Политика конфиденциальности

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Положение о защите персональных данных (далее - Положение) это локальный нормативный акт, определяющий порядок сбора, хранения, комбинирования, передачи и любого другого использования персональных данных в соответствии с законодательством Российской Федерации в Обществе с ограниченной ответственностью «Велнес клуб Прайд» (далее - Общество).

1.2. Настоящее Положение разработано в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом № 115-ФЗ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», иными нормативными актами, действующими на территории Российской Федерации и определяет позицию ООО «Велнес клуб Прайд» в области обработки и защиты персональных данных, соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.

1.3. В настоящем Положении используются следующие термины и определения:

Оператор – ООО «Велнес клуб Прайд» (далее Общество), вступившее в договорные отношения с клиентом или контрагентом, или оказывающее услуги физическому лицу, юридическому лицу или индивидуальному предпринимателю.

Персональные данные Клиента – информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Клиента, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, паспортные данные, социальное положение, имущественное положение, образование, профессия, специальность, занимаемая должность, доходы, ИНН, сведения ВУС, СНИЛС, сведения о трудовом и общем стаже, сведения о состоянии здоровья, медицинских противопоказаниях, адрес электронной почты, телефон, место работы или учебы членов семьи и родственников, налоговый статус (резидент/нерезидент), иные сведения указанные заявителем.

Персональные данные Контрагента – информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Контрагента, в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, паспортные данные, социальное положение, имущественное положение, образование, профессия, специальность, занимаемая должность, доходы, ИНН, сведения ВУС, СНИЛС, сведения о трудовом и общем стаже, адрес электронной почты, телефон, место работы или учебы членов семьи и родственников, налоговый статус

(резидент/нерезидент), иные сведения, указанные заявителем.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Субъект персональных данных – Клиент, Контрагент, а также посетители сайта, принадлежащего Обществу: https://club-pride.com/, в том числе с целью оформления заказа на приобретение, бронирование или оплату услуг Общества.

Защита персональных данных Клиента или Контрагента – деятельность Общества по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации.

1.4. Общество не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

1.5. Действия настоящего Положения распространяется на всех Клиентов и Контрагентов Общества, а также на все персональные данные полученные как до, так и после ввода в действие настоящего Положения.

2. ПРАВИЛА ПРЕДОСТАВЛЕНИЯ ДОСТУПА РАБОТНИКОВ К ПЕРСОНАЛЬНЫМ ДАННЫМ

2.1. Список лиц, допущенных к обработке персональных данных (далее Список) и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение правил обработки персональных данных, определяется и утверждается Генеральным директором Общества.

2.2. Подразделение по работе с персоналом при принятии на работу, увольнении или изменении должностных обязанностей Работников не позднее чем в трехдневный срок вносит изменения в список лиц, допущенных к обработке персональных данных.

2.3. Работники Общества выполняют действия по обработке персональных данных в соответствии с возложенными на Работников функциями.

2.4. Доступ к персональным данным предоставляется только лицам, замещающим должности из Списка.

2.5. Работники имеют доступ на ввод и коррекцию персональных данных в пределах, определенных должностными обязанностями.

2.6. Лица, получившие доступ к персональным данным, должны хранить в тайне известные им сведения конфиденциального характера и информировать руководство Общества об утечке персональных данных, о фактах нарушения порядка обращения с ними, о попытках несанкционированного доступа к персональным данным.

2.7. Лица, получившие доступ к персональным данным, должны использовать эти данные лишь в целях, для которых они сообщены, обязаны соблюдать режим конфиденциальности и дать Обязательство о неразглашении персональных данных.

2.8. Общество обеспечивает неограниченный доступ к сведениям о реализуемых требованиях к защите персональных данных.

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Персональные данные Клиента или Контрагента относятся к категории конфиденциальной информации.

3.2. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных Клиента или Контрагента обязаны соблюдать следующие общие требования:

3.2.1. Обработка персональных данных должна осуществляться на законной и справедливой основе, исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия выполнения договорных обязательств в соответствии с законодательством РФ;

3.2.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных за исключением случаев, предусмотренных законодательством Российской Федерации, когда обработка персональных данных допускается без согласия субъекта персональных данных, при условии регламентации вопросов обработки персональных данных соответствующим законодательством Российской Федерации;

3.2.3. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

3.2.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

3.2.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки;

3.2.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

3.2.7. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных;

3.2.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

3.2.9. Оператор не имеет права получать и обрабатывать персональные данные Клиента или Контрагента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни, за исключением случаев, предусмотренных законодательством РФ;

3.2.10. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда Клиента или Контрагента, затруднения реализации его прав и свобод;

3.2.11. При принятии решений, затрагивающих интересы Клиента или Контрагента, Оператор не имеет права основываться на персональных данных Клиента или Контрагента, полученных исключительно в результате их автоматизированной обработки без его письменного согласия на такие действия.

