Политика конфиденциальности и обработки персональных данных
1. Общие положения.
1.1. Настоящая Политика в отношении обработки персональных данных (далее —
«Политика») разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006
№ 152-ФЗ «О персональных данных», а также иными нормативными правовыми актами, регулирующими вопросы обработки и защиты персональных данных.
1.2. Настоящая Политика определяет правовые и организационные основы обработки персональных данных, осуществляемой Индивидуальным предпринимателем Доронин Андрей Владимирович (ОГРНИП 325774600317411, ИНН 771823830884) (далее — «Оператор»), а также устанавливает обязательства Оператора по защите прав и свобод физических лиц при обработке их персональных данных, включая защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящая Политика распространяется на все операции по обработке персональных данных, осуществляемые Оператором как в автоматизированной, так и в неавтоматизированной форме, в том числе в процессе оказания физкультурно- оздоровительных, обучающих и иных сопутствующих услуг, а также при взаимодействии с пользователями интернет-ресурсов, находящихся под управлением Оператора.
1.4. Политика применяется в отношении обработки персональных данных, осуществляемой при использовании следующих интернет-ресурсов:
1.5. Оператор является лицом, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными.
1.6. Целью настоящей Политики является обеспечение надлежащей защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении персональных данных.
1.7. Настоящая Политика подлежит размещению в свободном доступе на интернет- ресурсах Оператора и является общедоступным документом, декларирующим принципы и подходы к обработке персональных данных субъектов.
1.8. Настоящая Политика применяется ко всем субъектам персональных данных, чьи данные обрабатываются Оператором, включая, но не ограничиваясь:
1.9. Обработка персональных данных осуществляется в соответствии с требованиями законодательства Российской Федерации, в том числе с учетом положений Федерального закона от 27.07.2006 № 152-ФЗ, Постановлений Правительства РФ, актов Роскомнадзора и иных уполномоченных органов.
2. Термины и определения.
В целях настоящей Политики нижеследующие термины используются в следующем значении:
2.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), включая фамилию, имя, отчество, дату и место рождения, адрес, паспортные данные, контактную информацию, сведения о детях, а также иную информацию, позволяющую идентифицировать субъекта.
2.2. Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без их
использования, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Автоматизированная обработка персональных данных — обработка персональных данных с использованием средств вычислительной техники.
2.4. Неавтоматизированная обработка персональных данных — обработка персональных данных, осуществляемая без использования средств автоматизации (на бумажных носителях и другими способами).
2.5. Субъект персональных данных — физическое лицо, к которому непосредственно или опосредованно относятся обрабатываемые персональные данные.
2.6. Оператор — Индивидуальный предприниматель Доронин Андрей Владимирович, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными.
2.7. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе путем размещения в средствах массовой информации, размещения в информационно-телекоммуникационных сетях или предоставления иным способом.
2.8. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.9. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.10.. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.11. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.12. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.13. Конфиденциальность персональных данных — обязательное для соблюдения Оператором и иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных либо при наличии иного законного основания.
2.14. Третьи лица — любые физические или юридические лица, органы государственной власти, органы местного самоуправления, не являющиеся субъектом персональных данных, Оператором либо его уполномоченным представителем, получающие доступ к персональным данным в установленном законом порядке.
2.15. Согласие на обработку персональных данных — добровольное, конкретное, информированное и сознательное выражение воли субъекта персональных данных, предоставляемое в письменной форме либо в форме, допускающей подтверждение его получения, на обработку персональных данных в соответствии с заявленными целями.
2.16. Интернет-ресурсы Оператора — официальные сайты и иные цифровые платформы, управляемые Оператором, включая:
3. Состав обрабатываемых персональных данных.
3.1. Оператор обрабатывает персональные данные субъектов, предоставляемые ими самостоятельно при заключении договоров, заполнении форм на сайтах, в ходе переписки, устных и письменных обращений, а также в процессе оказания Оператором услуг.
