Политика в отношении обработки персональных данных. Общие положения

1. Настоящая Политика в отношении обработки персональных данных определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных.

В настоящей Политике используются следующие основные понятия:

• Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• Оператор – физическое лицо (индивидуальный предприниматель), самостоятельно организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Обработка персональных данных выполняется с использованием средств автоматизации или без использования таких средств. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
3. К субъектам персональных данных, персональные данные которых обрабатываются, в соответствии с настоящей Политикой относятся: клиенты.
4. Обработка персональных данных лиц, указанных в пункте 3 настоящей Политики осуществляется с согласия субъекта персональных данных на обработку его персональных данных; для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
II. Цели, условия и порядок обработки персональных данных и соответствующие им перечни обрабатываемых персональных данных
6. Персональные данные субъектов персональных данных, указанных в пункте 3 настоящей Политики, обрабатываются в следующих целях:
6.1. Персональные данные клиентов используются для оказания физкультурно-оздоровительных услуг; с целью подготовки, заключения и исполнения гражданско-правового договора.
6.1.1. Биометрические персональные данные клиентов используются в целях: обеспечения безопасности оператора, клиента и безопасности третьих лиц, профилактики инцидентов (краж, конфликтов), повышения дисциплины и разрешения спорных ситуаций на основе объективных данных; заключения и исполнения гражданско-правового договора.
7. В целях, указанных в пункте 6 настоящей Политики, обрабатываются следующие категории персональных данных субъектов персональных данных, указанных в пункте 3 настоящей Политики:

• фамилия, имя, отчество;
• год рождения;
• месяц рождения;
• дата рождения;
• место рождения;
• пол;
• адрес электронной почты;
• адрес регистрации;
• номер телефона;
• данные документа, удостоверяющего личность;
• Специальные категории персональных данных: сведения о состоянии здоровья;
• биометрические персональные данные, а именно: фото–, видеоизображение Клиента.

8. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение персональных данных, то есть любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных).
9. Согласие субъектов персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».
10. Обработка персональных данных субъектов персональных данных, указанных в пункте 3 настоящей Политики, осуществляется непосредственно Индивидуальным предпринимателем Антоновой Т.А.
11. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем:
1. получения оригиналов необходимых документов (анкета клиента) (далее — оригиналы документов);
2. копирования оригиналов документов;
3. внесения сведений в учетные формы (на бумажных и электронных носителях);
4. внесения персональных данных в информационные системы персональных данных, используемые в ИП Антонова Т.А.
12. Запрещается получать, обрабатывать и приобщать к личному делу субъектов персональных данных, указанных в пункте 3 настоящей Политики, персональные данные, не предусмотренные пунктом 7 настоящей Политики, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
III. Условия и порядок обработки персональных данных субъектов персональных данных в информационных системах
13. Обработка персональных данных в ИП Антонова Т.А. производится в следующих информационных системах: [НАПИСАТЬ ПРОГРАММУ].
14. Доступ к информационной системе, указанной в п. 13 в ИП Антонова Т.А. реализован посредством установки уникального логина и пароля для доступа к соответствующей информационной системе.
15. Информация вносится в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
16. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.
Для обеспечения безопасности персональных данных принимаются следующие меры:

• а) управление доступом;
• б) регистрация и учет;
• в) обеспечение целостности;
• а также — анализ защищенности;
• разграничение прав доступа к материальным носителям персональных данных;
• охрана помещения;
• разработаны документы, определяющие политику в отношении обработки персональных данных и локальные акты по вопросам обработки персональных данных;
• назначены ответственные за обработку персональных данных;
• назначен ответственный за организацию обработки персональных данных;
• осуществляется внутренний контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

Средства обеспечения безопасности: пароли, антивирусное программное обеспечение, охранная и пожарная сигнализация.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ: Определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ; обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях; при хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
17. Доступ ИП Антонова Т.А. к персональным данным, находящимся в информационных системах персональных данных, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
18. Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и применения программных и технических средств в соответствии со статьей 19 Федерального закона «О персональных данных».
19. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных, на основании Регламента действия на случай утечки персональных данных № 4 от 01.04.2025г. принимаются меры по установлению причин нарушений и их устранению с момента обнаружения таких нарушений.
IV. Сроки обработки и хранения персональных данных. Порядок уничтожения персональных данных
20. Хранение персональных данных осуществляется в соответствии с Положением об обработке и защите персональных данных 15.06.2025г.
21. Персональные данные хранятся в течение срока, установленного законодательством РФ. В отсутствие установленного законом или договором срока хранения персональных данных, их хранение должно осуществляться в течение периода, необходимого для достижения цели обработки этих данных. По истечении указанного периода персональные данные подлежат уничтожению, либо обезличиванию.
22. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
23. Персональные данные подлежат уничтожению в следующих случаях:

• при достижении целей обработки персональных данных либо в случае утраты необходимости достижения этих целей — в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных федеральными законами;
• при предъявлении Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, — в срок, не превышающий семи рабочих дней со дня представления таких сведений;
• в случае выявления неправомерной обработки персональных данных, если невозможно обеспечить правомерность такой обработки, — в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки;
• в случае отзыва Субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей их обработки, — в срок, не превышающий тридцати дней с даты поступления отзыва. Это возможно при условии, что иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных, либо в случае, если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных федеральными законами.

24. Оператором осуществляется систематический контроль и выявление документов, содержащих персональные данные с истекшими сроками хранения.
25. Вопрос об уничтожении документов, содержащих персональные данные с истекшими сроками хранения, рассматривается на заседании комиссии, созданной Оператором, состав которой утверждается приказом ИП Антонова Т.А.
26. По итогам заседания составляются Акт об уничтожении персональных данных и Выгрузка из журнала регистрации событий в информационной системе персональных данных.
27. Уничтожение персональных данных по окончании срока их обработки на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.
V. Рассмотрение запросов субъектов персональных данных или их представителей
29. Лица, указанные в пункте 3 настоящей Политики, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1. подтверждение факта обработки персональных данных;
2. правовые основания и цели обработки персональных данных;
3. цели и применяемые Оператором способы обработки персональных данных;
4. наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором;
5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6. сроки обработки персональных данных, в том числе сроки их хранения;
7. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10. информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»;
11. иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
30. Лица, указанные в пункте 3 настоящей Политики, вправе требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
31. Сведения, указанные в пункте 29 настоящей Политики, должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
32. Сведения, указанные в пункте 29 настоящей Политики, предоставляются субъекту персональных данных или его представителю Оператором, в течение десяти рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя.
33. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
VI. Список нормативно-правовых актов

1. Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
2. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
3. Федеральный закон от 21.07.2014 N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" (начало действия редакции — 01.09.2015)
4. Федеральный закон от 07.05.2013 N 99-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных"