Об обработке и защите персональных данных клиентов фитнес клуба FreshFit

ПОЛОЖЕНИЕ

Об обработке и защите персональных данных клиентов фитнес клуба FreshFit

Челябинск 2017

Общее положение

1.1.Настоящее Положение разработано в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативно-методическими документами уполномоченных органов государственной власти по вопросам безопасности ПДн, в том числе при их обработке в информационных системах персональных данных (далее – ИСПДн) ООО «Финес клуб «ФрешФит» (далее – Оператор).

1.2.Основными нормативно-правовыми и методическими документами, на которых базируется настоящее Положение, являются:

- Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»).

- Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.3.Для осуществления мероприятий по обеспечению и контролю безопасности персональных данных, обработки обращений субъектов ПДн и взаимодействия с уполномоченным органом по защите прав субъектов ПДн приказом руководителя Оператора назначается работник, ответственный за организацию обработки персональных данных и работник, ответственный за обеспечение безопасности ПДн при их обработке в ИСПДн Оператора.

Назначение и область действия

2.1.Настоящее Положение предназначено для организации Оператором процессов обработки и обеспечения безопасности ПДн согласно требованиям действующего законодательства РФ.

2.2Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передаче), обезличиванию, блокированию, уничтожению ПДн, осуществляемые с использованием средств автоматизации и без их использования.

2.3.Положение обязательно для ознакомления и исполнения всеми работниками Оператора.

Принципы и условия обработки ПДн

Принципы обработки ПДн

Обработка ПДн осуществляется на основе следующих принципов:

- обработка ПДн осуществляется на законной и справедливой основе;

- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;

- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки, обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;

- при обработке ПДн обеспечивается точность ПДн и их достаточность, а также актуальность ПДн по отношению к заявленным целям их обработки;

- обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей;

- обработка ПДн осуществляется с согласия субъекта ПДн или его законного представителя.

3.2.Условия обработки ПДн

Обработка персональных данных может осуществляться Оператором только с согласия субъектов персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации, в частности:

- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

- обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

3.3.В следующих случаях требуется письменное согласие субъекта на обработку его ПДн:

- включение ПДн субъекта в общедоступные источники ПДн;

- обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

- обработка биометрических ПДн (сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность);

- трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн ^];

- принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

3.4.В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает в письменной форме законный представитель субъекта ПДн.

3.5.Формы письменного согласия субъекта на обработку его ПДн для различных категорий субъектов, персональные данные которых обрабатываются Оператором, и различных целей обработки таких данных, приведены в приложении 1

3.6.Операторами и третьими лицами, получающими доступ к ПДн, должна обеспечиваться конфиденциальность таких данных.

4. Требования к обработке ПДн

4.1.В соответствии с требованиями Федерального закона «О персональных данных» Оператор обязан:

- предоставлять субъекту ПДн или его законному представителю по запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя;

- по требованию субъекта ПДн или его законного представителя уточнять, блокировать или удалять обрабатываемые ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих эти факты;

- в случае достижения цели обработки ПДн незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого является субъект ПДн;

- в случае отзыва субъектом ПДн или его законным представителем согласия на обработку ПДн прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между ООО «Интератлетика» и субъектом ПДн, и уведомить субъекта ПДн или его законного представителя об уничтожении ПДн;

- в случае поступления требования субъекта ПДн или его законного представителя о прекращении обработки ПДн, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку ПДн.

4.2.Обработка ПДн в ИСПДн Оператора включает в себя следующие основные процессы:

- сбор ПДн;

- использование ПДн;

- хранение ПДн в ИСПДн;

- передача ПДн;

- уточнение ПДн;

- блокирование ПДн;

- уничтожение ПДн.

4.3.Оператор обязан предоставлять субъекту ПДн или его законному представителю по запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя.

5. Сбор ПДн

5.1.ПДн получаются лично у граждан за исключением случаев получения ПДн из общедоступных источников (в том числе справочников, адресных книг).