3.2. К обрабатываемым персональным данным, в зависимости от категории субъекта персональных данных, относятся:
3.2.1. В отношении совершеннолетних клиентов (физических лиц):
3.5. Биометрические персональные данные (фотографии, видеозаписи, иные данные, позволяющие идентифицировать личность по физиологическим признакам) могут обрабатываться исключительно на основании отдельного письменного согласия субъекта персональных данных, предоставленного в добровольном порядке и при наличии законных целей такой обработки (например, допуск на спортивные объекты, визуализация посещений, участие в мероприятиях с фото- или видеосъемкой).
3.6. Оператор не осуществляет сбор, обработку или передачу персональных данных третьим лицам в коммерческих целях (включая продажу баз данных), а также не осуществляет автоматизированного принятия решений, порождающих юридические последствия в отношении субъекта персональных данных, за исключением случаев, прямо предусмотренных законодательством РФ.
3.7. Объем и характер обрабатываемых персональных данных соответствует целям их обработки и не является избыточным.
4. Цели обработки персональных данных.
4.1. Обработка персональных данных субъектов осуществляется Оператором исключительно в целях соблюдения Конституции Российской Федерации, федеральных
законов, иных нормативных правовых актов Российской Федерации, а также для достижения уставных целей и выполнения договорных обязательств.
4.2. Основными целями обработки персональных данных являются:
4.2.1. В отношении клиентов (физических лиц):
5. Правовые основания обработки персональных данных.
5.1. Обработка персональных данных Оператором осуществляется на законной и справедливой основе, при наличии хотя бы одного из следующих правовых оснований, предусмотренных законодательством Российской Федерации:
5.1.1. Согласие субъекта персональных данных
5.1.4. Осуществление прав и законных интересов Оператора или третьих лиц
5.3. При необходимости передачи персональных данных третьим лицам (например, администрациям спортивных объектов, партнерам, тренерам) Оператор обеспечивает наличие соответствующего согласия субъекта либо обосновывает законность такой передачи иными основаниями, предусмотренными законом.
5.4. Обработка персональных данных без согласия субъекта допускается исключительно в случаях, прямо предусмотренных ст. 6, 10 и 11 Федерального закона от 27.07.2006 № 152- ФЗ, в частности:
6. Порядок и условия обработки персональных данных.
6.1. Обработка персональных данных осуществляется Оператором с соблюдением принципов и требований, установленных действующим законодательством Российской Федерации, включая:
6.3. Персональные данные обрабатываются Оператором в следующих формах:
6.5. Доступ к персональным данным предоставляется:
6.6. Хранение персональных данных осуществляется:
7. Права субъектов персональных данных.
7.1. Субъект персональных данных, чьи данные обрабатываются Оператором, обладает всеми правами, предусмотренными законодательством Российской Федерации в области персональных данных, включая, но не ограничиваясь следующими:
7.1.1. Право на получение информации об обработке персональных данных
Субъект персональных данных имеет право на получение от Оператора информации, касающейся обработки его персональных данных, включая:
7.1.2. Право на уточнение, блокирование или уничтожение персональных данных Субъект персональных данных имеет право требовать от Оператора:
Субъект персональных данных вправе в любое время отозвать ранее данное согласие на обработку персональных данных. Отзыв согласия не влияет на законность обработки, осуществляемой до момента его получения Оператором. После получения отзыва согласия Оператор обязан прекратить обработку персональных данных, если отсутствуют иные законные основания для ее продолжения.
7.1.4. Право на обжалование действий Оператора
Субъект персональных данных вправе обжаловать действия или бездействие Оператора, нарушающие его права, в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), а также в судебном порядке.
7.1.5. Право на отказ от автоматизированного принятия решений
Субъект персональных данных вправе потребовать, чтобы в отношении него не принимались решения, основанные исключительно на автоматизированной обработке персональных данных, если такие решения порождают юридические последствия или иным образом существенно затрагивают его права и законные интересы.
7.2. Для реализации своих прав субъект персональных данных может направить Оператору:
8. Обязанности Оператора при обработке персональных данных.
