Cпортзал нового поколения, разработанный с учетом последних инноваций в области фитнеса и здоровья.
ПОЛОЖЕНИЕ
ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЯ
ФУРСОВА АЛЕКСЕЯ ВАСИЛЬЕВИЧА
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
УТВЕРЖДЕНО:
Индивидуальный предприниматель
_________________ Фурсов А.В.
«20» мая 2024 года
ВВЕДЕНИЕ
Настоящий документ определяет порядок работы с персональными данными у Индивидуального предпринимателя Фурсова Алексея Васильевича (далее по тексту – Организация) в части обработки персональных данных и реализации требований к защите персональных данных (далее - Положение) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и иных нормативно-правовых актов Российской Федерации. Настоящее ПОЛОЖЕНИЕ введено с целью соблюдения прав субъектов персональных данных, а также с целью исполнения обязанностей, возложенных на Операторов.
Оператор ИП Фурсов А.В., ОГРНИП 307784727500468, ИНН 781408461602.
Центр обработки данных (ЦОД):197110, г.Санкт-Петербург, Барочная ул., д.10, корп.2, лит.Б.
Адрес Оператора: 197110, г.Санкт-Петербург, Барочная ул., д.10, корп.2, лит.Б.
URL-адреса, используемые в деятельности Оператора, посредством которых
осуществляется обработка персональных данных https://chislasport.ru/
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение в отношении обработки персональных данных (далее – Положение) определяет позицию и намерения Организации в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
1.2. Основные понятия, используемые в настоящем документе:
персональные данные - любая информация, относящаяся прямо или косвеннок определенному или определяемому физическому лицу (субъектуперсональных данных), к такой информации, в частности, можно отнести:ФИО, дата и место рождения, адрес, сведения о семейном, социальном,имущественном положении, сведения об образовании, профессии, доходах,сведения о состоянии здоровья, а также другую информацию;
персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данныхвключает в себя, в том числе: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, переда (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
автоматизированнаяобработкаперсональныхданных-обработка персональных данных с помощью средств вычислительной техники; распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; предоставление
персональных данных - действия, направленные на раскрытиеперсональныхданныхопределенномулицуили определенному кругу лиц;
блокированиеперсональныхданных-временноепрекращение обработкиперсональныхданных(заисключениемслучаев,если обработка необходима для уточнения персональных данных); уничтожение персональных данных - действия, в результате которых становитсяневозможным восстановитьсодержаниеперсональных данных в информационной системеперсональных данных и (или) в результатекоторыхуничтожаются материальныеносители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся вбазах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.3. Положение неукоснительно исполняется руководителями и работниками всех структурных подразделений Организации.
1.4. Действие Положения распространяется на все персональные данные субъектов, обрабатываемые в Организации.
1.5. К настоящему Положению имеет доступ любой субъект персональных данных.
2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬЫНХ ДАННЫХ.
• Конституция РФ;
• Трудовой кодекс РФ;
• Гражданский кодекс РФ;
• Федеральный закон от 06.12.2011 г. №402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Федеральный закон от 04.12.2007 № 329-ФЗ «О физической культуре и спорте в Российской Федерации»;
• Закон Российской Федерации от 07.02.1992 №2300-1 «О защите правпотребителей»;
• Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ»);
• Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• ПОЛОЖЕНИЕ о персональных данных (Положение о защите, хранении, обработке и передаче персональных данных работников);
• Договоры, заключаемые между Организацией и субъектом персональных данных;
• Согласие на обработку персональных данных.
3. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ.
3.1. Организация обрабатывает персональные данные сотрудников и иных физических лиц, являющихся контрагентами Организации, в объеме, необходимом для соблюдения требований трудового, гражданского, налогового, пенсионного законодательства, законодательства о защите прав потребителя и т.п., а такжеисполнения обязательств Организации по сделкам, заключенным с такимифизическими лицами.
3.2. В целях и в порядке, предусмотренными настоящим Положением, иными локальными актами Организации, законодательством Российской Федерации, персональные данные могут обрабатываться в автоматизированных информационных системах, а также передаваться уполномоченным лицам посредством локальных вычислительных сетей Организации и сети «Интернет». При этом Организацией должна быть обеспечена безопасность персональных данных с помощью системы защиты персональных данных, включающих в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных осуществляется следующими способами:
- Смешанная обработка персональных данных.
Для достижения Организацией целей, применимы следующие способы обработки данных: Сбор; Запись; Систематизация; Накопление; Уточнение(обновление, изменение); Использование; Удаление; Уничтожение.
4.2. При обработке персональных данных Организация придерживается следующих принципов: законности и справедливой основы; ограничения достижением конкретных, заранее определенных и законных целей; недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; обработкитолько тех персональных данных, которые отвечают целям их обработки; соответствия содержания; обеспечения точности персональных данных; осуществления хранения персональных данных в форме, позволяющейопределить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
4.3. Организация обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенныхзаконодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для осуществления прав изаконных интересов Организации или третьих лиц либо для достижения Организацией значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
• обработка персональных данных осуществляется в связи с участием лица вконституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
• обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• обработка персональных данных необходима для защиты жизни, здоровья ииных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке, при условии обязательного обезличивания персональных данных.
4.4. Прекращение использования обработки персональных данных осуществляется по достижению целей или после получения отзыва Согласия субъекта персональных данных.
4.5. Организация осуществляет обработку персональных данных с использованием баз данных, лиц, находящихся на территории Российской Федерации, а также лиц, использующих интернет сайты Организации https://chislasport.ru/
Центр обработки данных (ЦОД) расположен по адресу:197110, г. Санкт-Петербург, Барочная ул., д.10, корп.2, лит.Б.
4.6. Организация вправе поручить обработку персональных данных граждан третьим лицам на основании заключаемого с этими лицами договора. Лица, осуществляющие обработку персональных данных по поручению Организации, обязуются соблюдать принципы и правила обработки и защиты персональныхданных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого лица определены перечень действий (операций) сперсональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
4.7. В случаях, установленных законодательством Российской Федерации, Организация вправе осуществлять передачу персональных данных граждан. Для распространения персональных данных среди неопределенного круга лиц Оператор запрашивает у субъекта персональных данных согласие на обработку персональных данных, разрешенных субъектом для распространения. Форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения может быть оформлена в бумажной или электронной формах, при этом подписание электронной Формы согласия должно быть осуществлено посредством удостоверенной электронной подписиСубъекта.
4.8. Организация уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели обработки.
4.9. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Организацией, а обработка должна быть прекращена, соответственно.
5. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
5. Гражданин,персональныеданныекоторогообрабатываются
Организацией, имеет право запрашивать у Организации и получать отОрганизации
путем направления запроса:
• подтверждение факта обработки персональных данных Организацией;
• правовые основания и цели обработки персональных данных;
• сведения о применяемых Организацией способах обработки персональных данных;
• наименование и местонахождения Организации;
• сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрытыперсональные данные на основании договора с Организацией или на основании федерального закона;
• перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
• сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
• сведения о порядке осуществления гражданином прав, предусмотренныхФедеральным законом «О персональных данных»
№ 152-ФЗ;
• информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
• наименование и адрес лица, осуществляющего обработку персональных данных по поручению Организации;
• иные сведения, предусмотренные Федеральным законом «О персональных данных» № 152-ФЗ или другими федеральными законами
• Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• Отозвать своё согласие на обработку персональных данных;
• Требовать устранения неправомерных действий Организации в отношении его персональных данных;
• Определять перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
• Устанавливать запреты на передачу (кроме предоставления доступа) персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий не допускается;
5.1. Обжаловать действия или бездействие Организации в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что Организация осуществляет обработку его персональных данных с нарушениемтребований Федерального закона № 152-ФЗ «О персональных данных» илииным образом нарушает его права и свободы;
5.2. На защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
5.3. Субъект персональных данных или уполномоченное лицо вправе обратиться к Обществу с запросом/обращением, составленным в произвольной форме по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных (и/или его представителя), сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись Субъекта персональных данных (и/или его представителя).
