4. Цели обработки персональных данных.4.1. Обработка персональных данных субъектов осуществляется Оператором исключительно в целях соблюдения Конституции Российской Федерации, федеральных законов, иных нормативных правовых актов Российской Федерации, а также для достижения уставных целей и выполнения договорных обязательств.
4.2. Основными целями обработки персональных данных являются:
4.2.1. В отношении клиентов (физических лиц):
· заключение, исполнение, изменение и прекращение гражданско-правовых договоров на оказание физкультурно-оздоровительных, спортивных, обучающих и сопутствующих услуг;
· предоставление информации о порядке, условиях, графике и месте проведения тренировок и иных мероприятий;
· осуществление входного контроля и допуска клиентов на спортивные объекты и иные локации, в том числе путем направления персональных данных (ФИО, серия и номер паспорта) администрации объекта;
· организация учета посещаемости, контроля качества предоставляемых услуг и обратной связи с клиентом;
· соблюдение требований налогового, гражданского, трудового и иного применимого законодательства;
· урегулирование претензионных и спорных ситуаций.
4.2.2. В отношении несовершеннолетних клиентов (детей):
· организация и обеспечение безопасного участия ребенка в тренировочном процессе;
· индивидуализация программ обучения с учетом возраста и физических особенностей;
· ведение учета, статистики и иной документации, необходимой для предоставления услуг в интересах ребенка;
· взаимодействие с законными представителями ребенка;
· выполнение обязанностей по защите жизни, здоровья и прав несовершеннолетнего при предоставлении услуг.
4.2.3. В отношении пользователей интернет-ресурсов:
· обеспечение корректного отображения и функционирования интернет-сайтов Оператора;
· техническая поддержка и улучшение качества сервисов;
· обратная связь с пользователями (в том числе направление уведомлений, обработка обращений, заявок, регистраций);
· проведение статистического анализа поведения пользователей, включая анализ посещаемости и взаимодействия с функционалом сайтов;
· соблюдение требований законодательства в сфере информационных технологий и защиты информации.
4.3. Обработка персональных данных может также осуществляться в следующих целях:
· выполнение предписаний государственных органов и требований действующего законодательства;
· соблюдение лицензионных, аккредитационных, санитарных, противопожарных и иных регламентов, в том числе при проверках контролирующими органами;
· участие субъекта персональных данных (по его инициативе) в мероприятиях, соревнованиях, сборах, показательных выступлениях и иных действиях, организуемых или поддерживаемых Оператором;
· иные цели, прямо вытекающие из содержания правоотношений между субъектом персональных данных и Оператором, при наличии согласия субъекта либо предусмотренные законодательством Российской Федерации.
4.4. Обработка персональных данных осуществляется на основании принципов:
· законности и справедливости;
· ограничения обработки достижением конкретных, заранее заявленных и законных целей;
· минимизации обрабатываемого объема данных, соответствия их целям обработки;
· недопущения обработки персональных данных, несовместимой с целями их сбора.
5. Правовые основания обработки персональных данных.5.1. Обработка персональных данных Оператором осуществляется на законной и справедливой основе, при наличии хотя бы одного из следующих правовых оснований, предусмотренных законодательством Российской Федерации:
5.1.1. Согласие субъекта персональных данных
· персональные данные обрабатываются на основании добровольного, конкретного, информированного и сознательного согласия субъекта персональных данных;
· согласие оформляется в письменной форме либо в иной форме, позволяющей подтвердить факт его получения, и может быть отозвано субъектом в любое время, если иное не предусмотрено федеральным законом;
· в случае обработки персональных данных несовершеннолетнего согласие предоставляется его законным представителем (родителем, опекуном, попечителем);
· согласие может охватывать как общее согласие на обработку, так и отдельные случаи (например, фото- и видеосъемка, передача данных на охраняемые объекты, участие в мероприятиях и др.).