8.1. Оператор, осуществляющий обработку персональных данных, обязан принимать все предусмотренные законом организационные, правовые и технические меры, направленные на защиту персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
8.2. В соответствии с требованиями Федерального закона № 152-ФЗ и иных нормативных правовых актов Российской Федерации, Оператор обязан:
8.2.1. Обеспечить законность и обоснованность обработки персональных данных
9. Меры по обеспечению безопасности персональных данных.
9.1.Оператор при обработке персональных данных принимает необходимые и достаточные правовые, организационные и технические меры для обеспечения безопасности персональных данных в целях предотвращения:
9.3. Меры по обеспечению безопасности персональных данных включают:
9.3.1. Организационные меры:
- уведомляет Роскомнадзор в порядке, установленном действующим законодательством;
- принимает исчерпывающие меры по устранению последствий и недопущению повторных инцидентов.
- обучение персонала по вопросам информационной безопасности и защиты персональных данных.
Размещение и изменение политики
Контактная информация:
По всем вопросам, связанным с обработкой персональных данных, обращаться по следующим контактам: Email: info@rus-volley.ru
Уполномоченное лицо по защите персональных данных: Доронин Андрей Владимирович
1.1. Настоящая Политика в отношении обработки персональных данных (далее —
«Политика») разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006
№ 152-ФЗ «О персональных данных», а также иными нормативными правовыми актами, регулирующими вопросы обработки и защиты персональных данных.
1.2. Настоящая Политика определяет правовые и организационные основы обработки персональных данных, осуществляемой Индивидуальным предпринимателем Доронин Андрей Владимирович (ОГРНИП 325774600317411, ИНН 771823830884) (далее — «Оператор»), а также устанавливает обязательства Оператора по защите прав и свобод физических лиц при обработке их персональных данных, включая защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящая Политика распространяется на все операции по обработке персональных данных, осуществляемые Оператором как в автоматизированной, так и в неавтоматизированной форме, в том числе в процессе оказания физкультурно- оздоровительных, обучающих и иных сопутствующих услуг, а также при взаимодействии с пользователями интернет-ресурсов, находящихся под управлением Оператора.
1.4. Политика применяется в отношении обработки персональных данных, осуществляемой при использовании следующих интернет-ресурсов:
1.5. Оператор является лицом, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными.
1.6. Целью настоящей Политики является обеспечение надлежащей защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении персональных данных.
1.7. Настоящая Политика подлежит размещению в свободном доступе на интернет- ресурсах Оператора и является общедоступным документом, декларирующим принципы и подходы к обработке персональных данных субъектов.
1.8. Настоящая Политика применяется ко всем субъектам персональных данных, чьи данные обрабатываются Оператором, включая, но не ограничиваясь:
- клиентами (физическими лицами);
- законными представителями несовершеннолетних клиентов;
- пользователями сайтов;
1.9. Обработка персональных данных осуществляется в соответствии с требованиями законодательства Российской Федерации, в том числе с учетом положений Федерального закона от 27.07.2006 № 152-ФЗ, Постановлений Правительства РФ, актов Роскомнадзора и иных уполномоченных органов.
2. Термины и определения.
В целях настоящей Политики нижеследующие термины используются в следующем значении:
2.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), включая фамилию, имя, отчество, дату и место рождения, адрес, паспортные данные, контактную информацию, сведения о детях, а также иную информацию, позволяющую идентифицировать субъекта.
2.2. Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без их
использования, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Автоматизированная обработка персональных данных — обработка персональных данных с использованием средств вычислительной техники.
2.4. Неавтоматизированная обработка персональных данных — обработка персональных данных, осуществляемая без использования средств автоматизации (на бумажных носителях и другими способами).
2.5. Субъект персональных данных — физическое лицо, к которому непосредственно или опосредованно относятся обрабатываемые персональные данные.
2.6. Оператор — Индивидуальный предприниматель Доронин Андрей Владимирович, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными.
2.7. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе путем размещения в средствах массовой информации, размещения в информационно-телекоммуникационных сетях или предоставления иным способом.
2.8. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.9. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.10.. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.11. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.12. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.13. Конфиденциальность персональных данных — обязательное для соблюдения Оператором и иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных либо при наличии иного законного основания.
