, запросов и/или информации, связанной с оказанием услуг, а также для обработки запросов и/или заявок от субъектов ПДн;

- в иных законных целях.

3. Получение и обработка персональных данных

3.1. Получение ПДн.

3.1.1. Все ПДн следует получать от самого субъекта. Если ПДн субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

3.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

3.1.3. Документы, содержащие ПДн, создаются путем:

– копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);

– внесения сведений в учетные формы;

– получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

3.2. Обработка ПДн осуществляется на основе следующих федеральных законов и нормативно-правовых актов:

- Трудовой кодекс Российской Федерации;

- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

- Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

- постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

- приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

- приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

3.2.1. Обработка персональных данных осуществляется:

– обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации;

– обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации;

– в случаях, когда обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей,

следующими способами:

- неавтоматизированная обработка ПДн;

- автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

3.2.3. Категории субъектов ПДн.

Оператор в целях надлежащего исполнения своих обязанностей обрабатывает следующие ПДн, необходимые для надлежащего исполнения договорных обязательств:

• персональные данные работников, состоящих в трудовых отношениях с Оператором;

• персональные данные иных физических лиц, в том числе, но, не ограничиваясь, состоящих в договорных, ученических, гражданско-правовых отношениях с Оператором, в том числе, но не ограничиваясь, учеников, покупателей, участников программ лояльности, потребителей услуг, профессиональных спортсменов, кандидатов.

А именно:

– физические лица, состоящие с Оператором в трудовых отношениях;

– физические лица, уволившиеся от Оператора;

– физические лица, являющиеся кандидатами на работу;

– физические лица, состоящие с Оператором в гражданско-правовых отношениях, в том числе потенциальные клиенты, обратившиеся к Оператору за получением информации о составе услуг, предоставляемых Оператором;

− физические лица, обратившиеся к Оператору в рамках предпринимательской деятельности Оператора;

− физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».

3.2.4. Состав ПДн каждой из перечисленных в п. 3.2.3 настоящей Политики категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3.2 настоящей Политики, а также нормативным документам Учреждения, изданным для обеспечения их исполнения.

3.2.5. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его ПДн Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.

3.2.6. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

3.3. Хранение ПДн.

3.3.1. ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.

3.3.2. ПДн, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.3.3. ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

3.3.4. Не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в ИСПДн.

3.3.5. Хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.4. Уничтожение ПДн.

3.4.1. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению.

3.4.2. Уничтожение документов (носителей), содержащих ПДн, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.4.3. ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.4.4. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей.

3.5. Передача ПДн.

3.5.1. Оператор передает ПДн третьим лицам в следующих случаях:

– субъект выразил свое согласие на такие действия;

– передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

3.5.2. Сведения предоставляются субъекту ПДн или его представителю Оператором при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

3.5.3. Третьи лица, которым передаются ПДн:

– Пенсионный фонд РФ для учета (на законных основаниях);

– налоговые органы РФ (на законных основаниях);

– Фонд социального страхования РФ (на законных основаниях);

– территориальный фонд обязательного медицинского страхования (на законных основаниях);

– страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);

– банки для начисления заработной платы (на основании договора);

– организации, оказывающие Оператору услуги по сопровождению бизнеса, в случаях, когда это необходимо для получения Оператором услуг;

– органы МВД, ФСБ, прокуратуры, полиции России в случаях, установленных законодательством;

– судебные органы в связи с осуществлением правосудия;

– иные органы и организации в случаях, установленных нормативно- правовыми актами, обязательными для исполнения.

3.6. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

4. Защита персональных данных

4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПДн), состоящая из подсистем правовой, организационной и технической защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПДн.

4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПДн, разрешительной системы, защиты информации при работе с сотрудниками, партнерами (контрагентами) и сторонними лицами.

4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПДн.

4.5. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:

4.5.1. Назначение лица, ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПДн.

4.5.2. Определение актуальных угроз безопасности ПДн при их обработке в ИСПДн и разработка мер и мероприятий по защите ПДн.

4.5.3. Определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

4.5.4. Издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

4.5.5. Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.

4.5.6. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

4.5.7. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.5.8. Качественное антивирусное программное обеспечение с регулярно обновляемыми базами.

