Положение об обработке и защите персональных данных
Положение об обработке и защите персональных данных
Настоящее Положение об обработке и защите персональных данных (далее — Положение) является локальным нормативным актом и регламентирует порядок обработки персональных данных Клиентов Индивидуального предпринимателя Антоновой Т.А. (далее — Оператор), включая порядок сбора, учета, хранения, накопления, использования, передачи (распространения), блокирования и уничтожения персональных данных, меры по их защите и иные вопросы, в том числе гарантии конфиденциальности сведений о Клиенте, предоставленных Оператору, связанные с обработкой персональных данных Клиентов (далее — Клиенты или Субъекты персональных данных) и иных субъектов персональных данных (далее – Субъекты персональных данных), указанных в Положении.
1. Общие положения
1.1. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 30.12.2020 № 519-ФЗ и другими нормативно-правовыми актами, а также принятой "01" апреля 2025 г. Оператором Политикой обработки персональных данных №3 в целях обеспечения защиты прав и свобод Субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. В Положении используются термины и определения в соответствии с их значениями, закрепленными в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных". В целях настоящего Положения под персональными данными понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных.
1.3. Положение обязательно для соблюдения всеми работниками Оператора.
1.4. Обработка персональных данных Субъектов персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности Клиента, в целях заключения и исполнения гражданско-правовых договоров, оказания физкультурно-оздоровительных услуг.
1.5. К Субъектам персональных данных, на которых распространяется действие настоящего Положения, относятся: Клиенты.
1.6. Состав персональных данных по категориям Субъектов персональных данных
1.6.1. К персональным данным Клиентов относятся:
  • фамилия, имя, отчество;
  • год рождения;
  • месяц рождения;
  • дата рождения;
  • место рождения;
  • пол;
  • адрес электронной почты;
  • адрес регистрации;
  • номер телефона;
  • данные документа, удостоверяющего личность;
  • Специальные категории персональных данных: сведения о состоянии здоровья;
  • биометрические персональные данные, а именно: фото–, видеоизображение Клиента.
1.6.2. К документам, содержащим персональные данные и обрабатываемым Оператором кроме заключенного гражданско-правового договора на оказание физкультурно-оздоровительных услуг:
  • анкета, заполняемая Клиентом;
  • комплекты документов, сопровождающих процесс оформления гражданско-правового договора;
  • копия документа, удостоверяющего личность.
2. Обработка персональных данных
2.1. Принципы и условия обработки персональных данных
2.1.1. Обработка персональных данных должна осуществляться с соблюдением следующих принципов:
  • персональные данные должны обрабатываться на законной и справедливой основе;
  • обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей, которым должны соответствовать содержание и объем обрабатываемых персональных данных. Обрабатывать можно только персональные данные, которые отвечают целям обработки;
  • при обработке должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры по удалению или уточнению неполных или неточных данных либо обеспечивать принятие таких мер;
  • хранить персональные данные нужно в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных. Обрабатываемые персональные данные нужно уничтожить или обезличить по достижении целей обработки или если утрачена необходимость в достижении этих целей, при условии, что иное не предусмотрено федеральным законом.
Не допускается:
  • обработка персональных данных, несовместимая с целями сбора персональных данных;
  • объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
2.1.2. Все персональные данные Клиента следует получать у него самого. Оператор должен сообщить Клиенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Клиента дать письменное согласие на их получение.
2.1.3. Клиент в случае изменения его персональных данных, подлежащих обработке Оператором, обязан известить его о таких изменениях в течение семи дней с момента изменений.
2.1.4. Оператор не имеет права:
  • получать и обрабатывать сведения о Клиенте, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных законом;
  • получать и обрабатывать персональные данные Клиента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законом;
  • при принятии решений, затрагивающих интересы Клиента, основываться на персональных данных Клиента, полученных исключительно в результате их автоматизированной обработки или электронного получения.
2.1.5. Персональные данные обрабатываются с использованием средств автоматизации и без использования средств автоматизации.
