Политика обработки персональных данных

 ПОЛИТИКА ООО «БОДИБУМ»

В СФЕРЕ ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПД), а также иными нормативно-правовыми актами в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее –ПД), которые ООО «Бодибум», являющееся частью фитнес-сети «Bodyboom»(далее – Оператор, КЛУБ) может получать от различных субъектов персональных данных, являющихся: 

Категории субъектов ПД:

• Стороной-физическим лицом либо представителем юридического лица - стороны по гражданско-правовому договору, заключенного с Клубом (например, договоров оказания услуг и пр.)
• Членов чети фитнес-клубов «Bodyboom», заключивших членские договоры на приобретение клубных карты,
• Потенциальными клиентами, партнерами, оставившими Клубу свои персональные данные, в том числе для будущего потенциального сотрудничества
• Лицами, состоящих с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работники).

1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Закона о персональных данных.

2. Термины и принятые сокращения

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных– любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПД)– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Персональные данные, сделанные общедоступными субъектом персональных данных– ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

Блокирование персональных данных– временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных– действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Оператором являетсяОбщество с ограниченной отвественностью «Бодибум» (ОГРН 1055902870132, ИНН 5905236932)

3.Обработка персональных данных

3.1. Получение ПД.

3.1.1. Все ПД следует получать от самого субъекта в рамках обязанности оператора, установленной в Федеральном законе № 217-ФЗ [1]

Член Клуба обязан предоставлять достоверные сведения, необходимые для ведения реестра членов Клуба, и своевременно информировать работников Клуба или иного уполномоченного члена правления Клуба об их изменении. [2] 

3.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

Целями обработки ПД в Клубе являются

(для каждой группы субъектов ПД): 

ПД членов фитнес-клуба:

• Ведение Реестра членов Клуба в соответствие с нормами федерального закона, в том числе, в автоматизированном виде через программное обеспечение контроля доступа ;
• Учет количества посещенийв пределах срока действия клубной карты;
  • Информирование клиентов о специальных предложениях, акциях, мероприятиях и услугах клуба. 

ПД лиц, являющихся Стороной-физическим лицом либо представителем юридического лица - стороны по гражданско-правовому договору, заключенного с Клубом;

• Надлежащее исполнение договорных обязательств, контроль финансовых расчетов.
• Контроль соблюдения указанными лицами защиты персональных данных, полученных в ходе взаимодействия (например, разработчики сайтов, юридическое обслуживание и пр.)

ПД лиц, состоящих с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).

• Предоставление отчетности по данным лицам в государственные органы и учреждения (трудовые инспекции, Пенсионный фонд, налоговые органы, военкоматы  и т.д.).
• Контроль соблюдения указанными лицами защиты персональных данных, полученных в ходе исполнения трудовых функций.

3.1.3. Документы, содержащие ПД, создаются путем: 

Для ПД обладателей Клубных карт (клиентов клуба):

• Получения сведений от правообладателя на основании личного заявления, которое подается при заключении договора либо оставления заявки на заключение договора.

При заключении договора указываются:

1) фамилия, имя, отчество (последнее - при наличии) заявителя;

2) адрес места жительства заявителя;

3) почтовый адрес, по которому заявителем могут быть получены почтовые сообщения, за исключением случаев, если такие сообщения могут быть получены по адресу места жительства;

4) адрес электронной почты, по которому заявителем могут быть получены электронные сообщения (при наличии);

5) номер телефона для связи с заявителем, по которому в том числе может быть направлено сообщение, включая короткое текстовое сообщение через приложения-мессенджеры;

В случае расторжения договора дополнительно - реквизиты банка для расчето (возврата денежных средств); 

Для ПД лиц, являющихся Стороной-физическим лицом либо представителем юридического лица - стороны по гражданско-правовому договору, заключенного с Клубом путем:

– копирования оригиналов документов (паспорт, свидетельство ИНН, пенсионное свидетельство и др.);

- информации о системе налогообложения с предоставлением копии подтверждающего документа (самозанятый, патент и т.д.)

- реквизиты банка для расчетов;

- почтовый адрес, по которому могут быть получены почтовые сообщения,

- адрес электронной почты, по которому могут быть получены электронные сообщения;

- номер телефона для связи, по которому в том числе может быть направлено сообщение, включая короткое текстовое сообщение;

Для ПД Работников.