5.3.1. Запросы направляются по месту нахождения Центра обработки данных. К письменным запросам Субъектов относятся любые письменные обращения Субъектов, направленные в адрес Организации, в том числе обращения, отправленные через отделения почтовой связи.
5.3.2. К электронным запросам Субъектов относятся обращения, направленные по электронной почте. В данном случае запрос подписывается электронной подписью (далее – ЭП) Субъекта в соответствии с законодательством РФ. Запросы в электронном виде направляются по электронной почте на адрес kurpik.s@fhclub.ru.
− Организацией не обрабатываются запросы, связанные с передачей или разглашением персональных данных, поступившие по телефону или факсу, ввиду отсутствия возможности идентифицировать личность Субъекта.
5.4. В случае отзыва согласия субъектом персональных данных или требования уполномоченного лица о прекращении обработки персональных данных, Организация прекращает обработку таких данных непосредственно с момента получения такого отзыва согласия или требования. При этом, в случае если прекращение обработки персональных данных сопряжено с необходимостью удаления персональных данных с материальных носителей таких данных или из информационных систем, в которых такие данные обрабатываются, а технический процесс удаления данных требует более продолжительного времени, чем предусмотрено настоящим пунктом, Организация вправе прекратить обработку персональных данных в срок, не превышающий времени, необходимого для удаления данных с материальных носителей и из информационных систем, исчисляемый с момента получения Организацией соответствующего отзыва согласия или требования.
6. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Организация при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональныхданных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространенияперсональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. К мерам защиты персональных данных относятся:
• Назначение сотрудников, ответственных за организацию обработки персональных данных (в том числе в информационных системах);
• Утверждение перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
• Осуществление внутреннего контроля соответствия обработки персональных данных действующему законодательству РФ;
• Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства РФ;
• Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных;
• Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные законодательством РФ уровни защищенности персональных данных;
• Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• Обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
• Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными даннымив информационной системе персональных данных;
• Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
• Учет машинных носителей персональных данных;
• Обеспечение сохранности носителей персональных данных;
• Организация пропускного режима на территорию Организации;
• Организация режима обеспечения безопасности помещений, в которыхразмещена информационная система персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• Размещение технических средств обработки персональных данных в пределах охраняемой территории;
• Поддержание технических средств охраны, сигнализации в постоянной готовности;
• Проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
• Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
7. ОСОБЕННОСТИ ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
7.1. Доступ третьих лиц к персональным данным осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством Российской Федерации.
7.2. Организация обязана сообщать персональные данные по надлежаще оформленным запросам суда, прокуратуры и правоохранительных органов.
7.3. При передаче персональных данных Организация соблюдает следующие условия:
• не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством Российской Федерации;
• не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
• предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
• осуществлять передачу персональных данных субъектов в пределах и за пределы Организации в соответствии с настоящем Положением и еелокальными актами, в том числе передачу персональных данных субъектапо сети Интернет или в иной форме с целью оказания услуг (включая предоставление персональных данных третьим лицам, осуществляющим обработку персональных данных, с которыми у Оператора заключены договоры);
• разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь правополучать только те персональные данные, которые необходимы для выполнения конкретной функции;
• передавать персональные данные представителям субъекта в порядке, установленном действующим законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
8. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Хранение персональных данных в Организации осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
8.2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.
8.3. Обработка персональных данных прекращается в случае истечения срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных.
8.4. Обработка персональных данных прекращается в случае ликвидации Организации.
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА
9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
9.2. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе, работникам Организации, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащихперсональные данные субъекта, а также иные нарушения обязанностей по ихзащите и обработке, установленных настоящем Положением, внутренними нормативными актами (приказами, распоряжениями) Организации, влечет наложение на работника, имеющего доступ к персональным данным, дисциплинарного взыскания: замечания, выговора или увольнения.