2.1.6. Персональные данные Субъектов персональных данных размещаются Оператором в следующих информационных системах:
  • информационная система персональных данных Работников Оператора – программа для в ЭВМ «Контур.Эльба» [НАПИСАТЬ СВОЮ ПРОГРАММУ].
2.1.7. Ответственным за организацию обработки персональных данных является Индивидуальный предприниматель Антонова Т.А.
2.1.8. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
  • осуществлять внутренний контроль за соблюдением Оператором законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
  • доводить до сведения Клиента Оператора положения законодательства РФ о персональных данных, Политики обработки персональных данных №3, принятой "01" апреля 2025 г. Оператором, настоящего Положения и иных локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, отслеживать изменения в них;
  • организовывать прием и обработку обращений и запросов Субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
2.1.9. Получение Оператором согласия на обработку персональных данных не требуется в следующих случаях:
  • при передаче персональных данных Клиента третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Клиента, а также в других случаях, предусмотренных законодательством РФ.
2.1.10. Форма согласия Клиента на обработку персональных данных установлена в Приложении № 1 к Положению ("Форма согласия клиента на обработку персональных данных"). Форма согласия Клиента на обработку биометрических персональных данных установлена в Приложении №2 к Положению.
2.2. Хранение персональных данных
2.2.1. Хранение персональных данных, обрабатываемых без использования средств автоматизации
2.2.1.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
2.2.1.2. Персональные данные, обрабатываемые без использования средств автоматизации, хранятся на следующих материальных носителях:
  • бумажные носители;
  • машинные носители, а именно: жесткие диски, флеш-накопители, персональный компьютер.
2.2.1.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
В целях обработки различных категорий персональных данных для каждой категории должен использоваться отдельный материальный носитель.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться следующие условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним:
  • установка сейфов с замками для хранения материальных носителей с персональными данными;
  • установка замков на двери и решеток на окна в помещениях для хранения материальных носителей с персональными данными;
  • допуск в помещения для хранения материальных носителей с персональными данными только лиц, входящих в перечень лиц, имеющих доступ к персональным данным в целях выполнения ими их трудовых (служебных) обязанностей.
2.2.1.4. Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
2.2.2. Персональные данные хранятся в течение срока, установленного законодательством РФ. В отсутствие установленного законом или договором срока хранения персональных данных, их хранение должно осуществляться в течение периода, необходимого для достижения цели обработки этих данных. По истечении указанного периода персональные данные подлежат уничтожению, либо обезличиванию.
2.2.3. Условия хранения персональных данных в информационной системе и меры по их защите устанавливаются Оператором в разделе Положения "Защита персональных данных".
2.3. Передача персональных данных
2.3.1. При передаче персональных данных Клиента Оператор должен соблюдать следующие требования:
  • не сообщать персональные данные Клиента третьей стороне без письменного согласия Клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Клиента, а также в других случаях, предусмотренных законом;
  • не сообщать персональные данные Клиента в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные Клиента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Клиента, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными Клиента в порядке, установленном федеральными законами;
  • осуществлять передачу персональных данных Клиента в пределах одной организации в соответствии с Положением, с которым Клиент должен быть ознакомлен под роспись;
  • разрешать доступ к персональным данным Клиента только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиента, которые необходимы для выполнения конкретных функций;
  • передавать персональные данные Клиента его представителям в порядке, установленном законом, и ограничивать эту информацию только теми персональными данными Клиента, которые необходимы для выполнения указанными представителями их функций.
2.3.2. Не требуется согласие Клиента на передачу персональных данных:
  • третьим лицам в целях предупреждения угрозы жизни и здоровью Клиента;
  • по мотивированному запросу органов прокуратуры, правоохранительных органов и органов безопасности;
  • по запросу суда;
  • в иных случаях, предусмотренных законодательством РФ.
2.3.3. Оператор осуществляет передачу персональных данных Клиента своим контрагентам с письменного согласия Клиента, форма которого установлена в Приложении № 3 к Положению ("Форма согласия Клиента на передачу его персональных данных третьему лицу").
2.3.4. Оператор не осуществляет трансграничную передачу персональных данных.
2.3.5. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (за исключением случаев, указанных в ч. 8 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"), в том числе содержащей:
  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных и применяемые Оператором способы их обработки;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";
  • информацию о способах исполнения Оператором обязанностей, установленных ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";
  • иные сведения, предусмотренные федеральными законами.
Такие сведения должны быть предоставлены Субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Указанные сведения предоставляются Субъекту персональных данных или его представителю Оператором в течение 10 рабочих дней с момента обращения либо получения Оператором запроса Субъекта персональных данных или его представителя. Указанный срок можно продлить, но не более чем на 5 рабочих дней, если Оператор направит в адрес Субъекта персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
2.3.6. Лица, имеющие доступ к персональным данным
2.3.6.1. Перечень лиц, имеющих доступ к персональным данным, обрабатываемым Оператором, в том числе в информационной системе, в целях выполнения ими служебных (трудовых) обязанностей утверждается приказом Оператора.
2.3.6.2. Лица, имеющие доступ к персональным данным, обрабатываемым Оператором, в том числе в информационной системе, в целях выполнения ими их трудовых обязанностей, обязаны:
  • не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.4. Использование персональных данных Субъектов
2.4.1. Персональные данные субъектов персональных данных, указанных в пункте 3 настоящей Политики, обрабатываются в следующих целях: Персональные данные клиентов используются для оказания физкультурно-оздоровительных услуг; с целью подготовки, заключения и исполнения гражданско-правового договора.
2.4.2. Биометрические персональные данные клиентов используются в целях: обеспечения безопасности оператора, клиента и безопасности третьих лиц, профилактики инцидентов (краж, конфликтов), повышения дисциплины и разрешения спорных ситуаций на основе объективных данных; заключения и исполнения гражданско-правового договора.
2.4.3. При принятии решений, затрагивающих интересы Субъекта персональных данных, Оператор не имеет права основываться на персональных данных Субъекта, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Оператор также не вправе принимать решения, затрагивающие интересы Субъекта, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных Субъекта невозможно достоверно установить какой-либо факт, Оператор предлагает Субъекту представить письменные разъяснения.
2.5. Блокирование и уничтожение персональных данных
2.5.1. Блокирование персональных данных
2.5.1.1. Оператор должен осуществить блокирование персональных данных в следующих случаях и в следующие сроки:
  • в случае выявления неправомерной обработки персональных данных при обращении Субъекта персональных данных или его представителя либо по запросу Субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных — с момента такого обращения или получения указанного запроса на период проверки;
  • в случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных — с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц;
  • в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в ч. 3 - ч. 5.1 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" — до момента уничтожения.
2.5.1.2. Блокирование персональных данных осуществляется в следующем порядке: В случае блокирования персональных данных, Оператор обязан незамедлительно уведомить об этом Субъекта персональных данных, указав основания блокирования. С момента блокирования Оператор прекращает обработку соответствующих персональных данных, за исключением действий, необходимых для целей уточнения. Блокированные персональные данные подлежат хранению в течение срока, установленного законодательством Российской Федерации или соглашением между Оператором и Субъектом. После завершения процедуры уточнения, персональные данные подлежат разблокированию, и их обработка может быть возобновлена. В случае, если уточнение не позволяет восстановить достоверность персональных данных, Оператор обязан осуществить их удаление.
2.5.1.3. Оператор должен также прекратить обработку персональных данных в следующих случаях:
  • если выявлена неправомерная обработка персональных данных, осуществляемая Оператором, — в срок, не превышающий трех рабочих дней с даты этого выявления;
  • достигнута цель обработки персональных данных;
  • устранены причины, вследствие которых осуществлялась обработка специальных категорий персональных данных в случаях, предусмотренных ч. 2 и ч. 3 ст. 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", при условии что иное не установлено федеральным законом;
  • Субъект персональных данных отозвал согласие на обработку его персональных данных;
  • Субъект персональных данных обратился к Оператору с требованием о прекращении обработки - в срок не более десяти рабочих дней с даты получения соответствующего требования. Этот срок может быть продлен, но не более чем на пять рабочих дней, если Оператор направит Субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
2.5.2. Уничтожение персональных данных
2.5.2.1. Оператор должен уничтожить персональные данные, в частности, в следующих случаях и в следующие сроки:
  • при достижении целей обработки персональных данных либо в случае утраты необходимости достижения этих целей — в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных федеральными законами;
  • при предъявлении Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, — в срок, не превышающий семи рабочих дней со дня представления таких сведений;
  • в случае выявления неправомерной обработки персональных данных, если невозможно обеспечить правомерность такой обработки, — в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки;
  • в случае отзыва Субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей их обработки, — в срок, не превышающий тридцати дней с даты поступления отзыва. Это возможно при условии, что иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных, либо в случае, если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных федеральными законами.
2.5.2.2. Уничтожение осуществляется в следующем порядке: Процедура уничтожения персональных данных предполагает последовательное выполнение следующих действий: определение подлежащих уничтожению персональных данных и носителей информации, а также выбор подходящего метода уничтожения, соответствующего характеру данных и носителей. При необходимости, для удостоверения факта уничтожения формируется комиссия из уполномоченных представителей организации. Затем осуществляется непосредственное уничтожение данных и/или носителей информации выбранным методом. Факт уничтожения документально фиксируется в Акте об уничтожении персональных данных, а при уничтожении персональных данных, обрабатываемых с помощью средств автоматизации – Акт об уничтожении персональных данных и Выгрузка из журнала регистрации событий в информационной системе персональных данных, содержащие дату, способ уничтожения и перечень уничтоженных данных/носителей, который удостоверяется подписями членов комиссии (при ее наличии). Если уничтожение обусловлено договорными или законодательными требованиями, уведомляются соответствующие заинтересованные лица.
2.5.2.3. При обработке персональных данных без использования средств автоматизации документом, подтверждающим уничтожение персональных данных, является Акт об уничтожении персональных данных.
При обработке персональных данных с использованием средств автоматизации документами, подтверждающими уничтожение персональных данных, являются Акт об уничтожении персональных данных и Выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - Выгрузка из журнала).
При обработке персональных данных одновременно с использованием средств автоматизации и без использования средств автоматизации документами, подтверждающими уничтожение персональных данных, являются Акт об уничтожении персональных данных и Выгрузка из журнала.
2.5.2.4. Акт об уничтожении персональных данных и Выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
2.5.2.5. Акт об уничтожении персональных данных должен содержать:
  • наименование и адрес Оператора;
  • фамилию, имя, отчество (при наличии) Субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
  • фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные Субъекта персональных данных, а также их (его) подпись;
  • перечень категорий уничтоженных персональных данных Субъекта персональных данных;
  • наименование уничтоженных материальных носителей, содержащих персональные данные Субъекта персональных данных, с указанием количества листов в отношении каждого материального носителя в случае обработки персональных данных без использования средств автоматизации;
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные Субъекта персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
  • способ уничтожения персональных данных;
  • причину уничтожения персональных данных;
  • дату уничтожения персональных данных Субъекта персональных данных.
2.5.2.6. Выгрузка из журнала должна содержать:
  • фамилию, имя, отчество (при наличии) Субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
  • перечень категорий уничтоженных персональных данных Субъекта персональных данных;
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные Субъекта персональных данных;
  • причину уничтожения персональных данных;
  • дату уничтожения персональных данных.
В случае если Выгрузка из журнала не позволяет указать отдельные необходимые сведения, они вносятся в Акт об уничтожении персональных данных.
2.6. Уничтожение персональных данных по окончании срока их обработки на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.
3. Защита персональных данных
3.1. Оператор за счет своих средств обеспечивает защиту персональных данных Клиента от их неправомерного использования или утраты.