5.2.Уведомление субъекта об обработке ПДн, полученных из общедоступных источников, не осуществляется.

5.3.Оператор может получать, обрабатывать и приобщать к личному делу работника данные о состоянии его здоровья при отсутствии письменного согласия, если обработка ПДн осуществляется или необходима:

- для защиты жизни, здоровья или иных жизненно важных интересов работника Оператора, либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;

- для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;

- в соответствии с законодательством об обязательных видах страхования со страховым законодательством.

Использование ПДн

6.1.Использование ПДн в ИСПДн Оператора осуществляется работниками Оператора, указанными в Перечне должностей работников, допущенных к работе с ПДн, утверждаемым приказом руководителя Оператора. В данный перечень включаются работники, которым для осуществления своих должностных и функциональных обязанностей необходим доступ к ПДн. В перечне указываются категории ПДн (категории субъектов ПДн), доступ к которым предоставляется работникам, занимающим данную должность.

Хранение ПДн

7.1.Хранение ПДн осуществляется Оператором в соответствии со следующими требованиями:

- хранение ПДн осуществляется таким образом, чтобы в отношении каждой категории ПДн можно было определить места их хранения;

- хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

- не осуществляется несанкционированное копирование ПДн на отчуждаемые носители информации;

- при хранении ПДн в ИСПДн соблюдаются условия, обеспечивающие конфиденциальность и сохранность ПДн;

- исключен несанкционированный доступ к ПДн.

7.2.Работники Оператора, обладающие правом доступа к ПДн, несут ответственность за хранение ПДн на своих автоматизированных рабочих местах.

7.3.Копирование ПДн на внешние электронные носители, такие как флеш-накопители, внешние жесткие диски, CD, DVD и т. д., осуществляется только для выполнения трудовых обязанностей.

Передача ПДн

8.1.Передача ПДн другим работникам Оператора или третьим лицам осуществляется в следующих случаях:

- если передача ПДн необходима для исполнения работником трудовых обязанностей, связанных с обработкой ПДн;

- если она нужна для исполнения федерального законодательства.

8.2.Работники Оператора, допущенные к работе с ПДн, не сообщают устно или письменно ПДн другим работникам или сторонним лицам, которые не участвуют в процессах обработки ПДн.

8.3.Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме и в том объеме, который позволяет не разглашать излишний объем ПДн.

8.4.При передаче ПДн работники Оператора не сообщают ПДн субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также случаях, предусмотренных Трудовым кодексом Российской Федерации и иными федеральными законами.

8.5.Передача ПДн возможна только в том случае, если исключен несанкционированный доступ к ПДн в процессе передачи и обеспечивается конфиденциальность передаваемой информации. Если Оператор на основании договора поручает обработку ПДн другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности и безопасности ПДн при их передаче.

8.6.Согласие субъекта на передачу его ПДн не требуется, если сообщение информации или предоставление документов, содержащих ПДн, предусмотрено законодательством Российской Федерации.

8.7.Работники Оператора осуществляют передачу ПДн субъекта законному представителю субъекта ПДн, проверив его полномочия в порядке, установленном законодательством Российской Федерации и ограничиваться только теми ПДн, которые необходимы для выполнения указанными представителями их функций.

Уточнение ПДн

9.1.В случае выявления работником Оператора недостоверных ПДн или неправомерных действий с ними работник информирует о данном факте ответственного за организацию обработки ПДн. Ответственный за организацию обработки ПДн в срок, не превышающий трех рабочих дней с даты этого выявления, инициирует выполнение действий по уточнению ПДн.

9.2.В случае уточнения (изменения) ПДн необходимо известить третьих лиц, которым ранее были сообщены или переданы неверные или неполные ПДн, обо всех исключениях, исправлениях и дополнениях в них.