2.14. Третьи лица — любые физические или юридические лица, органы государственной власти, органы местного самоуправления, не являющиеся субъектом персональных данных, Оператором либо его уполномоченным представителем, получающие доступ к персональным данным в установленном законом порядке.
2.15. Согласие на обработку персональных данных — добровольное, конкретное, информированное и сознательное выражение воли субъекта персональных данных, предоставляемое в письменной форме либо в форме, допускающей подтверждение его получения, на обработку персональных данных в соответствии с заявленными целями.
2.16. Интернет-ресурсы Оператора — официальные сайты и иные цифровые платформы, управляемые Оператором, включая:
3. Состав обрабатываемых персональных данных.
3.1. Оператор обрабатывает персональные данные субъектов, предоставляемые ими самостоятельно при заключении договоров, заполнении форм на сайтах, в ходе переписки, устных и письменных обращений, а также в процессе оказания Оператором услуг.
3.2. К обрабатываемым персональным данным, в зависимости от категории субъекта персональных данных, относятся:
3.2.1. В отношении совершеннолетних клиентов (физических лиц):
- фамилия, имя, отчество;
- дата и место рождения;
- пол;
- гражданство;
- серия, номер паспорта, дата выдачи, код подразделения и наименование органа, выдавшего документ;
- адрес регистрации по месту жительства и/или месту пребывания;
- контактные данные: номер мобильного телефона, адрес электронной почты;
- сведения о договорных отношениях с Оператором (дата заключения договора, предмет, срок действия, стоимость и т. д.);
- иные сведения, предоставленные субъектом персональных данных добровольно в процессе взаимодействия с Оператором.
- фамилия, имя, отчество ребенка;
- дата рождения ребенка;
- сведения о законном представителе ребенка (ФИО, паспортные данные, контактная информация);
- возрастные и физические особенности, при необходимости для индивидуального подбора тренировочной нагрузки;
- иные данные, необходимые для оказания физкультурно-оздоровительных или спортивных услуг ребенку.
- IP-адрес, дата и время посещения сайта;
- информация о типе браузера, устройстве, операционной системе;
- сведения, собираемые с использованием файлов cookie (при наличии политики cookie);
- контактные данные, добровольно предоставленные через формы обратной связи (ФИО,
- иные сведения, предоставленные субъектом в рамках использования сайта.
- путем прямого предоставления субъектом (например, при заключении договора, заполнении анкеты, отправке онлайн-заявки);
- путем автоматизированного сбора информации через интернет-ресурсы (в рамках пользовательского соглашения и настоящей Политики);
- от третьих лиц, действующих на основании поручения субъекта или действующего законодательства (например, от франчайзи, тренеров, администраторов секций).
3.5. Биометрические персональные данные (фотографии, видеозаписи, иные данные, позволяющие идентифицировать личность по физиологическим признакам) могут обрабатываться исключительно на основании отдельного письменного согласия субъекта персональных данных, предоставленного в добровольном порядке и при наличии законных целей такой обработки (например, допуск на спортивные объекты, визуализация посещений, участие в мероприятиях с фото- или видеосъемкой).
3.6. Оператор не осуществляет сбор, обработку или передачу персональных данных третьим лицам в коммерческих целях (включая продажу баз данных), а также не осуществляет автоматизированного принятия решений, порождающих юридические последствия в отношении субъекта персональных данных, за исключением случаев, прямо предусмотренных законодательством РФ.
3.7. Объем и характер обрабатываемых персональных данных соответствует целям их обработки и не является избыточным.
4. Цели обработки персональных данных.
4.1. Обработка персональных данных субъектов осуществляется Оператором исключительно в целях соблюдения Конституции Российской Федерации, федеральных
законов, иных нормативных правовых актов Российской Федерации, а также для достижения уставных целей и выполнения договорных обязательств.