5.1.2. Необходимость заключения и (или) исполнения договора
· обработка персональных данных осуществляется в рамках заключения, исполнения, изменения или прекращения договора между Оператором и субъектом персональных данных либо его законным представителем;
· к таким договорам относятся, в частности: договоры и договоры-оферты на оказание физкультурно-оздоровительных, обучающих и сопутствующих услуг, а также любые предварительные соглашения и акты взаимодействия.
5.1.3. Необходимость выполнения обязанностей, установленных законодательством Российской Федерации
5.1.4. Осуществление прав и законных интересов Оператора или третьих лиц
· персональные данные могут обрабатываться в случае, если это необходимо для реализации законных интересов Оператора или третьих лиц, при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
· примеры законных интересов: обеспечение внутренней безопасности, организация допуска на объекты, предотвращение злоупотреблений, разрешение споров.
5.1.5. Иные основания, предусмотренные законодательством Российской Федерации
· включая случаи, прямо указанные в федеральных законах, подзаконных нормативных актах, а также правовых позициях уполномоченных государственных органов (например, Роскомнадзора, Минцифры и др.).
5.2. В случае обработки специальных или биометрических категорий персональных данных, Оператор обязан получить отдельное письменное согласие субъекта персональных данных, за исключением случаев, когда такая обработка допускается без согласия в силу закона.
5.3. При необходимости передачи персональных данных третьим лицам (например, администрациям спортивных объектов, партнерам, тренерам) Оператор обеспечивает наличие соответствующего согласия субъекта либо обосновывает законность такой передачи иными основаниями, предусмотренными законом.
5.4. Обработка персональных данных без согласия субъекта допускается исключительно в случаях, прямо предусмотренных ст. 6, 10 и 11 Федерального закона от 27.07.2006 № 152- ФЗ, в частности:
· в целях достижения общественно значимых целей, установленных законом;
· по требованию уполномоченных государственных органов в рамках их полномочий;
· в целях осуществления правосудия, исполнения судебных актов и актов иных органов;
· в иных установленных законом случаях.
6. Порядок и условия обработки персональных данных.6.1. Обработка персональных данных осуществляется Оператором с соблюдением принципов и требований, установленных действующим законодательством Российской Федерации, включая:
· законность целей и способов обработки;
· добросовестность и справедливость в отношении субъекта персональных данных;
· соответствие целей обработки ранее заявленным и явно выраженным целям;
· обеспечение достоверности, достаточности и актуальности обрабатываемых персональных данных;
· хранение персональных данных в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки.
6.2. Обработка персональных данных осуществляется с использованием как автоматизированных, так и неавтоматизированных средств (на бумажных носителях) с соблюдением мер, обеспечивающих защиту персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.
6.3. Персональные данные обрабатываются Оператором в следующих формах:
· путем сбора данных при личном предоставлении субъектом персональных данных;
· путем получения данных через электронные формы на сайтах Оператора;
· в процессе заключения и исполнения договоров, анкетирования, взаимодействия с клиентами, регистрации на мероприятия;
· в информационных системах персональных данных, принадлежащих Оператору, с использованием средств автоматизации либо без таковых.
6.4. Допускается обработка персональных данных по поручению Оператора третьими лицами (в том числе франчайзи, тренерами, администраторами) на основании заключенного с ними договора, содержащего обязательства соблюдать требования к защите персональных данных в объеме, не меньшем, чем предусмотрено законодательством РФ.
6.5. Доступ к персональным данным предоставляется:
· работникам Оператора, чьи должностные обязанности прямо предусматривают обработку персональных данных;
· уполномоченным третьим лицам — при наличии законных оснований и (или) согласия субъекта персональных данных;
· органам государственной власти, правоохранительным и иным компетентным органам —
в случаях, установленных законом.
6.6. Хранение персональных данных осуществляется:
· на бумажных носителях — в помещениях, обеспечивающих исключение несанкционированного доступа;
· в электронном виде — на серверах и в системах, защищенных техническими и программными средствами;
· срок хранения персональных данных определяется целями обработки, условиями договоров и требованиями законодательства, но не превышает сроков, установленных нормативными правовыми актами.
