Политика обработки персональных данных клиентов и контрагентов

1.1. Политика  обработки  персональных данных  клиентов и контрагентов  Общества с ограниченной ответственностью «Спортивно-оздоровительный комплекс «Фитнес-центр «Экселент» (далее – «Общество», «Клуб»)  определяет цели и общие принципы обработки персональных данных, а также реализуемые организационные и технические меры защиты персональных данных клиентов и контрагентов  Общества.  

1.2 Настоящая Политика (далее – «Политика»)  является локальным нормативным документом Общества, предоставляется  клиентам и контрагентам Общества при заключении и исполнении  договоров физкультурно-оздоровительных и иных услуг, а также контрагентам Общества  для заключения  и исполнения иных гражданско-правовых договоров, связанных с ведением его хозяйственной деятельности.

1.3. Предоставление Политики для ознакомления производится путем размещения ее действующей редакции в электронном виде на сайте  Общества  по адресу: www.excellentfit.ru и в документальном виде - на информационном стенде Клуба в Отделе продаж  по адресу: г.Красноярск, ул. Профсоюзов, 60.

1.4. Политика  определяет порядок работы (сбора, накопления,  использования, хранения, уточнения, передачи, обезличивания, удаления, уничтожения и т.д.) с персональными данными  клиентов и контрагентов (физических лиц – представителей контрагентов)  Общества и обеспечения конфиденциальности сведений указанных лиц, предоставленных  ими Обществу в связи с заключением и исполнением вышеназванных гражданско-правовых договоров.

1.5. Положения Политики обязательны для исполнения всеми лицами, обрабатывающими персональные данные  клиентов и контрагентов Общества.

- Персональные данные  (далее – «ПД») – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу-  клиенту или контрагенту Общества (физическому лицу – представителю контрагента).

- Общество. Клуб –  Общество с ограниченной ответственностью «Спортивно-оздоровительный комплекс «Фитнес-центр «Экселент», являющийся оператором при  обработке  ПД, выступающий в отношениях с клиентами и контрагентами в качестве стороны в договоре,  осуществляющий обработку ПД  клиентов и контрагентов Общества, в связи с  заключением, реализацией, прекращением  договоров. 

- Субъекты ПД – клиенты Общества (члены Клуба, их законные представители)   и контрагенты (физические лица – представители контрагентов) -   в связи с  заключением, реализацией, прекращением договоров оказания физкультурно-оздоровительных и иных услуг, а также иных гражданско-правовых договоров, связанных с обеспечением хозяйственной деятельности Общества (далее – «субъект ПД»).

- Обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение, актуализацию), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

- Конфиденциальность ПД -  обязательное для соблюдения Обществом или иным лицом, получившим доступ к ПД, требование не допускать их распространения без согласия субъекта ПД или наличия иного законного основания.

-  Предоставление ПД– действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц.

- Распространение ПД – действия, направленные на раскрытие ПД неопределенному кругу лиц.

- Трансграничная передача ПД – передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

- Удаление части ПД – действия, в результате которых часть ПД в информационной системе  Работодателя и/или на материальных носителях ПД становится недоступной для прочтения, для  восприятия содержащейся в ней с  невозможностью восстановления  содержания удаленной части ПД  и сохранением остальной (не удаленной) части ПД.

- Уничтожение ПД  – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе  Работодателя и /или в результате которых уничтожаются материальные носители ПД.

- Обезличивание ПД – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность  ПД конкретному субъекту ПД.

Общество осуществляет обработку  ПД с целью  заключения и исполнения  договоров оказания физкультурно-оздоровительных и иных услуг, включенных в виды деятельности Общества, а также иных гражданско-правовых договоров, связанных с обеспечением хозяйственной деятельности Общества, а также для  исполнения Обществом обязанностей  стороны в договоре, налогового агента, иных обязанностей хозяйствующего субъекта,  возникающих по договорам (включая завершенные договорные отношения).