9.3.Об устранении допущенных нарушений или об уничтожении ПДн требуется уведомить субъекта ПДн или его законного представителя либо уполномоченный орган по защите прав субъектов ПДн в случае, если соответствующую проверку инициировал указанный орган.

Блокирование ПДн

10.1.В случае выявления работником Оператора неправомерной обработки ПДн или выявления неточных ПДн при обращении субъекта или его представителя либо по запросу уполномоченного органа по защите прав субъектов ПДн, Ответственный за организацию обработки ПДн инициирует блокирование ПДн, относящихся к этому субъекту ПДн.

10.2.В случаях, если отсутствует возможность уничтожения ПДн, Оператор осуществляет блокирование таких ПДн и обеспечивает уничтожение в срок не более чем шесть месяцев.

Уничтожение ПДн

11.1.ПДн подлежат уничтожению (или обезличиванию) в следующих случаях в указанные сроки:

- по достижении целей обработки ПДн – в 30-дневный срок;

- в случае утраты необходимости в достижении целей обработки ПДн – в 30-дневный срок;

- в случае отзыва субъектом ПДн согласия на обработку своих ПДн – в 30-дневный срок, если иной срок не предусмотрен договором или соглашением между Оператором и субъектом ПДн, либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.

11.2.ПДн подлежат уничтожению (или обезличиванию) в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн в следующих случаях:

- в случае если ПДн являются неполными, устаревшими, неточными (при условии, что уточнение ПДн невозможно);

- в случае если ПДн являются незаконно полученными;

- в случае если ПДн не являются необходимыми для заявленной цели обработки.

Организация доступа к ПДн

16.1.Ответственным за обработку ПДн разрабатывается Перечень должностей работников, допущенных к работе с ПДн, определяющий связь между должностями работников и ПДн, к которым предоставляется доступ. Этот перечень подлежит пересмотру и при необходимости актуализации не реже одного раза в год.

16.2.Работникам Оператора предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей.

16.3.Доступ к ПДн может быть прекращен или ограничен в случае нарушения требований настоящего Положения либо в случае изменения должностных обязанностей или увольнения работника.

16.4.Предоставление и прекращение доступа пользователей к ПДн осуществляется Администраторами соответствующей ИСПДн.

Требования к работникам, допущенным к обработке персональных данных

17.1.Все работники Оператора, которым стали известны ПДн, обрабатывающиеся Оператором, должны обеспечивать их конфиденциальность.

17.2.Все работники Оператора, допущенные к работе с ПДн, должны быть ознакомлены под подпись с требованиями настоящего Положения.

17.3.Оператором должен быть организован процесс обучения работников, допущенных к работе с ПДн, по направлению обеспечения безопасности ПДн. Ответственность за процесс обучения возлагается на Ответственного за организацию обработки ПДн.

17.4.Трудовые договора (или должностные инструкции) работников, допущенных к работе с ПДн, содержат раздел, описывающий персональную ответственность за нарушение требований по обеспечению безопасности ПДн, включая нарушение свойств целостности, конфиденциальности, доступности и установленного порядка обработки ПДн.

ПОЛОЖЕНИЕ

Об обработке и защите персональных данных клиентов фитнес клуба FreshFit

Челябинск 2017

Общее положение

1.1.Настоящее Положение разработано в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативно-методическими документами уполномоченных органов государственной власти по вопросам безопасности ПДн, в том числе при их обработке в информационных системах персональных данных (далее – ИСПДн) ООО «Финес клуб «ФрешФит» (далее – Оператор).

1.2.Основными нормативно-правовыми и методическими документами, на которых базируется настоящее Положение, являются:

- Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»).

- Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.3.Для осуществления мероприятий по обеспечению и контролю безопасности персональных данных, обработки обращений субъектов ПДн и взаимодействия с уполномоченным органом по защите прав субъектов ПДн приказом руководителя Оператора назначается работник, ответственный за организацию обработки персональных данных и работник, ответственный за обеспечение безопасности ПДн при их обработке в ИСПДн Оператора.