6.7. Уничтожение или обезличивание персональных данных осуществляется:
· при достижении целей обработки либо в случае утраты необходимости в их достижении;
· по истечении сроков хранения, установленных законодательством или договором;
· по требованию субъекта персональных данных в случаях, предусмотренных законом;
· в соответствии с утвержденными локальными нормативными актами Оператора.
6.8. При обработке персональных данных Оператор:
· не принимает в отношении субъекта персональных данных решения, порождающего для него юридические последствия либо иным образом затрагивающего его права и законные интересы, исключительно на основании автоматизированной обработки персональных данных;
· не осуществляет трансграничную передачу персональных данных без предварительного соблюдения всех требований, предусмотренных законодательством РФ (включая проверку наличия адекватной защиты в иностранном государстве).
6.9. Все сотрудники и иные лица, получившие доступ к персональным данным, обязаны соблюдать режим конфиденциальности, даже после прекращения трудовых или гражданско-правовых отношений с Оператором.
7. Права субъектов персональных данных.7.1. Субъект персональных данных, чьи данные обрабатываются Оператором, обладает всеми правами, предусмотренными законодательством Российской Федерации в области персональных данных, включая, но не ограничиваясь следующими:
7.1.1. Право на получение информации об обработке персональных данных
Субъект персональных данных имеет право на получение от Оператора информации, касающейся обработки его персональных данных, включая:
· подтверждение факта обработки персональных данных Оператором;
· правовые основания и цели обработки;
· цели и применяемые способы обработки;
· наименование и место нахождения Оператора;
· сведения о лицах (за исключением сотрудников Оператора), которым могут быть переданы персональные данные на основании договора с Оператором или в соответствии с федеральным законом;
· обрабатываемые персональные данные, относящиеся к соответствующему субъекту;
· срок обработки персональных данных, включая срок их хранения;
· порядок осуществления субъектом прав, предусмотренных законодательством;
· информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
· наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена третьему лицу.
Оператор обязан предоставить указанную информацию субъекту в доступной форме в течение 10 (десяти) рабочих дней с даты получения соответствующего запроса, если иной срок не предусмотрен федеральным законом.
7.1.2. Право на уточнение, блокирование или уничтожение персональных данных Субъект персональных данных имеет право требовать от Оператора:
· уточнения (актуализации, изменения) своих персональных данных, если данные являются неполными, неточными или неактуальными;
· блокирования персональных данных в случае выявления неправомерной обработки до устранения нарушений;
· уничтожения персональных данных, если они обрабатываются незаконно либо более не требуются для целей обработки, а также в случае отзыва согласия, если обработка осуществляется исключительно на основании согласия.
7.1.3. Право на отзыв согласия на обработку персональных данных
Субъект персональных данных вправе в любое время отозвать ранее данное согласие на обработку персональных данных. Отзыв согласия не влияет на законность обработки, осуществляемой до момента его получения Оператором. После получения отзыва согласия Оператор обязан прекратить обработку персональных данных, если отсутствуют иные законные основания для ее продолжения.
7.1.4. Право на обжалование действий Оператора
Субъект персональных данных вправе обжаловать действия или бездействие Оператора, нарушающие его права, в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), а также в судебном порядке.
7.1.5. Право на отказ от автоматизированного принятия решений
Субъект персональных данных вправе потребовать, чтобы в отношении него не принимались решения, основанные исключительно на автоматизированной обработке персональных данных, если такие решения порождают юридические последствия или иным образом существенно затрагивают его права и законные интересы.
7.2. Для реализации своих прав субъект персональных данных может направить Оператору:
· письменный запрос, подписанный лично или с использованием усиленной квалифицированной электронной подписи;
· обращение через официальный сайт Оператора (если такая возможность реализована);
· обращение иным способом, не противоречащим действующему законодательству.
7.3. Оператор вправе отказать субъекту персональных данных в удовлетворении запроса, если:
· предоставление информации может привести к нарушению прав и законных интересов третьих лиц;
· запрос не содержит сведений, позволяющих идентифицировать субъект;
· обращение направлено с нарушением требований законодательства (например, без подписи, без приложений, удостоверяющих личность).