При обработке ПД Общество руководствуется следующими принципами: 

• обработка ПД осуществляется на законной и справедливой основе;
• Общество осуществляет обработку ПД, полученных только от владельцев ПД – клиентов или контрагентов Общества в связи с заключением и действием договоров;  Общество вправе получать ПД  субъекта ПД от третьих лиц только при наличии письменного согласия указанного субъекта ПД – физического лица;
• содержание и объем обрабатываемых ПД данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПД по отношению к заявленным целям их обработки;
• обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей, связанных с заключением, реализацией и прекращением договорных отношений между Обществом и субъектом ПД, выполнением  обязанностей  хозяйствующего субъекта, налогового агента;
• не допускается обработка ПД, не совместимая с целями сбора ПД;
• не допускается объединение баз данных, содержащих ПД, обработка  которых осуществляется в целях, не совместимых между собой;
• хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем того требуют цели обработки персональных данных, и не более  сроков  хранения персональных данных,  установленных федеральными законами,  подзаконными актами и соответствующими им локальными нормативными актами Общества; 
• обрабатываемые ПД  подлежат  уничтожению, удалению   либо обезличиванию по достижении целей обработки,  в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.
• предоставление (передача)  ПД  допускается только в случаях, установленных действующим законодательством, а также для исполнения обязанностей хозяйствующего субъекта, налогового агента;
• распространение,  трансграничная  передача полученных ПД  Обществом не производится.

• Федеральный Закон «О физической культуре  и спорте в Российской Федерации»;
• Гражданский Кодекс Российской Федерации;
• Федеральный Закон  «Об обществах с ограниченной ответственностью»;
• Постановление Правительства Российской Федерации от 15.09. 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Российской Федерации от 01.11. 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Устав ООО «СОК «Фитнес-центр «Экселент»;
• Договоры возмездного оказания физкультурно-оздоровительных и иных услуг, заключаемые ООО «СОК «Фитнес-центр «Экселент» с клиентами Клуба;
• Гражданско-правовые договоры,  заключаемые ООО «СОК «Фитнес-центр «Экселент» в связи с обеспечением хозяйственной деятельности Общества,
• Иные нормативно-правовые документы, регулирующие вопросы  обработки персональных данных.

5.1. Субъект персональных данных имеет право:

- получать от Общества сведения о своих ПД, находящихся в распоряжении Общества,

- получать доступ к своим ПД в объеме, предусмотренном законодательством;

- требовать от Общества уточнения ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки,

- отозвать данное им согласие на обработку ПД;

- обжаловать действия Общества по обработке ПД;

- принимать иные предусмотренные законом меры по защите своих прав.

5.2. Общество обязано:

- предоставить субъекту ПД по его просьбе информацию, предусмотренную законодательством, при сборе ПД субъекта ПД;

- разъяснить субъекту ПД юридические последствия отказа предоставить Обществу его ПД, в случаях, когда предоставление таких данных является обязательным для заключения и исполнения договора и Общество обязано их получить;

- принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством о ПД и принятыми в соответствии с ним нормативными правовыми актами;

- нести иные  предусмотренные законодательством обязанности.

Общество обрабатывает  ПД в отношении следующих  категорий субъектов ПД:

- клиенты Общества - члены Клуба, являющиеся стороной в договоре оказания физкультурно-оздоровительных и иных услуг ( «клиент», «член Клуба»);

- физические лица – представители контрагентов Общества,   предоставившие Клубу свои ПД в связи с  заключением, реализацией, прекращением договоров по  обеспечению  хозяйственной деятельности Общества.

- физические лица – контрагенты  Общества,   предоставившие Клубу свои ПД в связи с  заключением, реализацией, прекращением договоров по  обеспечению  хозяйственной деятельности Общества.

7.1. В отношении клиентов  Общество обрабатывает следующие ПД:

фамилия, имя, отчество клиента, гражданство, пол, дата и место рождения, данные удостоверяющего личность документа, сведения о состоянии здоровья, имеющие отношение к оказываемым услугам (устные сведения, по желанию клиента), сведения о составе семьи, фамилия, имя, отчество родственников клиента, их, контактные данные (по желанию клиента), сведения лицевого счета в базе Клуба, банковских карт (по желанию клиента).