4.2. Основными целями обработки персональных данных являются:
4.2.1. В отношении клиентов (физических лиц):
- заключение, исполнение, изменение и прекращение гражданско-правовых договоров на оказание физкультурно-оздоровительных, спортивных, обучающих и сопутствующих услуг;
- предоставление информации о порядке, условиях, графике и месте проведения тренировок и иных мероприятий;
- осуществление входного контроля и допуска клиентов на спортивные объекты и иные локации, в том числе путем направления персональных данных (ФИО, серия и номер паспорта) администрации объекта;
- организация учета посещаемости, контроля качества предоставляемых услуг и обратной связи с клиентом;
- соблюдение требований налогового, гражданского, трудового и иного применимого законодательства;
- урегулирование претензионных и спорных ситуаций.
- организация и обеспечение безопасного участия ребенка в тренировочном процессе;
- индивидуализация программ обучения с учетом возраста и физических особенностей;
- ведение учета, статистики и иной документации, необходимой для предоставления услуг в интересах ребенка;
- взаимодействие с законными представителями ребенка;
- выполнение обязанностей по защите жизни, здоровья и прав несовершеннолетнего при предоставлении услуг.
- обеспечение корректного отображения и функционирования интернет-сайтов Оператора;
- техническая поддержка и улучшение качества сервисов;
- обратная связь с пользователями (в том числе направление уведомлений, обработка обращений, заявок, регистраций);
- проведение статистического анализа поведения пользователей, включая анализ посещаемости и взаимодействия с функционалом сайтов;
- соблюдение требований законодательства в сфере информационных технологий и защиты информации.
- выполнение предписаний государственных органов и требований действующего законодательства;
- соблюдение лицензионных, аккредитационных, санитарных, противопожарных и иных регламентов, в том числе при проверках контролирующими органами;
- участие субъекта персональных данных (по его инициативе) в мероприятиях, соревнованиях, сборах, показательных выступлениях и иных действиях, организуемых или поддерживаемых Оператором;
- иные цели, прямо вытекающие из содержания правоотношений между субъектом персональных данных и Оператором, при наличии согласия субъекта либо предусмотренные законодательством Российской Федерации.
- законности и справедливости;
- ограничения обработки достижением конкретных, заранее заявленных и законных целей;
- минимизации обрабатываемого объема данных, соответствия их целям обработки;
- недопущения обработки персональных данных, несовместимой с целями их сбора.
5. Правовые основания обработки персональных данных.
5.1. Обработка персональных данных Оператором осуществляется на законной и справедливой основе, при наличии хотя бы одного из следующих правовых оснований, предусмотренных законодательством Российской Федерации:
5.1.1. Согласие субъекта персональных данных
- персональные данные обрабатываются на основании добровольного, конкретного, информированного и сознательного согласия субъекта персональных данных;
- согласие оформляется в письменной форме либо в иной форме, позволяющей подтвердить факт его получения, и может быть отозвано субъектом в любое время, если иное не предусмотрено федеральным законом;
- в случае обработки персональных данных несовершеннолетнего согласие предоставляется его законным представителем (родителем, опекуном, попечителем);
- согласие может охватывать как общее согласие на обработку, так и отдельные случаи (например, фото- и видеосъемка, передача данных на охраняемые объекты, участие в мероприятиях и др.).
- обработка персональных данных осуществляется в рамках заключения, исполнения, изменения или прекращения договора между Оператором и субъектом персональных данных либо его законным представителем;
- к таким договорам относятся, в частности: договоры и договоры-оферты на оказание физкультурно-оздоровительных, обучающих и сопутствующих услуг, а также любые предварительные соглашения и акты взаимодействия.
5.1.4. Осуществление прав и законных интересов Оператора или третьих лиц
- персональные данные могут обрабатываться в случае, если это необходимо для реализации законных интересов Оператора или третьих лиц, при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- примеры законных интересов: обеспечение внутренней безопасности, организация допуска на объекты, предотвращение злоупотреблений, разрешение споров.
- включая случаи, прямо указанные в федеральных законах, подзаконных нормативных актах, а также правовых позициях уполномоченных государственных органов (например, Роскомнадзора, Минцифры и др.).
5.3. При необходимости передачи персональных данных третьим лицам (например, администрациям спортивных объектов, партнерам, тренерам) Оператор обеспечивает наличие соответствующего согласия субъекта либо обосновывает законность такой передачи иными основаниями, предусмотренными законом.