3.3. При идентификации Клиента или Контрагента Общество может затребовать предъявления документов, удостоверяющих личность и подтверждающих полномочия представителя.

3.4. При заключении договора, как и в ходе выполнения договора может возникнуть необходимость в предоставлении Клиентом иных документов, содержащих информацию о нем.

3.5. После принятия решения о заключении договора или представления документов, подтверждающих полномочия представителя, а также впоследствии, в процессе выполнения договора, содержащего персональные данные Клиента или Контрагента, так же будут относиться:

• договоры;
• заявки о допуске представителей и/или гостей Клиента или Контрагента;
• разовые или временные пропуска;
• другие документы, где включение персональных данных Клиента или Контрагента необходимо согласно действующему законодательству.
  • Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
  • В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

4. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Все Работники, имеющие доступ к персональным данным Клиентов или Контрагентов, обязаны подписать соглашение о неразглашении персональных данных.

4.2. Защита персональных данных Клиентов или Контрагентов от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ.

4.3. Клиенты или Контрагенты до предоставления своих персональных данных должны иметь возможность ознакомиться с настоящим Положением.

4.4. Защите подлежит:

• информация о персональных данных субъекта;
• документы, содержащие персональные данные субъекта;
• персональные данные, содержащиеся на электронных носителях.
  • Оператор назначает ответственного за организацию обработки персональных данных.
  • Оператор издает документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
  • Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных», в том числе:
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учет машинных носителей персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
  • Оператор осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону от 27.07.2006 года №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
  • Оператор осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
  • Ознакамливает своих работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
  • Ответственные лица соответствующих подразделений, хранящих персональные данные на бумажных носителях и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному Постановлением правительства РФ 15 сентября 2008 г. N 687.
  • Ответственные лица структурных подразделений, обрабатывающие персональные данные в информационных системах персональных данных и машинных носителях информации, обеспечивают защиту в соответствии с законодательством РФ.

5. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Подразделения Общества, в функциональные обязанности которых входит обработка персональных данных, организуют хранение и использование персональных данных Клиентов и Контрагентов в соответствии с законодательством РФ, настоящим Положением и другими локальными нормативными актами Общества, регламентирующими порядок работы с персональными данными.

5.2. Хранение персональных данных осуществляется на электронных носителях, а также в бумажном варианте.

5.3. Доступ к программному обеспечению, а также к персональной информации, хранящейся на электронных носителях, строго регламентирован и осуществляется при введении личного идентификатора и пароля пользователя.

5.4. Доступ (доступ внутри организации) к персональным данным Клиентов или Контрагентов имеют работники, внесенные в список лиц, допущенных к обработке персональных данных.

5.5. Сроки хранения документов, содержащих персональные данные Клиента или Контрагента, определяются в соответствие со сроком действия договора с Клиентом или Контрагентом, сроком исковой давности, а также иными требованиями законодательства РФ.

5.6. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном законодательством Российской Федерации.

6. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. При передаче персональных данных Клиента или Контрагента Оператор соблюдает следующие требования:

6.1.1. Не сообщает персональные данные Клиента или Контрагента третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях», при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов, а также в случаях, предусмотренных федеральными законами.

Оператор в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени угрозы жизни и здоровья субъекта. Если же лицо, обратившееся с запросом, не уполномочено на получение персональных данных Клиента или Контрагента, либо отсутствует письменное согласие Клиента или Контрагента на предоставление его персональных сведений, Оператор обязан отказать в предоставлении персональных данных лицу. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

6.1.2. Не сообщает персональные данные Клиента или Контрагента в коммерческих целях без его письменного согласия.

6.1.3. Предупреждает лиц, получающих персональные данные Клиента или Контрагента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.

6.1.4. Осуществляет передачу персональных данных Клиента или Контрагента в пределах своей организации в соответствии с настоящим Положением.

6.1.5. Разрешает доступ к персональным данным Клиентов или Контрагентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиента или Контрагента, которые необходимы для выполнения конкретных функций. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.

6.1.6. Передает персональные данные Клиента или Контрагента его представителям в порядке, установленном законодательством РФ, и ограничивает эту информацию только теми персональными данными Клиента или Контрагента, которые необходимы для выполнения указанными представителями их функций.

6.2. В случае если Оператору оказываются услуги юридическими или физическими лицами на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным Клиентов или Контрагентов, то соответствующие данные предоставляются Оператором только после подписания с ними соглашения о конфиденциальности (неразглашении конфиденциальной информации) и при наличии соответствующего согласия субъекта персональных данных.

7. ОСОБЕННОСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, СОБИРАЕМЫХ ОБЩЕСТВОМ С ИСПОЛЬЗОВАНИЕМ СЕТИ ИНТЕРНЕТ

7.1. Общество обрабатывает и защищает персональные данные, поступающие от пользователей Cайта.