Указанные ПД обрабатываются с целью заключения и исполнения договоров оказания услуг, осуществления пропускного режима в Клубе, обеспечения безопасности,  качества физкультурно-оздоровительных и иных услуг, индивидуализации нагрузок,  для реализации членских карт определенных форматов, для оперативных контактов по вопросам исполнения договора, оплаты услуг Клуба, реализации Обществом обязанностей налогового агента.

7.2. В отношении физических лиц – представителей контрагентов Общество обрабатывает следующие ПД:

фамилия, имя, отчество представителя, данные удостоверяющего личность документа, адрес регистрации по месту жительства, занимаемая должность.

Указанные ПД обрабатываются с целью заключения и исполнения гражданско-правовых договоров по  обеспечению хозяйственной деятельности Общества, исполнения требований должностной осмотрительности при заключении и исполнении сделок, реализации Обществом обязанностей налогового агента.

7.3. В отношении  физических лиц – контрагентов Общество обрабатывает следующие ПД:

фамилия, имя, отчество контрагента, данные паспорта,  иного удостоверяющего личность документа, адрес регистрации по месту жительства, сведения ИНН, контактные данные.

Указанные ПД обрабатываются с целью заключения и исполнения гражданско-правовых договоров по  обеспечению хозяйственной деятельности Общества, исполнения требований должностной осмотрительности при заключении и исполнении сделок, реализации Обществом обязанностей налогового агента.

- Договоры возмездного оказания физкультурно-оздоровительных и иных услуг. Оформляются в бумажном виде. Действующие договоры обрабатываются и хранятся в кабинетах отдела продаж Клуба. Исполненные (прекратившие действие) договоры  хранятся  в архиве Клуба в течение 3 лет.

- Анкеты клиентов Клуба, сформированные в  электронном виде, обрабатываются и хранятся  в  автоматизированной специализированной системе «А @ A» на персональных компьютерах.  Анкеты по исполненным  (прекращенным  договорам)  хранятся в  течение 30 дней.

- Гражданско-правовые договоры (включая доверенности). Оформляются в бумажном виде. Обрабатываются и хранятся в кабинетах правового отдела, финансового отдела. Исполненные договоры хранятся в архиве Клуба в течение 5 лет.

-  Автоматизированная  специализированная  программа  «А @ A»  по обеспечению деятельности Фитнес-центра. Установлена и обрабатывает ПД на  персональных компьютерах сотрудников Общества, допущенных к обработке  ПД (отдел продаж, сервисный отдел (рецепция), финансовый отдел, СПА-отдел, Мастерская красоты, IT- отдел, директор) .

- Специализированная  бухгалтерская программа 1С.   Установлена и обрабатывает ПД на  персональных компьютерах сотрудников финансового отдела Общества, допущенных к обработке  ПД.

9.1. Действия с ПД включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение ПД.

9.2. Обработка ПД в Обществе осуществляется следующими способами:

-  неавтоматизированная обработка ПД (без использования средств автоматизации);

-  автоматизированная обработка (с использование специализированной

   автоматизированной программы 1С);

- смешанная обработка ПД.

Актуализация, исправление, удаление и уничтожение ПД

10.1. ПД клиентов и контрагентов  Общества Клуб получает непосредственно от его клиентов и контрагентов.  

10.2.При заключении договора оказания физкультурно-оздоровительных и иных услуг субъект ПД (член Клуба, его законный представитель) предоставляет сотруднику отдела продаж Клуба следующие ПД для заключения и исполнения договора, прохождения предварительного тестирования, обеспечения пропускного режима в Клубе:

 фамилию, имя, отчество, дата рождения, паспортные данные, адрес места жительства и  номер телефона для связи (по желанию), предъявляет  документ, удостоверяющий личность.

Полученные сведения сотрудник отдела продаж заносит в электронную базу  Клуба и в договор оказания услуг (договор в бумажном виде), где они хранятся и обрабатываются в течение срока действия договора.

10.3. После заключения договора член Клуба проходит предварительное медицинское тестирование у медицинского работника Клуба,  устно сообщает ему сведения о состоянии здоровья (по желанию)  и получает на руки медицинские рекомендации по физическим нагрузкам. Запись о приеме вносится в журнал медицинского приема, который хранится в закрытом шкафу в кабинете врачей Клуба.