5.4. Обработка персональных данных без согласия субъекта допускается исключительно в случаях, прямо предусмотренных ст. 6, 10 и 11 Федерального закона от 27.07.2006 № 152- ФЗ, в частности:
- в целях достижения общественно значимых целей, установленных законом;
- по требованию уполномоченных государственных органов в рамках их полномочий;
- в целях осуществления правосудия, исполнения судебных актов и актов иных органов;
- в иных установленных законом случаях.
6. Порядок и условия обработки персональных данных.
6.1. Обработка персональных данных осуществляется Оператором с соблюдением принципов и требований, установленных действующим законодательством Российской Федерации, включая:
- законность целей и способов обработки;
- добросовестность и справедливость в отношении субъекта персональных данных;
- соответствие целей обработки ранее заявленным и явно выраженным целям;
- обеспечение достоверности, достаточности и актуальности обрабатываемых персональных данных;
- хранение персональных данных в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки.
6.3. Персональные данные обрабатываются Оператором в следующих формах:
- путем сбора данных при личном предоставлении субъектом персональных данных;
- путем получения данных через электронные формы на сайтах Оператора;
- в процессе заключения и исполнения договоров, анкетирования, взаимодействия с клиентами, регистрации на мероприятия;
- в информационных системах персональных данных, принадлежащих Оператору, с использованием средств автоматизации либо без таковых.
6.5. Доступ к персональным данным предоставляется:
- работникам Оператора, чьи должностные обязанности прямо предусматривают обработку персональных данных;
- уполномоченным третьим лицам — при наличии законных оснований и (или) согласия субъекта персональных данных;
- органам государственной власти, правоохранительным и иным компетентным органам —
6.6. Хранение персональных данных осуществляется:
- на бумажных носителях — в помещениях, обеспечивающих исключение несанкционированного доступа;
- в электронном виде — на серверах и в системах, защищенных техническими и программными средствами;
- срок хранения персональных данных определяется целями обработки, условиями договоров и требованиями законодательства, но не превышает сроков, установленных нормативными правовыми актами.
- при достижении целей обработки либо в случае утраты необходимости в их достижении;
- по истечении сроков хранения, установленных законодательством или договором;
- по требованию субъекта персональных данных в случаях, предусмотренных законом;
- в соответствии с утвержденными локальными нормативными актами Оператора.
- не принимает в отношении субъекта персональных данных решения, порождающего для него юридические последствия либо иным образом затрагивающего его права и законные интересы, исключительно на основании автоматизированной обработки персональных данных;
- не осуществляет трансграничную передачу персональных данных без предварительного соблюдения всех требований, предусмотренных законодательством РФ (включая проверку наличия адекватной защиты в иностранном государстве).
7. Права субъектов персональных данных.
7.1. Субъект персональных данных, чьи данные обрабатываются Оператором, обладает всеми правами, предусмотренными законодательством Российской Федерации в области персональных данных, включая, но не ограничиваясь следующими:
7.1.1. Право на получение информации об обработке персональных данных
Субъект персональных данных имеет право на получение от Оператора информации, касающейся обработки его персональных данных, включая:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки;
- цели и применяемые способы обработки;
- наименование и место нахождения Оператора;
- сведения о лицах (за исключением сотрудников Оператора), которым могут быть переданы персональные данные на основании договора с Оператором или в соответствии с федеральным законом;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту;
- срок обработки персональных данных, включая срок их хранения;
- порядок осуществления субъектом прав, предусмотренных законодательством;
- информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена третьему лицу.
7.1.2. Право на уточнение, блокирование или уничтожение персональных данных Субъект персональных данных имеет право требовать от Оператора:
- уточнения (актуализации, изменения) своих персональных данных, если данные являются неполными, неточными или неактуальными;
- блокирования персональных данных в случае выявления неправомерной обработки до устранения нарушений;
- уничтожения персональных данных, если они обрабатываются незаконно либо более не требуются для целей обработки, а также в случае отзыва согласия, если обработка осуществляется исключительно на основании согласия.
