Политика обработки персональных данных

Политика обработки персональных данных в фитнес-центре «Powerhouse Gym»

1. Общие положения

1.1.  Политика обработки персональных данных (далее – «Политика») в Фитнес центре «Powerhouse Gym» (далее – «Фитнес центр», «Клуб») разработана в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ-152), и подзаконными актами Российской Федерации, регулирующими отношения, связанные с обработкой персональных данных, в том числе цели и порядок работы с ними, а также обеспечение безопасности и конфиденциальности персональных данных.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и обеспечения защиты прав и свобод потребителя услуг  при обработке его персональных данных в Клубе, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Политика устанавливает:

• Цели  и принципы обработки персональных данных
• Классификацию персональных данных и субъектов персональных данных
• Участников процесса обработки персональных данных
• Система управления процессом обработки персональных данных
• Порядок обеспечения защиты персональных данных

1.4. Положения настоящей Политики являются основанием для организации работы по обработке персональных данных в Фитнес центре, в том числе для разработки внутренних нормативных  документов, регламентирующих процесс обработки персональных данных в Клубе.

1.5. Положения настоящей Политики обязательны для исполнения всеми работниками Клуба, имеющими доступ к персональным данным.

1.6. Настоящая Политика размещается общедоступным способом – на сайте Фитнес центра Powerhouse Gym (www.powerhousegym.ru).

Основные понятия:

 

— Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

— Блокирование персональных данных — временное прекращение  обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

— Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

— Потребители услуг Фитнес центра (Клиенты) — физические лица, пользующиеся услугами Фитнес центра;

—  Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

— Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

— Подрядчик  — физическое лицо, выполняющее работу (оказывающее услуги) для Фитнес центра на основании гражданско-правового договора;

— Персональные данные  — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

— Предоставление персональных данных  — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

— Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление  с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

— Сотрудник (Работник) Фитнес центра – физическое лицо, работающее в Фитнес центре на основании трудового договора;

— Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или)в результате которых уничтожаются материальные носители персональных данных.

 

 

2. Цели и принципы обработки персональных данных

 

 

1. Фитнес центр обрабатывает персональные данные в следующих целях:

 

• Заключение с субъектом персональных данных договоров на оказание фитнес услуг и сопутствующих услуг, в соответствии с видами деятельности Клуба, и дальнейшее их исполнение;
• Проведение Клубом акций, розыгрышей, исследований, опросов и т.д.;
• Формирование статистической отчетности;
• Предоставления Субъекту персональных данных информации об оказываемых Фитнес центром услугах, о новых продуктах и услугах;
• Ведение кадровой работы и организации учета сотрудников Фитнес центра;
• Привлечение и отбор кандидатов на работу в Фитнес центр;
• Осуществление Клубом коммерческой и административно-хозяйственной деятельности;

 

1. Принципы обработки персональных данных:

• Законность и справедливость;
• Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
• Недопущение обработки персональных данных с целью, несовместимой с целями сбора персональных данных;
• Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• Обработка только тех персональных данных, которые отвечают целям их обработки;
• Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;
• Обеспечение точности, актуальности и достаточности персональных данных по отношению к целям обработки персональных данных;
• Уничтожение или обезличивание персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

 

3. Классификация персональных данных и Субъектов персональных данных

 

1. К персональным данным относится любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных), обрабатываемая Фитнес центром для достижения заранее определенных целей.
2. Фитнес центр осуществляет обработку персональных данных следующих категорий субъектов персональных данных:

• Физические лица, являющиеся кандидатами в работники Клуба;
• Физические лица, являющиеся сотрудниками Клуба и их близких родственников;
• Физические лица, осуществляющие выполнение работ по оказанию услуг и заключившие с Фитнес центром гражданско-правовой договор;
• Физические лица – потребители услуг Фитнес центра;
• Физические лица, персональные данные которых сделаны ими общедоступными, и их обработка не нарушает их прав и соответствует требованиям, установленным законодательством о персональных данных;
• Иные физические лица, выразившие согласие на обработку Фитнес центром их персональных данных.

 

4. Участники процесса обработки персональных данных.

 

4.1. Участниками обработки персональных данных являются:

1.  Исполнительный директор (Управляющий) фитнес центра;

• Определяет, рассматривает и утверждает политику Фитнес центра в отношении обработки персональных данных;
• Назначает лиц, ответственных за организацию обработки персональных данных;
• Осуществляет управление процессом обработки персональных данных;
• Организуют, контролируют разработку политики обработки персональных данных (совершаемых с использованием средств автоматизации или без использования таких средств, в том числе на бумажных носителях) в соответствии с требованиями законодательства РФ о персональных данных;
• Осуществляет анализ, оценку и прогноз рисков, связанных с обработкой персональных данных;

 

4.2.1. Отдел кадров:

• Осуществляет сбор, обработку, хранение и систематизацию персональных данных сотрудников фитнес центра с помощью средств автоматизации и без таковых; Формирует базу персональных данных сотрудников.
• Уточняет персональные данные сотрудников, вносит соответствующие изменения в базу персональных данных сотрудников Клуба;
• Осуществляет уничтожение персональных данных сотрудников;
• Принимает меры по обеспечению сохранности персональных данных сотрудников;
• Разрабатывает и утверждает локальные нормативные акты, касающиеся обработки персональных данных сотрудников Клуба;

 

1. Отдел продаж:

• Осуществляет сбор, обработку, хранение и систематизацию персональных данных потребителей услуг Фитнес центра с помощью средств автоматизации и без таковых; Участвует в формировании базы персональных данных Клиентов.
•  Уточняет персональные данные Клиентов, вносит соответствующие изменения в клиентскую базу персональных данных;
• Осуществляет уничтожение персональных данных Клиентов;
• Принимает меры по обеспечению сохранности персональных данных Клиентов;

 

1. IT отдел:

• Осуществляет обработку, хранение и систематизацию персональных данных потребителей услуг Фитнес центра с помощью средств автоматизации;
• Осуществляет уничтожение персональных данных Клиентов;
• Принимает меры по обеспечению сохранности персональных данных Клиентов;
• Разрабатывает и  внедряет автоматизированные технологии, направленные на эффективность и безопасность работы Клуба с персональными данными.

 

1. Отдел ресепшен:

• Осуществляет сбор, обработку, хранение и систематизацию персональных данных потребителей услуг Фитнес центра с помощью средств автоматизации и без таковых; Участвует в формировании базы персональных данных Клиентов.
•  Уточняет персональные данные Клиентов, вносит соответствующие изменения в клиентскую базу персональных данных;
• Осуществляет уничтожение персональных данных Клиентов;
• Принимает меры по обеспечению сохранности персональных данных Клиентов;

 

 

4.4 Юрисконсульт:

• Осуществляет сбор, обработку, хранение и систематизацию персональных данных сотрудников фитнес центра с помощью средств автоматизации и без таковых; Формирует базу персональных данных сотрудников;
• Уточняет персональные данные сотрудников, вносит соответствующие изменения в базу персональных данных сотрудников Клуба;
• Осуществляет уничтожение персональных данных сотрудников;
• Принимает меры по обеспечению сохранности персональных данных сотрудников;
• Осуществляет мониторинг законодательства и доводит до сведений подразделений информацию об изменениях правовых актов в отношении обработки персональных данных;
• Дает разъяснения по правовым вопросам, касающихся обработки персональных данных;
• Обеспечивает правовую защиту интересов Фитнес центра в сфере обработки персональных данных;

5. Система управления процессом обработки персональных данных.

 

 

5.1. Обработка персональных данных субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных законодательством РФ о персональных данных.

5.2. Фитнес центр осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

5.3. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Фитнес центра, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.

5.4. Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором или согласием субъекта персональных данных на обработку его персональных данных. При отзыве субъектом персональных данных согласия на обработку его персональных данных, обработка осуществляется только в пределах, необходимых для исполнения заключенных с ним договоров и в целях, предусмотренных законодательством РФ.

5.5. Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.

5.6. Фитнес центр обеспечивает конфиденциальность персональных данных субъекта персональных данных со своей стороны, со стороны своих аффилированных лиц, со стороны своих работников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с субъектом персональных данных.

5.7. Обеспечение безопасности обрабатываемых персональных данных осуществляется Фитнес центром в рамках единой системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну, с учетом требований законодательства о персональных данных, и принятых в соответствии с ним локальных нормативных актов.

 

6. Порядок обеспечения защиты персональных данных

 

6.1. Под угрозой или опасностью утраты персональных данныхпонимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

6.2. Риск угрозы информационным ресурсам создают экстремальные ситуации, террористические действия, аварии технических средства и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

6.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности организации.

6.4. Защита персональных данных субъектов от неправомерного их использования или утраты должна быть обеспечена Фитнес центром за счет его средств и в порядке, установленном федеральным законом.

6.5. Для обеспечения защиты персональных данных необходимо принимать следующие меры:

• Назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
• Ограничение состава лиц, допущенных к обработке персональных данных;
• Ознакомление сотрудников и подрядчиков Фитнес центра с требованиями федерального законодательства и нормативных документов Фитнес центра по обработке и защите персональных данных;
• Организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
• Определение угроз безопасности персональных данных при их обработке. Формирование на их основе моделей угроз;
• Разработка системы защиты персональных данных;
• Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
• Проверка готовности и эффективности использования средств защиты информации;
• Разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
• Регистрация и учет действий пользователей информационных систем персональных данных;

 

 

7. Заключительные положения

 

7.1. Клуб, а также его работники, должностные лица и подрядчики несут дисциплинарную, гражданско-правовую, административную и иную ответственность за соблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством РФ.

7.2. Настоящая политика обработки персональных данных является общедоступной и подлежит размещению на официальном сайте Клуба или иным образом, обеспечивая неограниченный доступ к настоящему документу.