10.4.  При проведении персональных тренировок, занятий член Клуба сообщает персональному инструктору данные о имеющихся  медицинских противопоказаниях (по желанию клиента), которые персональный инструктор вправе использовать только для построения плана  безопасных и эффективных тренировок.  

10.5. При заключении гражданско-правовых договоров, направленных на обеспечение хозяйственной деятельности, Общество получает от контрагентов - юридических  лиц следующие персональные данные их представителей – физических лиц и ПД контрагентов - физических лиц: фамилия, имя, отчество, дата рождения, данные паспорта, регистрации по месту жительства, должность. Вышеназванные ПД  указываются в доверенностях на представителей, в договорах, обрабатываются и хранятся в служебных кабинетах правового и финансового отделов Клуба.

10.6. Общество не вправе требовать от субъектов ПД предоставления избыточной информации, информации, не связанной с заключением и исполнением договоров.  

10.7.  Субъект ПД  предоставляет Обществу только достоверные и актуальные сведения.

При изменении ПД, обнаружении неточности ПД   субъект ПД письменно уведомляет Общество о таких изменениях, неточностях в разумный срок, не превышающий 14 дней.  Общество вносит изменения, исправления в ранее полученные  ПД на основании представленных субъектом ПД новых  сведений.

При подтверждении сведений о неточности ПД или неправомерности их обработки,  Общество актуализирует ПД  субъекта ПД, прекращает обработку неактуальных  ПД.    

10.8. Общество прекращает обработку ПД субъекта ПД при достижении целей обработки, связанных с заключением и действием  договора, получением ПД, исполнением обязанностей налогового агента, а также при истечении срока действия согласия на обработку или отзыва согласия на обработку, а также при выявлении неправомерной обработки ПД .

10.9. Бумажные носители, содержащие ПД субъекта ПД, подлежат уничтожению  с помощью механического измельчителя  документов в бумажном виде и путем   удаления информации  из электронной базы данных методом стирания или форматирования носителя в установленные настоящей Политикой сроки.

Факт уничтожения подтверждается оформлением комиссионного акта об уничтожении.

10.10. При  исполнении (расторжении) договора Общество прекращает обработку полученных по нему ПД, за исключением той части ПД,  дальнейшая обработка (хранение) которых в течение определенного срока предписана действующим законодательством   и принятыми в соответствии с ним локальными нормативными актами  Общества.

10.11.   При наличии в одном документе персональных данных, которые относятся и к группе подлежащих хранению ПД,  и к группе не подлежащих удалению ПД,  Общество:

- удаляет с носителя персональных данных  ту часть ПД, цель обработки которых достигнута;

- продолжает хранение части ПД, подлежащих дальнейшей (ограниченной) обработке, путем перемещения носителя персональных данных в архив  Общества.

10.12. Порядок удаления части ПД:

Удаление из документов части ПД  производится при сохранении необходимости дальнейшей обработки остающейся  части ПД.

Удаление  части ПД   с документов в бумажном виде (носителей ПД) производится путем  закрашивания  текста с ПД  красящим веществом, исключающим возможность прочтения удаленного текста и его дальнейшее восстановление.

Удаление  части ПД в   электронной базе данных (носителя ПД) производится путем  форматирования носителя, изъятия текста с ПД  с персональных компьютеров, исключающего  возможность его дальнейшего восстановления.

11.1. Обработка и хранение ПД осуществляются не дольше, чем это требуют цели их обработки и сроки хранения, установленные действующим законодательством и принятыми на его основе локальными нормативными актами Общества.

11.2. Основные сроки хранения документов, баз данных в Обществе составляют:

• Договоры возмездного оказания физкультурно-оздоровительных и иных услуг  - 3 года по  окончанию года  прекращения договора;
• Анкеты членов Клуба (в электронном виде) – 30 дней по окончанию месяца прекращения договора;
• Договоры по хозяйственной деятельности – 5 лет по  окончанию года  прекращения договора;
• Журналы медицинского приема – 30 дней по окончанию года окончания журнала;
• Документы на прием и выдачу денежных средств, проведение платежей – 5 лет по окончанию года прекращения договора, оформления операций.