– копирования оригиналов документов (паспорт, свидетельство ИНН, пенсионное свидетельство и др.);

– копирования оригиналов документов (паспорт, свидетельство ИНН, пенсионное свидетельство, военный билет и др.);

– получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

3.2. Обработка ПД.

3.2.1. Обработка персональных данных осуществляется:

– с согласия субъекта персональных данных на обработку его персональных данных;

– без согласия субъекта  -в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;[3]

– в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом ПД либо по его просьбе (далее –ПД, сделанные общедоступными субъектом персональных данных).

3.2.5. Обработка персональных данных ведется:

– с использованием средств автоматизации;

– без использования средств автоматизации.

3.3. Хранение ПД.

3.3.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.3.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.3.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

3.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

3.3.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.4. Уничтожение ПД.

3.4.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.4.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.4.3. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.

3.5. Передача ПД.

3.5.1. Оператор передает ПД третьим лицам в следующих случаях:

– субъект выразил свое согласие на такие действия;

–передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

3.5.2. Перечень лиц, которым передаются ПД.

Третьи лица, которым передаются ПД:

– Пенсионный фонд РФ для учета (на законных основаниях);

– налоговые органы РФ (на законных основаниях);

– Фонд социального страхования РФ (на законных основаниях);

– территориальный фонд обязательного медицинского страхования (на законных основаниях);

–страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);

– банки для начисления заработной платы (на основании договора);

– органы МВД России в случаях, установленных законодательством.

- суды Российской Федерации, в случае возбужденных дел

4. Защита персональных данных

4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД, утверждение внутренних Регламентов, Протоколов и т.д.

4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

4.4. Основными мерами защиты ПД, используемыми Оператором, являются:

4.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Клубом, членами его органов управления, работниками требований к защите ПД.

4.5.2. Определение актуальных угроз безопасности ПД при их обработке в Информационной системе и разработка мер и мероприятий по защите ПД.

4.5.3. Разработка политики в отношении обработки персональных данных.

4.5.4. Установление правил доступа к ПД, обрабатываемым в информационной системе, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в Информационной системе.

4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

4.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

4.5.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.

4.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

4.5.12. Осуществление внутреннего контроля и аудита.

5. Основные права субъекта ПД

5.1. Основные права субъекта ПД.

Субъект имеет право на доступ к его персональным данным и следующим сведениям:

– подтверждение факта обработки ПД Оператором;

– правовые основания и цели обработки ПД;

– цели и применяемые Оператором способы обработки ПД;

–наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;

– сроки обработки персональных данных, в том числе сроки их хранения;

– порядок осуществления субъектом ПД прав, предусмотренных настоящим Федеральным законом;

– наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;

– обращение к Оператору и направление ему запросов;

– обжалование действий или бездействия Оператора. 

6. Обязанности Оператора ПД

6.1. Оператор обязан:

- при сборе ПД предоставить информацию об обработке ПД, целях обработки ПД;

– в случаях если ПД были получены не от субъекта ПД, уведомить субъекта (при наличии сведений, позволяющих осуществить такое уведомление по каналам связи с субъектом ПД;

– при отказе в предоставлении ПД субъекту, в случае, если обязанность предоставления персональных данных установлена федеральным законодательством (ФЗ-217), оператор обязан разъяснить субъекту юридические последствия отказа предоставить свои персональные данные, в том числе, невозможность уведомления лица о проведении общего собрания, где он вправе принимать правовые решения по вопросам жизнедеятельности Клуба;

– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;

– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

– давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.

 

6.2. Должностные лица (операторы), в обязанность которых входит обработка персональных данных, обязаны обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

7. Заключительные положения 

7.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

7.2. Оператор, осуществляющий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных, в соответствии со своими полномочиями владеющий информацией о гражданах, получающий и использующий ее, несет ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

7.3. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить. Любые документы, содержащие персональные данные, являются конфиденциальными.

7.4. Настоящая Политика ООО «Бодибум»в сфере защиты и обработки персональных данных утверждена директором сети фитнес-клубов(директором ООО «Управляющая компания «Бодибум-сеть», являющегося единоличным исполнительным органом) и является обязательным для исполнения всеми лицами, имеющими доступ к персональным данным субъектов ПД, указанных в п.1.1. Политики.

7.5. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и доведения информации до субъектов персональных данных любым общедоступным способом.

7.6. Субъект ПД может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты bodyboom059@mail.ru

7.7. Политика ООО «Бодибум» в сфере защиты и обработки персональных данныхразмещена в публичном доступе на сайте https://www.bodyboom.ru/