4.5.9. Соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ.

4.5.10. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.11. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.5.12. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

4.5.13. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора.

4.5.14. Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

5. Основные права субъекта ПДн

5.1. Субъект имеет право на доступ к его персональным данным и следующим сведениям:

– подтверждение факта обработки ПДн Оператором;

– правовые основания и цели обработки ПДн;

– цели и применяемые Оператором способы обработки ПДн;

– наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;

– сроки обработки персональных данных, в том числе сроки их хранения;

– порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом;

– наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

– субъект ПДн вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

– если субъект ПДн считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в орган, уполномоченный по вопросам защиты прав субъектов ПДн, или в судебном порядке.

5.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6. Обязанности Оператора

6.1. Оператор обязан:

– при сборе ПДн предоставить информацию об обработке ПДн;

– в случаях если ПДн были получены не от субъекта ПДн, уведомить субъекта;

– при отказе в предоставлении ПДн субъекту разъясняются последствия такого отказа;

– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;

– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

– давать ответы на запросы и обращения субъектов ПДн, их представителей и уполномоченного органа по защите прав субъектов ПДн.

6.2. Оператор вправе отказать субъекту ПДн в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

7. Сбор данных о Пользователе из социальных сетей

7.1. В целях оптимизации работы сервиса и взаимодействия с Пользователем Сайт вправе собирать указанные в настоящем разделе персональные данные о Пользователе из социальных сетей:

  1. facebook.com; vk.com; instagram.com.
  2. иные системы размещения персональных данных при наличии ссылки на это на Сайте.

7.2.Регистрация Субъекта на Сайте может осуществляться через социальный сервис facebook.com, vk.com или другие социальные сети (сервисы). Данный способ регистрации избирает сам Субъект путем совершения указанных на Сайте действий в момент регистрации.

7.3. При регистрации через сервис facebook.com, vk.com и другие социальные сервисы Сайт в целях автоматического заполнения аналогичных данных Субъекте, а также для оптимизации работы фильтра Сайта по соответствующему критерию может собирать следующие сведения о субъекте из системы facebook.com, vk.com и других социальных сервисов:

  1. имя и фамилия Пользователя, а также его никнейм;
  2. пол;
  3. место пребывания (город, населенный пункт);
  4. дата рождения;
  5. иные данные.

7.4.Пользователь осознает, что в случае авторизации на сайте Компании посредством учетных записей социальных сетей, на него распространяются правила и условия соответствующих социальных сетей, в том числе в части обработки и использования персональных данных и обеспечения их конфиденциальности.

8. Раскрытие информации

8.1. Для обеспечения неограниченного допуска к политике оператора в отношении обработки ПДн, сведениям о реализованных мерах по защите ПДн, текст настоящей Политики опубликован на сайте Оператора https://triel.club.

8.2. Обеспечение реализации прав субъекта ПДн осуществляется посредством исполнения запросов, поступающих от физических лиц оператору по адресам, указанным на официальном сайте https://triel.club.

9. Нарушение политики и ответственность

9.1. Оператор несет ответственность за соответствие обработки и обеспечение безопасности персональных данных законодательству. Все работники Оператора, осуществляющие обработку ПДн, несут ответственность за соблюдение настоящей Политики и иных локальных актов Оператора по вопросам обработки и обеспечению безопасности персональных данных.

9.2. Любой работник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки ПДн, в соответствии с существующими у Оператора процедурами.


9.3. Любые нарушения настоящей Политики и иных локальных актов Оператора по вопросам обработки и обеспечению безопасности персональных данных будут расследоваться в соответствии с действующими у Оператора процедурами.

9.4. Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации

10. Заключительные положения

10.1. Настоящая Политика подлежит при необходимости изменению, дополнению, в т.ч. в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

10.2. Настоящая Политика является внутренним документом ООО «Фитнес Технологии», и подлежит размещению на официальном сайте Оператора. В случае изменений, доведение до неограниченного круга лица таких изменений осуществляется посредством размещения на официальном сайте Оператора Политики с учетом таких изменений.

10.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных Оператора.

Facebook
Instagram
Vkontakte
Facebook
Instagram
Vkontakte