3.2. При обработке персональных данных для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий Оператор обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие, а именно:
  • определять угрозы безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационная система);
  • применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
  • применять средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
  • применять для уничтожения персональных данных средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия, в составе которых реализована функция уничтожения информации;
  • проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
  • вести учет машинных носителей персональных данных;
  • обеспечивать обнаружение фактов несанкционированного доступа к персональным данным и принимать меры, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них;
  • обеспечивать восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установить правила доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечить регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе;
  • осуществлять контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем.
3.3. Для обеспечения четвертого уровня защищенности персональных данных при их обработке в информационных системах установлены следующие меры:
  • В помещения, в которых размещена информационная система персональных данных, доступ ограничен следующим образом: установлены замки; ограничен круг лиц, имеющих доступ в помещение;
  • Машинные носители персональных данных хранятся в условиях, исключающих возможность хищения, изменения целостности или уничтожения содержащейся на них информации.
  • Оператор применяет следующие средства защиты персональных данных: защищенность информационных систем персональных данных, ограничен доступ посторонних лиц в помещения, предназначенные для обработки персональных данных.
  • Контроль за выполнением Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства РФ от 01.11.2012 N 1119, проводится в следующие сроки: не реже 1 раза в 3 года. Сроки проведения контроля определяет Оператор. Контроль за соблюдением этих требований организуется и проводится оператором персональных данных (или уполномоченным им лицом). Контроль может быть организован как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на техническую защиту конфиденциальной информации.
  • В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных, Оператор обязан с момента выявления такого инцидента им или Роскомнадзором или иным заинтересованным лицом уведомить Роскомнадзор в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов персональных данных, и предполагаемом вреде, нанесенном правам Субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.
  • По факту неправомерной или случайной передачи персональных данных, повлекшей нарушение прав Субъектов персональных данных, Оператор должен провести внутреннее расследование и уведомить Роскомнадзор в течение 72 часов с момента установления указанного факта о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
  • Оператор обязан в Порядке, утвержденном Приказом ФСБ России от 13.02.2023 N 77, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
3.4. В целях обеспечения защиты персональных данных, хранящихся у Оператора, Клиенты имеют право:
  • на полную информацию об их персональных данных и обработке этих данных;
  • на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Клиента, за исключением случаев, предусмотренных федеральным законом;
  • определять своих представителей для защиты своих персональных данных;
  • на доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
  • требовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением требований закона. При отказе Работодателя исключить или исправить персональные данные Клиента последний имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера Клиент имеет право дополнить заявлением, выражающим его собственную точку зрения;
  • обжаловать в суде любые неправомерные действия или бездействие Работодателя при обработке и защите персональных данных.
3.5. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных Клиента, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
4. Гарантии конфиденциальности персональных данных
4.1. Информация, относящаяся к персональным данным Клиента охраняется законом.
4.2. Клиент вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
4.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
5. Заключительные положения
5.1. Положение вступает в силу с "15" июня 2025 г. и применяется к отношениям, возникшим после введения его в действие. В отношениях, возникших до введения его в действие, Положение применяется к правам и обязанностям, возникшим после введения его в действие.
5.2. Положение либо отдельные его нормы прекращают свое действие по следующим причинам:
  • отмена (признание утратившими силу) Положения либо отдельных его норм другим локальным нормативным актом;
  • вступление в силу закона или иного нормативного правового акта (если указанные акты устанавливают более высокий уровень гарантий Клиентам по сравнению с установленным Положением).
5.3. При заключении гражданско-правового договора на оказание физкультурно-оздоровительных услуг (до подписания договора) Оператор обязан ознакомить Клиента под подпись с Положением.
5.4. Перечень приложений к Положению:
5.4.1. Приложение № 1. Форма согласия Клиента на обработку персональных данных
5.4.2. Приложение №2. Форма согласия на обработку биометрических персональных данных.
5.4.3. Приложение № 3. Форма согласия Клиента на передачу его персональных данных третьему лицу.
Made on
Tilda