Субъект персональных данных вправе в любое время отозвать ранее данное согласие на обработку персональных данных. Отзыв согласия не влияет на законность обработки, осуществляемой до момента его получения Оператором. После получения отзыва согласия Оператор обязан прекратить обработку персональных данных, если отсутствуют иные законные основания для ее продолжения.
7.1.4. Право на обжалование действий Оператора
Субъект персональных данных вправе обжаловать действия или бездействие Оператора, нарушающие его права, в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), а также в судебном порядке.
7.1.5. Право на отказ от автоматизированного принятия решений
Субъект персональных данных вправе потребовать, чтобы в отношении него не принимались решения, основанные исключительно на автоматизированной обработке персональных данных, если такие решения порождают юридические последствия или иным образом существенно затрагивают его права и законные интересы.
7.2. Для реализации своих прав субъект персональных данных может направить Оператору:
- письменный запрос, подписанный лично или с использованием усиленной квалифицированной электронной подписи;
- обращение через официальный сайт Оператора (если такая возможность реализована);
- обращение иным способом, не противоречащим действующему законодательству.
- предоставление информации может привести к нарушению прав и законных интересов третьих лиц;
- запрос не содержит сведений, позволяющих идентифицировать субъект;
- обращение направлено с нарушением требований законодательства (например, без подписи, без приложений, удостоверяющих личность).
8. Обязанности Оператора при обработке персональных данных.
8.1. Оператор, осуществляющий обработку персональных данных, обязан принимать все предусмотренные законом организационные, правовые и технические меры, направленные на защиту персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
8.2. В соответствии с требованиями Федерального закона № 152-ФЗ и иных нормативных правовых актов Российской Федерации, Оператор обязан:
8.2.1. Обеспечить законность и обоснованность обработки персональных данных
- Осуществлять обработку персональных данных только при наличии соответствующих правовых оснований (в том числе письменного согласия субъекта, необходимости исполнения договора, требований закона и др.).
- Обеспечивать соответствие целей обработки ранее заявленным и конкретным целям, не допускать обработки персональных данных, несовместимой с этими целями.
- Минимизировать объем обрабатываемых данных, исключать избыточные и неактуальные сведения.
- Вести реестр уведомлений, своевременно актуализировать сведения, содержащиеся в поданном уведомлении, в случае изменения характера или условий обработки.
- Уведомлять об изменении сведений в течение 10 рабочих дней с момента наступления соответствующих обстоятельств.
- Определить и документально закрепить обязанности по обеспечению безопасности персональных данных.
- Обеспечить наличие у такого лица необходимых знаний о требованиях законодательства, локальных нормативных актов и процедур Оператора.
- Утвердить и внедрить политику конфиденциальности, положения о защите персональных данных, регламенты взаимодействия с субъектами ПДн, порядок уничтожения ПДн, условия хранения, а также перечень работников, имеющих доступ к ПДн.
- Ознакомить работников под подпись с указанными документами и обеспечить соблюдение установленных требований.
- В соответствии с требованиями постановлений Правительства РФ № 687, № 1119, приказа ФСТЭК № 21 и иных нормативных актов обеспечить реализацию организационных и технических мер по защите персональных данных.
- Применять средства защиты информации, прошедшие процедуру оценки соответствия (сертификации) в установленном порядке, в зависимости от уровня защищенности обрабатываемых данных.
- Проводить внутренние аудиты и проверки соблюдения мер по защите персональных данных.
- Обеспечить прием, регистрацию и хранение обращений, заявлений, запросов субъектов ПДн.
- Давать мотивированные ответы в установленные законом сроки.
- Обеспечивать восстановление нарушенных прав субъектов ПДн, если допущены нарушения.
- Организовать обязательное ознакомление работников, непосредственно участвующих в обработке ПДн, с требованиями законодательства и локальных актов Оператора.
- Обеспечить допуск к персональным данным только лиц, имеющих соответствующие полномочия и прошедших инструктаж (в том числе по вопросам конфиденциальности и ИБ).