9.3. Работник Организации, имеющий доступ к персональным данным субъектов исовершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Организации в соответствии с законодательством Российской Федерации.
ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЯ
ФУРСОВА АЛЕКСЕЯ ВАСИЛЬЕВИЧА
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
УТВЕРЖДЕНО:
Индивидуальный предприниматель
_________________ Фурсов А.В.
«20» мая 2024 года
ВВЕДЕНИЕ
Настоящий документ определяет порядок работы с персональными данными у Индивидуального предпринимателя Фурсова Алексея Васильевича (далее по тексту – Организация) в части обработки персональных данных и реализации требований к защите персональных данных (далее - Положение) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и иных нормативно-правовых актов Российской Федерации. Настоящее ПОЛОЖЕНИЕ введено с целью соблюдения прав субъектов персональных данных, а также с целью исполнения обязанностей, возложенных на Операторов.
Оператор ИП Фурсов А.В., ОГРНИП 307784727500468, ИНН 781408461602.
Центр обработки данных (ЦОД):197110, г.Санкт-Петербург, Барочная ул., д.10, корп.2, лит.Б.
Адрес Оператора: 197110, г.Санкт-Петербург, Барочная ул., д.10, корп.2, лит.Б.
URL-адреса, используемые в деятельности Оператора, посредством которых
осуществляется обработка персональных данных https://chislasport.ru/
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение в отношении обработки персональных данных (далее – Положение) определяет позицию и намерения Организации в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
1.2. Основные понятия, используемые в настоящем документе:
персональные данные - любая информация, относящаяся прямо или косвеннок определенному или определяемому физическому лицу (субъектуперсональных данных), к такой информации, в частности, можно отнести:ФИО, дата и место рождения, адрес, сведения о семейном, социальном,имущественном положении, сведения об образовании, профессии, доходах,сведения о состоянии здоровья, а также другую информацию;
персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данныхвключает в себя, в том числе: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, переда (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
автоматизированнаяобработкаперсональныхданных-обработка персональных данных с помощью средств вычислительной техники; распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; предоставление
персональных данных - действия, направленные на раскрытиеперсональныхданныхопределенномулицуили определенному кругу лиц;
блокированиеперсональныхданных-временноепрекращение обработкиперсональныхданных(заисключениемслучаев,если обработка необходима для уточнения персональных данных); уничтожение персональных данных - действия, в результате которых становитсяневозможным восстановитьсодержаниеперсональных данных в информационной системеперсональных данных и (или) в результатекоторыхуничтожаются материальныеносители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся вбазах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.3. Положение неукоснительно исполняется руководителями и работниками всех структурных подразделений Организации.
1.4. Действие Положения распространяется на все персональные данные субъектов, обрабатываемые в Организации.
1.5. К настоящему Положению имеет доступ любой субъект персональных данных.
2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬЫНХ ДАННЫХ.
• Конституция РФ;
• Трудовой кодекс РФ;
• Гражданский кодекс РФ;
• Федеральный закон от 06.12.2011 г. №402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Федеральный закон от 04.12.2007 № 329-ФЗ «О физической культуре и спорте в Российской Федерации»;
• Закон Российской Федерации от 07.02.1992 №2300-1 «О защите правпотребителей»;
• Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ»);
• Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• ПОЛОЖЕНИЕ о персональных данных (Положение о защите, хранении, обработке и передаче персональных данных работников);
• Договоры, заключаемые между Организацией и субъектом персональных данных;
• Согласие на обработку персональных данных.
3. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ.
3.1. Организация обрабатывает персональные данные сотрудников и иных физических лиц, являющихся контрагентами Организации, в объеме, необходимом для соблюдения требований трудового, гражданского, налогового, пенсионного законодательства, законодательства о защите прав потребителя и т.п., а такжеисполнения обязательств Организации по сделкам, заключенным с такимифизическими лицами.