7.2. Общество может собирать и обрабатывать сведения, не являющимися персональными данными:

• информацию об интересах пользователей на Сайте на основе введенных поисковых запросов пользователей Сайта о реализуемых и предлагаемых к продаже товаров Компанией с целью предоставления актуальной информации Клиентам Общества при использовании Сайта, а также обобщения и анализа информации, о том какие разделы Сайта и товары пользуются наибольшим спросом у клиентов Общества;
• обработка и хранение поисковых запросов пользователей Сайта с целью обобщения и создания клиентской статистики об использовании разделов Сайта.
• Веб-отметки. На определенных веб-страницах или электронных письмах Общество может использовать распространенную в Интернете технологию «веб-отметки» (также известную как «тэги» или «точная GIF-технология»). Веб-отметки помогают анализировать эффективность веб-сайтов, например, с помощью измерения числа посетителей сайта или количества «кликов», сделанных на ключевых позициях страницы сайта.

При этом веб-отметки, куки и другие мониторинговые технологии не дают возможность автоматически получать персональные данные. Если пользователь Сайта по своему усмотрению предоставляет свои персональные данные, например, при заполнении формы обратной связи или при отправке электронного письма, то только тогда запускаются процессы автоматического сбора подробной информации для удобства пользования вебсайтами и/или для совершенствования взаимодействия с пользователями.

• Общество вправе пользоваться предоставленными персональными данными в соответствии с заявленными целями их сбора при наличии согласия субъекта персональных данных, если такое согласие требуется в соответствии с требованиями законодательства Российской Федерации в области персональных данных.

Полученные персональные данные в обобщенном и обезличенном виде могут использоваться для лучшего понимания потребностей потребителей товаров и услуг, реализуемых Обществом и улучшения качества обслуживания.

• Общество может поручать обработку персональных данных третьим лицам исключительно с согласия субъекта персональных данных.
• Сайт содержит ссылки на иные веб-ресурсы, где может находиться полезная и интересная для пользователей Сайта информация. При этом действие настоящего Положения не распространяется на такие иные сайты. Пользователям, переходящим по ссылкам на другие сайты, рекомендуется ознакомиться с положениями об обработке персональных данных на таких сайтах.
• Пользователь Сайта может в любое время отозвать свое согласие на обработку персональных данных, направив электронное письмо по адресу электронной почты: info@clpride.com., либо направив письменное уведомление по адресу местонахождения Общества: 143082, Московская область, Одинцовский район, д. Жуковка, Территория «Жуковка-21», д. 52.

После получения такого уведомления обработка персональных данных пользователя будет прекращена, а его персональные данные будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством Российской Федерации.

8. ОБЯЗАННОСТИ КЛИЕНТА, КОНТРАГЕНТА И ОПЕРАТОРА

8.1. В целях обеспечения достоверности персональных данных, Клиент или Контрагент обязан:

8.1.1. При заключении договора предоставить Оператору полные и достоверные данные о себе;

8.1.2. В случае изменения сведений, составляющих персональные данные Клиента или Контрагента, незамедлительно, но не позднее пяти рабочих дней, предоставить данную информацию Оператору.

8.2. Оператор обязан:

8.2.1. Обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;

8.2.2. Предоставить возможность Клиенту, Контрагенту или их представителям ознакомиться с настоящим Положением и его правами в области защиты персональных данных;

8.2.3. Обеспечить хранение документации, содержащей персональные данные. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.

8.2.4. В случае реорганизации или ликвидации Оператора учет и сохранность документов, порядок передачи их на государственное хранение осуществлять в соответствии с правилами, предусмотренными учредительными документами и действующим законодательством Российской Федерации.

8.2.5. Вести журнал учета обращений субъектов персональных данных в части Федерального Закона №152-ФЗ.

8.2.6. Осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации.

8.2.7. По требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

8.3. Порядок уничтожения персональных данных.

Ответственным за уничтожение персональных данных является уполномоченное лицо, назначаемое приказом Генерального директора.

Уполномоченное лицо является председателем комиссии Общества по уничтожению персональных данных. Назначение комиссии по уничтожению персональных данных производится приказом директора.

9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ПОЛУЧЕНИЕ, ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством РФ.

10. УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫЕ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Определение типа угроз безопасности персональных данных, актуальных для информационной системы персональных данных, производится оператором информационной системы персональных данных в соответствии с пунктом 7 постановления Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1 Настоящее Положение вступает в силу с момента его утверждения его Генеральным директором Общества и действует до момента изменения законодательства в сфере защиты персональных данных или до момента утверждения Генеральным директором Обществом нового Положения.

11.2 Настоящее Положение доводится до сведения всех Работников Общества персонально под подпись.