8. Обязанности Оператора при обработке персональных данных.8.1. Оператор, осуществляющий обработку персональных данных, обязан принимать все предусмотренные законом организационные, правовые и технические меры, направленные на защиту персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
8.2. В соответствии с требованиями Федерального закона № 152-ФЗ и иных нормативных правовых актов Российской Федерации, Оператор обязан:
8.2.1. Обеспечить законность и обоснованность обработки персональных данных
· Осуществлять обработку персональных данных только при наличии соответствующих правовых оснований (в том числе письменного согласия субъекта, необходимости исполнения договора, требований закона и др.).
· Обеспечивать соответствие целей обработки ранее заявленным и конкретным целям, не допускать обработки персональных данных, несовместимой с этими целями.
· Минимизировать объем обрабатываемых данных, исключать избыточные и неактуальные сведения.
8.2.2. Уведомить Роскомнадзор о намерении осуществлять обработку персональных данных (в случаях, предусмотренных законом)
· Вести реестр уведомлений, своевременно актуализировать сведения, содержащиеся в поданном уведомлении, в случае изменения характера или условий обработки.
· Уведомлять об изменении сведений в течение 10 рабочих дней с момента наступления соответствующих обстоятельств.
8.2.3. Назначить лицо, ответственное за организацию обработки персональных данных
· Определить и документально закрепить обязанности по обеспечению безопасности персональных данных.
· Обеспечить наличие у такого лица необходимых знаний о требованиях законодательства, локальных нормативных актов и процедур Оператора.
8.2.4. Принять локальные нормативные акты, регламентирующие обработку персональных данных
· Утвердить и внедрить политику конфиденциальности, положения о защите персональных данных, регламенты взаимодействия с субъектами ПДн, порядок уничтожения ПДн, условия хранения, а также перечень работников, имеющих доступ к ПДн.
· Ознакомить работников под подпись с указанными документами и обеспечить соблюдение установленных требований.
8.2.5. Обеспечить защиту персональных данных
· В соответствии с требованиями постановлений Правительства РФ № 687, № 1119, приказа ФСТЭК № 21 и иных нормативных актов обеспечить реализацию организационных и технических мер по защите персональных данных.
· Применять средства защиты информации, прошедшие процедуру оценки соответствия (сертификации) в установленном порядке, в зависимости от уровня защищенности обрабатываемых данных.
· Проводить внутренние аудиты и проверки соблюдения мер по защите персональных данных.
8.2.6. Вести учет обращений субъектов персональных данных
· Обеспечить прием, регистрацию и хранение обращений, заявлений, запросов субъектов ПДн.
· Давать мотивированные ответы в установленные законом сроки.
· Обеспечивать восстановление нарушенных прав субъектов ПДн, если допущены нарушения.
8.2.7. Осуществлять обучение и контроль работников
· Организовать обязательное ознакомление работников, непосредственно участвующих в обработке ПДн, с требованиями законодательства и локальных актов Оператора.
· Обеспечить допуск к персональным данным только лиц, имеющих соответствующие полномочия и прошедших инструктаж (в том числе по вопросам конфиденциальности и ИБ).
8.2.8. Вести учет носителей и операций по обработке персональных данных
· Учет бумажных и электронных носителей, содержащих персональные данные;
· Документирование операций по получению, передаче, изменению, уничтожению и обезличиванию ПДн;
· Принятие мер по недопущению несанкционированного копирования и распространения данных.
8.3. Оператор не вправе:
· использовать персональные данные в целях, не заявленных при их сборе;
· передавать персональные данные третьим лицам без согласия субъекта (если иное не предусмотрено законом);
· принимать решения, порождающие юридические последствия для субъекта, исключительно на основании автоматизированной обработки данных без его письменного согласия.