3.2. В целях и в порядке, предусмотренными настоящим Положением, иными локальными актами Организации, законодательством Российской Федерации, персональные данные могут обрабатываться в автоматизированных информационных системах, а также передаваться уполномоченным лицам посредством локальных вычислительных сетей Организации и сети «Интернет». При этом Организацией должна быть обеспечена безопасность персональных данных с помощью системы защиты персональных данных, включающих в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных осуществляется следующими способами:
- Смешанная обработка персональных данных.
Для достижения Организацией целей, применимы следующие способы обработки данных: Сбор; Запись; Систематизация; Накопление; Уточнение(обновление, изменение); Использование; Удаление; Уничтожение.
4.2. При обработке персональных данных Организация придерживается следующих принципов: законности и справедливой основы; ограничения достижением конкретных, заранее определенных и законных целей; недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; обработкитолько тех персональных данных, которые отвечают целям их обработки; соответствия содержания; обеспечения точности персональных данных; осуществления хранения персональных данных в форме, позволяющейопределить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
4.3. Организация обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенныхзаконодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для осуществления прав изаконных интересов Организации или третьих лиц либо для достижения Организацией значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
• обработка персональных данных осуществляется в связи с участием лица вконституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
• обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• обработка персональных данных необходима для защиты жизни, здоровья ииных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке, при условии обязательного обезличивания персональных данных.
4.4. Прекращение использования обработки персональных данных осуществляется по достижению целей или после получения отзыва Согласия субъекта персональных данных.
4.5. Организация осуществляет обработку персональных данных с использованием баз данных, лиц, находящихся на территории Российской Федерации, а также лиц, использующих интернет сайты Организации https://chislasport.ru/
Центр обработки данных (ЦОД) расположен по адресу:197110, г. Санкт-Петербург, Барочная ул., д.10, корп.2, лит.Б.
4.6. Организация вправе поручить обработку персональных данных граждан третьим лицам на основании заключаемого с этими лицами договора. Лица, осуществляющие обработку персональных данных по поручению Организации, обязуются соблюдать принципы и правила обработки и защиты персональныхданных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого лица определены перечень действий (операций) сперсональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
4.7. В случаях, установленных законодательством Российской Федерации, Организация вправе осуществлять передачу персональных данных граждан. Для распространения персональных данных среди неопределенного круга лиц Оператор запрашивает у субъекта персональных данных согласие на обработку персональных данных, разрешенных субъектом для распространения. Форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения может быть оформлена в бумажной или электронной формах, при этом подписание электронной Формы согласия должно быть осуществлено посредством удостоверенной электронной подписиСубъекта.
4.8. Организация уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели обработки.
4.9. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Организацией, а обработка должна быть прекращена, соответственно.
5. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
5. Гражданин,персональныеданныекоторогообрабатываются
Организацией, имеет право запрашивать у Организации и получать отОрганизации
путем направления запроса:
• подтверждение факта обработки персональных данных Организацией;
• правовые основания и цели обработки персональных данных;
• сведения о применяемых Организацией способах обработки персональных данных;
• наименование и местонахождения Организации;
• сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрытыперсональные данные на основании договора с Организацией или на основании федерального закона;
• перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
• сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
• сведения о порядке осуществления гражданином прав, предусмотренныхФедеральным законом «О персональных данных»
№ 152-ФЗ;
• информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
• наименование и адрес лица, осуществляющего обработку персональных данных по поручению Организации;
• иные сведения, предусмотренные Федеральным законом «О персональных данных» № 152-ФЗ или другими федеральными законами
• Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• Отозвать своё согласие на обработку персональных данных;
• Требовать устранения неправомерных действий Организации в отношении его персональных данных;
• Определять перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
• Устанавливать запреты на передачу (кроме предоставления доступа) персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий не допускается;
5.1. Обжаловать действия или бездействие Организации в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что Организация осуществляет обработку его персональных данных с нарушениемтребований Федерального закона № 152-ФЗ «О персональных данных» илииным образом нарушает его права и свободы;
5.2. На защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
5.3. Субъект персональных данных или уполномоченное лицо вправе обратиться к Обществу с запросом/обращением, составленным в произвольной форме по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных (и/или его представителя), сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись Субъекта персональных данных (и/или его представителя).
