1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящим Положением устанавливается порядок обработки персональных данных физических лиц, являющихся Заказчиками физкультурно-оздоровительных и спортивных услуг, оказываемых в фитнес клубе «POWERHOUSE GYM Сокол» (далее по тексту – Клиенты), которые заключают с ИП Вишняк Д.А. договоры на оказание физкультурнооздоровительных и спортивных услуг. В данных правоотношениях с Клиентами Фитнес клуб «POWERHOUSE GYM Сокол», в лице ИП Вишняк Дарьи Александровны, выступает в качестве оператора персональных данных. Настоящее Положение разработано в соответствие Федеральным законом от 27 июля 2006 года No 152-ФЗ «О персональных данных» и Федеральным законом от 27 июля 2006 года No 149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.2. Цель данного Положения – обеспечение требований защиты прав Клиентов при обработке их персональных данных Оператором.
1.3. Персональные данные не могут быть использованы Оператором или его сотрудниками в целях причинения имущественного и морального вреда Клиентам, затруднения реализации их прав и свобод.
1.4. Оператор обязан осуществлять обработку персональных данных только на законной и справедливой основе.
1.5. Полученные Оператором персональные данные Клиентов используются Оператором исключительно для исполнения Договоров на оказание физкультурно-оздоровительных и спортивных услуг (далее – Договор), заключенных с Клиентами.
1.6. Полученные Оператором персональные данные не распространяются, а также не предоставляются третьим лицам без согласия Клиентов.
1.7. Обработка персональных данных Клиентов должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с Клиентами целей. Обработке подлежат только те персональные данные Клиентов, и только в том объеме, которые отвечают целям их обработки, определенным в договоре с Клиентами или законодательством Российской Федерации.
1.8. Обрабатываемые персональные данные Клиентов подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
1.9. Настоящее Положение и изменения к нему утверждаются Руководителем Оператора. Все сотрудники Оператора, обрабатывающие каким-либо образом персональные данные Клиентов, должны быть ознакомлены с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками Оператора, имеющими доступ к персональным данным Клиентов.
1.10. Обработка персональных данных Клиентов осуществляется при условии получения их согласия. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Получение согласия Клиентов на обработку персональных данных осуществляется посредством регистрации Клиентов на официальном Сайте Исполнителя и/или через мобильное приложение.

2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА

2.1. Под Клиентами в интересах настоящего Положения понимаются: а) Физические лица (субъекты персональных данных), заключившие с Оператором Договоры на оказание физкультурно-оздоровительных и спортивных услуг (далее – Договор).
2.2. Под персональными данными Клиента понимается любая информация о субъекте персональных данных, необходимая Оператору в связи с исполнением им договорных обязательств перед Клиентом.
2.3. Состав персональных данных Клиента, обработка которых осуществляется Оператором, включает в себя в основном следующие документы и сведения: • Фамилия, имя, отчество • Год, месяц и число рождения • Пол • Паспортные данные • Адрес регистрации • Адрес электронной почты • Контактный телефон • фотографическое изображение • информация об истории использования Сервиса • продолжительность услуг и иная информация об услугах Сервиса; • информация об участии в акциях и опросах Оператора; • данные файлов «электронной почты»; • иные данные, переданные в рамках использования Сервиса. Оператор получает персональные данные Клиента только от субъекта персональных данных – Клиента.
2.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Законом, и осуществляется с согласия Клиента на обработку его персональных данных.

3. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Документы и сведения, перечисленные в разделе 2.3. Положения, и содержащие информацию о персональных данных Клиентов, являются конфиденциальными. Оператор обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.
3.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.3. Если Оператор с согласия Клиента поручает обработку персональных данных Клиента третьему лицу, то Оператор обязан на договорной основе обременить это третье лицо обязанностью соблюдения конфиденциальности персональных данных Клиента.

4. ПРАВА И ОБЯЗАННОСТИ КЛИЕНТА

4.1. Клиент обязан передавать Оператору достаточные, достоверные, документированные персональные данные, полный состав которых установлен в настоящем Положении.
4.2. Клиент должен в разумный срок сообщать Оператору об изменении своих персональных данных.
4.3. Клиент имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к Клиенту, а также на ознакомление с такими персональными данными.
4.4. Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Оператором; правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных; сроки обработки персональных данных, в том числе сроки их хранения; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование третьего лица или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по договору с Оператором; иные сведения, предусмотренные действующим законодательством.
4.5. Клиент вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав/
4.6. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Клиентам Оператора.
4.7. Доступ к своим персональным данным предоставляется Клиенту или его законному представителю Оператором при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4.8. Согласие на обработку персональных данных может быть отозвано Клиентом.
4.9. Если Клиент считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона «О персональных данных» или иным образом нарушает его права и свободы, Клиент вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5. ОБЯЗАННОСТИ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Оператор осуществляет обработку персональных данных Клиентов, указанных в п.1, раздела 2 настоящего Положения, если обработка персональных данных необходима для исполнения гражданско-правового договора, стороной которого является Клиент.
5.2. В случае привлечения третьих лиц к обработке персональных данных, Оператор должен на договорной основе обязать третье лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом «О персональных данных» и настоящим Положением.
5.3. В договоре Оператора с третьим лицом должны быть определены; • перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных Клиента; • цели обработки персональных данных Клиента; • обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке; • требования к защите обрабатываемых персональных данных в соответствии с Законом «О персональных данных»
5.4. Если Оператор поручает обработку персональных данных Клиента третьему лицу, то ответственность перед Клиентом за действия указанного лица несет непосредственно Оператор.

6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ КЛУБ POWERHOUSE GYM Сокол

6.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Использование и хранение персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
6.3. Защите подлежат следующие объекты персональные данные Клиентов, если только с них на законном основании не снят режим конфиденциальности: • документы, содержащие персональные данные Клиента; • бумажные носители, содержащие персональные данные Клиентов; • информация, содержащая персональные данные Клиентов, размещенная на электронных носителях.
6.4. Ответственность за организацию обработки персональных данных Клиентов возложена на Руководителя Оператора.
6.5. Доступ к персональным данным Клиента имеют сотрудники Оператора, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей, утверждаемого приказом Руководителя. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Руководителя, доступ к персональным данным Клиента может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным Клиента, и которым они необходимы в связи с исполнением трудовых обязанностей.
6.6. Работники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с настоящим Положением, а также законодательством Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных.
6.7. Процедура оформления доступа к персональным данным Клиента включает в себя: • Ознакомление сотрудника с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление. • Истребование с сотрудника (за исключением Руководителя) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки, подготовленного по установленной форме.
6.8. Сотрудник Оператора, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей: • Обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц, • В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов. • При уходе в отпуск, во время служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов лицу, на которое локальным актом Оператора (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию руководителя. • При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Руководителя.
6.9. Допуск к персональным данным Клиента других сотрудников Оператора, не имеющих надлежащим образом оформленного доступа, запрещается.
6.10. Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.
6.11. Защита доступа к электронным носителям, содержащим персональные данные •Контролем доступа в помещения информационной системы посторонних лиц. •Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным. •Разграничением прав доступа с использованием учетной записи. •Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных. •Учетом машинных носителей персональных данных. • Обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер, Контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.
6.12. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения руководителя подразделения.
6.13. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством РФ.
6.14. В случае отзыва Клиентом согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

7. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

7.1. Обработка персональных данных Клиента осуществляется Оператором исключительно для достижения целей, определенных письменными договорами между Клиентом и Оператором, в частности для оказания физкультурно-оздоровительных и спортивных услуг Клиенту.
7.2. Обработка персональных данных Оператором заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов.
7.3. Обработка персональных данных Клиентов ведется смешанным методом (в том числе автоматизированной) обработки.
7.4. К обработке персональных данных Клиента могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными Клиента.
7.5. Согласие на обработку персональных данных может быть отозвано Клиентом. В случае отзыва Клиентом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Клиента при наличии следующих оснований: 1) обработка персональных данных Клиента необходима для исполнения договора, стороной которого является Клиент. 2) обработка персональных данных Клиента необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы Клиента.
7.6. В случае отзыва Клиентом согласия на обработку его персональных данных, и если сохранение персональных данных более не требуется для целей обработки персональных данных, Оператор обязан прекратить их обработку и обеспечить прекращение такой обработки другим лицом, действующим по поручению Оператора, а также уничтожить персональные данные Клиента и обеспечить их уничтожение другим лицом, действующим по поручению Оператора/
7.7. Оператор уничтожает персональные данные Клиента, и обеспечивает их уничтожение другими лицами, действующими по поручению Оператора, в следующие сроки: • хранящиеся на электронных носителях в течение тридцати дней со дня окончания установленного законодательством претензионного срока обращения Клиента с жалобой на качество предоставленных ему услуг; • хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока исковой давности по договору КлиентОператор • хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока их хранения, установленного нормами законодательства РФ.

8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Передача персональных данных Клиента осуществляется Оператором исключительно для достижения целей, определенных письменными договорами между Клиентом – Оператором.
8.2. Передача персональных данных Клиента третьим лицам может осуществляться Оператором только на основании письменного согласия Клиента по Договору с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Клиента и безопасности персональных данных при их обработке.
8.3. Оператор не осуществляет трансграничную передачу персональных данных Клиента на территории иностранных государств.

9. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

9.1. Персональные данные Клиентов хранятся электронном виде: в локальной компьютерной сети Оператора, в электронных папках и файлах в ПК сотрудников Оператора, и допущенных к работе с персональными данными Клиентов.
9.2. После достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных Клиентов и уничтожить их персональные данные.
9.3. Обработка персональных данных, содержащихся на электронных носителях информации, прекращается, а сами персональные данные уничтожаются в течение тридцати дней со дня окончания установленного законодательством претензионного срока обращения Клиента с жалобой на качество предоставленных ему услуг.
9.4. Оператор обязан обеспечить исполнение требований. настоящего Положения всеми третьими лицами, которым Оператором передавались персональные данные Клиентов.

10. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ КЛИЕНТА

10.1. Перечень должностей Оператора, имеющих доступ к персональным данным Клиентов, определяется приказом Руководителя Оператора.
10.2. Доступ Клиента к своим персональным данным предоставляется при обращении либо при получении запроса Клиента. Оператор обязан в течение тридцати дней с даты получения запроса сообщить Клиенту информацию о наличии персональных данных о нем, и при необходимости предоставить возможность ознакомления с ними, либо в течение этого же срока дать мотивированный отказ в предоставлении информации.
10.3. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
10.4. При передаче персональных данных Клиента Оператор должен соблюдать следующие требования: • не сообщать персональные данные Клиента третьей стороне без письменного согласия Клиента, за исключением случаев, установленных федеральным законом; • предупредить лиц, получающих персональные данные Клиента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено; • разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.

11. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТА

11.1. Оператор несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Клиента. Оператор закрепляет персональную ответственность сотрудников за соблюдением, установленного в организации режима конфиденциальности.
11.2. Каждый сотрудник Оператора, получающий для работы документ, содержащий персональные данные Клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
11.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента, несут дисциплинарную, административную, гражданскоправовую или уголовную ответственность в соответствии с федеральными законами.
11.4. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Клиентов Оператор вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
11.5. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Клиентов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

12. ОБЕСПЕЧЕНИЕ НЕОГРАНИЧЕННОГО ДОСТУПА К НАСТОЯЩЕМУ ПОЛОЖЕНИЮ

12.1. Оператор во исполнение требований п.2. ст. 18.1. Федерального закона No 152-ФЗ от 27 июля 2006 года «О персональных данных» для обеспечения неограниченного доступа к сведениям о реализуемых Оператором мероприятиях по защите персональных данных, и к документам, определяющим политику Оператора в отношении обработки персональных данных, размещает текст настоящего Положения на своём общедоступном сайте в сети Интернет.