8.4. При прекращении обработки персональных данных (в том числе по окончании срока хранения, при отзыве согласия или достижении цели обработки) Оператор обязан:
· уничтожить персональные данные или обезличить их в течение 30 (тридцати) календарных дней;
· составить соответствующий акт об уничтожении или обезличивании персональных данных;
· прекратить доступ к персональным данным всем работникам, ранее имевшим к ним доступ, если иное не предусмотрено законом
9. Меры по обеспечению безопасности персональных данных.9.1. Оператор при обработке персональных данных принимает необходимые и достаточные правовые, организационные и технические меры для обеспечения безопасности персональных данных в целях предотвращения:
· неправомерного или случайного доступа к персональным данным;
· уничтожения, изменения, блокирования, копирования, распространения персональных данных;
· иных неправомерных действий в отношении персональных данных.
9.2. Уровень защищенности персональных данных определяется в зависимости от категории персональных данных, состава и объема обрабатываемых данных, используемых способов обработки, а также угроз, актуальных для соответствующих информационных систем персональных данных (ИСПДн), в соответствии с классификацией, установленной Постановлением Правительства РФ № 1119.
9.3. Меры по обеспечению безопасности персональных данных включают:
9.3.1. Организационные меры:
· Назначение ответственного за организацию обработки и защиту персональных данных;
· Определение перечня работников, допущенных к обработке персональных данных, с ограничением их прав доступа;
· Заключение обязательств о неразглашении персональных данных с работниками и иными лицами, имеющими доступ к данным;
· Ознакомление работников под подпись с положениями законодательства РФ, внутренними нормативными актами Оператора в сфере защиты персональных данных;
· Разработка и внедрение локальных актов, регламентирующих порядок обработки и защиты персональных данных;
· Проведение регулярных проверок и ревизий соблюдения требований по защите персональных данных;
· Организация физической охраны помещений, где ведется хранение и обработка ПДн.
9.3.2. Правовые меры:
· Заключение договоров с операторами по обработке персональных данных (при передаче на аутсорсинг), содержащих обязательства по соблюдению конфиденциальности и защите персональных данных;
· Получение от субъектов персональных данных надлежащим образом оформленного согласия (в случаях, предусмотренных законом);
· Соблюдение требований законодательства при трансграничной передаче персональных данных.
9.3.3. Технические меры:
· Использование сертифицированных средств защиты информации (СЗИ), включая межсетевые экраны, антивирусные средства, системы обнаружения вторжений, криптографические средства защиты (при необходимости);
· Контроль и регистрация действий пользователей в информационных системах;
· Разграничение доступа к персональным данным по уровням и ролям пользователей;
· Обеспечение резервного копирования и восстановления информации;
· Применение средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ.
· Оператор обеспечивает регистрацию и учет инцидентов, связанных с нарушением безопасности персональных данных, а также ведет расследование причин инцидентов и устраняет выявленные уязвимости.
· В случае выявления утечки персональных данных, нарушения порядка их обработки, неправомерного доступа либо иных инцидентов, повлекших или могущих повлечь причинение вреда субъектам персональных данных, Оператор:
- незамедлительно проводит внутреннее расследование;
- уведомляет Роскомнадзор в порядке, установленном действующим законодательством;
- принимает исчерпывающие меры по устранению последствий и недопущению повторных инцидентов.
· Хранение персональных данных осуществляется с соблюдением принципа изоляции и защиты информации, включая:
- хранение бумажных носителей в запираемых шкафах, сейфах, архивах;
- хранение электронных данных в ИСПДн, размещенных в защищенном сегменте сети с контролируемым доступом.
· Оператор осуществляет регулярное:
- тестирование и оценку эффективности применяемых мер защиты;
- пересмотр политик и процедур обеспечения безопасности;
- обучение персонала по вопросам информационной безопасности и защиты персональных данных.
Размещение и изменение политики· Настоящая Политика опубликована в открытом доступе на следующих интернет-ресурсах:
https://kazansportweekend.ru;
· Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция публикуется на сайте. Изменения вступают в силу с момента публикации, если иное не предусмотрено новой редакцией.
Контактная информация:По всем вопросам, связанным с обработкой персональных данных, обращаться по следующим контактам: Email:
kazansport.weekend@yandex.ru