5.3.1. Запросы направляются по месту нахождения Центра обработки данных. К письменным запросам Субъектов относятся любые письменные обращения Субъектов, направленные в адрес Организации, в том числе обращения, отправленные через отделения почтовой связи.
5.3.2. К электронным запросам Субъектов относятся обращения, направленные по электронной почте. В данном случае запрос подписывается электронной подписью (далее – ЭП) Субъекта в соответствии с законодательством РФ. Запросы в электронном виде направляются по электронной почте на адрес kurpik.s@fhclub.ru.
− Организацией не обрабатываются запросы, связанные с передачей или разглашением персональных данных, поступившие по телефону или факсу, ввиду отсутствия возможности идентифицировать личность Субъекта.
5.4. В случае отзыва согласия субъектом персональных данных или требования уполномоченного лица о прекращении обработки персональных данных, Организация прекращает обработку таких данных непосредственно с момента получения такого отзыва согласия или требования. При этом, в случае если прекращение обработки персональных данных сопряжено с необходимостью удаления персональных данных с материальных носителей таких данных или из информационных систем, в которых такие данные обрабатываются, а технический процесс удаления данных требует более продолжительного времени, чем предусмотрено настоящим пунктом, Организация вправе прекратить обработку персональных данных в срок, не превышающий времени, необходимого для удаления данных с материальных носителей и из информационных систем, исчисляемый с момента получения Организацией соответствующего отзыва согласия или требования.
6. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Организация при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональныхданных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространенияперсональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. К мерам защиты персональных данных относятся:
• Назначение сотрудников, ответственных за организацию обработки персональных данных (в том числе в информационных системах);
• Утверждение перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
• Осуществление внутреннего контроля соответствия обработки персональных данных действующему законодательству РФ;
• Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства РФ;
• Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных;
• Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные законодательством РФ уровни защищенности персональных данных;
• Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• Обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
• Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными даннымив информационной системе персональных данных;
• Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
• Учет машинных носителей персональных данных;
• Обеспечение сохранности носителей персональных данных;
• Организация пропускного режима на территорию Организации;
• Организация режима обеспечения безопасности помещений, в которыхразмещена информационная система персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• Размещение технических средств обработки персональных данных в пределах охраняемой территории;
• Поддержание технических средств охраны, сигнализации в постоянной готовности;
• Проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
• Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
7. ОСОБЕННОСТИ ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
7.1. Доступ третьих лиц к персональным данным осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством Российской Федерации.
7.2. Организация обязана сообщать персональные данные по надлежаще оформленным запросам суда, прокуратуры и правоохранительных органов.
7.3. При передаче персональных данных Организация соблюдает следующие условия:
• не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством Российской Федерации;
• не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
• предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
• осуществлять передачу персональных данных субъектов в пределах и за пределы Организации в соответствии с настоящем Положением и еелокальными актами, в том числе передачу персональных данных субъектапо сети Интернет или в иной форме с целью оказания услуг (включая предоставление персональных данных третьим лицам, осуществляющим обработку персональных данных, с которыми у Оператора заключены договоры);
• разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь правополучать только те персональные данные, которые необходимы для выполнения конкретной функции;
• передавать персональные данные представителям субъекта в порядке, установленном действующим законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
8. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Хранение персональных данных в Организации осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
8.2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.
8.3. Обработка персональных данных прекращается в случае истечения срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных.
8.4. Обработка персональных данных прекращается в случае ликвидации Организации.
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА
9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
9.2. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе, работникам Организации, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащихперсональные данные субъекта, а также иные нарушения обязанностей по ихзащите и обработке, установленных настоящем Положением, внутренними нормативными актами (приказами, распоряжениями) Организации, влечет наложение на работника, имеющего доступ к персональным данным, дисциплинарного взыскания: замечания, выговора или увольнения.
9.3. Работник Организации, имеющий доступ к персональным данным субъектов исовершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Организации в соответствии с законодательством Российской Федерации.