- Учет бумажных и электронных носителей, содержащих персональные данные;
- Документирование операций по получению, передаче, изменению, уничтожению и обезличиванию ПДн;
- Принятие мер по недопущению несанкционированного копирования и распространения данных.
- использовать персональные данные в целях, не заявленных при их сборе;
- передавать персональные данные третьим лицам без согласия субъекта (если иное не предусмотрено законом);
- принимать решения, порождающие юридические последствия для субъекта, исключительно на основании автоматизированной обработки данных без его письменного согласия.
- уничтожить персональные данные или обезличить их в течение 30 (тридцати)
- составить соответствующий акт об уничтожении или обезличивании персональных данных;
- прекратить доступ к персональным данным всем работникам, ранее имевшим к ним доступ, если иное не предусмотрено законом
9. Меры по обеспечению безопасности персональных данных.
9.1.Оператор при обработке персональных данных принимает необходимые и достаточные правовые, организационные и технические меры для обеспечения безопасности персональных данных в целях предотвращения:
- неправомерного или случайного доступа к персональным данным;
- уничтожения, изменения, блокирования, копирования, распространения персональных данных;
- иных неправомерных действий в отношении персональных данных.
9.3. Меры по обеспечению безопасности персональных данных включают:
9.3.1. Организационные меры:
- Назначение ответственного за организацию обработки и защиту персональных данных;
- Определение перечня работников, допущенных к обработке персональных данных, с ограничением их прав доступа;
- Заключение обязательств о неразглашении персональных данных с работниками и иными лицами, имеющими доступ к данным;
- Ознакомление работников под подпись с положениями законодательства РФ, внутренними нормативными актами Оператора в сфере защиты персональных данных;
- Разработка и внедрение локальных актов, регламентирующих порядок обработки и защиты персональных данных;
- Проведение регулярных проверок и ревизий соблюдения требований по защите персональных данных;
- Организация физической охраны помещений, где ведется хранение и обработка ПДн.
- Заключение договоров с операторами по обработке персональных данных (при передаче на аутсорсинг), содержащих обязательства по соблюдению конфиденциальности и защите персональных данных;
- Получение от субъектов персональных данных надлежащим образом оформленного согласия (в случаях, предусмотренных законом);
- Соблюдение требований законодательства при трансграничной передаче персональных данных.
- Использование сертифицированных средств защиты информации (СЗИ), включая межсетевые экраны, антивирусные средства, системы обнаружения вторжений, криптографические средства защиты (при необходимости);
- Контроль и регистрация действий пользователей в информационных системах;
- Разграничение доступа к персональным данным по уровням и ролям пользователей;
- Обеспечение резервного копирования и восстановления информации;
- Применение средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ.
- Оператор обеспечивает регистрацию и учет инцидентов, связанных с нарушением безопасности персональных данных, а также ведет расследование причин инцидентов и устраняет выявленные уязвимости.
- В случае выявления утечки персональных данных, нарушения порядка их обработки, неправомерного доступа либо иных инцидентов, повлекших или могущих повлечь причинение вреда субъектам персональных данных, Оператор:
- уведомляет Роскомнадзор в порядке, установленном действующим законодательством;
- принимает исчерпывающие меры по устранению последствий и недопущению повторных инцидентов.
- Хранение персональных данных осуществляется с соблюдением принципа изоляции и защиты информации, включая:
- хранение бумажных носителей в запираемых шкафах, сейфах, архивах;
- Оператор осуществляет регулярное:
- тестирование и оценку эффективности применяемых мер защиты;
- обучение персонала по вопросам информационной безопасности и защиты персональных данных.
Размещение и изменение политики
- Настоящая Политика опубликована в открытом доступе на следующих интернет-ресурсах: https://rusvolley.ru/;
- Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция публикуется на сайте. Изменения вступают в силу с момента публикации, если иное не предусмотрено новой редакцией.
Контактная информация:
По всем вопросам, связанным с обработкой персональных данных, обращаться по следующим контактам: Email: info@rus-volley.ru
Уполномоченное лицо по защите персональных данных: Доронин Андрей Владимирович