12.1. Доступ к персональным данным субъекта ПД в Обществе имеют:

-  директор, заместитель директора по экономике и финансам - главный бухгалтер, заместитель директора по правовым и кадровым вопросам (к данным, необходимым для выполнения их должностных обязанностей, заключения, исполнения, прекращения договоров);

- менеджеры отдела продаж (к данным, необходимым для заключения и исполнения договоров с клиентами Клуба);

- администраторы - сотрудники рецепции (к данным, необходимым для учета посещений Клуба, оказываемых услуг); 

- советник по безопасности, инспекторы отдела внутреннего контроля  (к данным, необходимым для осуществления пропускного контроля, сохранности имущества);

- системные администраторы (к данным, необходимым для функционирования автоматизированных систем  учета услуг Клуба);

- инструкторы Фитнес-отдела (к данным, необходимым для оказания физкультурно-оздоровительных и иных услуг клиентам Клуба), врачи (к данным, необходимым для проведения физиологического тестирования, помощи клиентам Клуба);

- сотрудники финансового отдела (к данным, необходимым для проведения финансовых операций по оказываемым услугам, налоговых операций);

- администраторы СПА-отдела, менеджер отдела «Мастерская красоты» (к данным, необходимым для оказания СПА-услуг, услуг отдела «Мастерская красоты»).

- начальник хозяйственного отдела, начальник инженерно-технического отдела (к данным, необходимым для заключения, исполнения, расторжения договоров по обеспечению хозяйственной деятельности Общества).

12.2. Доступ других специалистов Клуба к персональным данным осуществляется на основании письменного разрешения  директора.

12.3. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов) получают доступ к персональным данным, обрабатываемым в Клубе, в объеме и порядке, установленном действующим законодательством.

13. 1. Субъект ПД имеет право:

-  получать от Общества  сведения об обрабатываемых ПД ,

- требовать от Общества уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки,

-  принимать предусмотренные законом меры по защите своих прав,

-  иные права, предусмотренные действующим законодательством.

13.2. Общество обязано:

- по запросу субъекта ПД  предоставить ему полные сведения о ПД, об обрабатываемых в отношении субъекта ПД, уточнять и удалять их,

 - получать и обрабатывать только те ПД, которые были получены непосредственно от субъекта ПД,

-обеспечивать конфиденциальность ПД;

- нести иные обязанности, предусмотренные действующим законодательством.

13.3.  Для доступа к своим ПД, их уточнение, удаления  субъект ПД  должен обратиться к Клуб лично  с письменным запросом, в котором указывается номер  членской карты или  номер и дата договора, и документом, подтверждающим личность.  Ответ на запрос  Клуб передает субъекту ПД лично (или его уполномоченному представителю)  или направляет по адресу, указанному субъектом ПД  в запросе,  в течение 7 дней.

14.1. Общество применяет  следующие основные организационные и технические меры для защиты ПД от неправомерного или случайного  доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении представленных работником  ПД:

• назначает лиц, ответственных  за организацию обработки ПД в Обществе;
• издает локальные нормативные акты по вопросам обработки и защиты ПД в Обществе;
• обеспечивает доступ  к настоящей Политике неограниченному кругу лиц;
• обеспечивает  круглосуточную охрану и ведеонаблюдение в здании, где обрабатываются и хранятся ПД,   вводит режим контролируемого, ограниченного  доступа в здание Клуба (пропускная система),
• устанавливает круг  работников Общества, имеющих доступ к ПД, и объем доступных им ПД;
• осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации и локальных нормативных актов Общества по вопросам обработки ПД, в том числе требованиями к защите персональных данных, получает  от них обязательства и уведомления о соблюдении указанных правил, ответственности за их нарушение, разглашение сведений;
• обеспечивает  сотрудникам  лимитированный доступ к той части  ПД, которая необходима и достаточна для выполнения их трудовых обязанностей;
• устанавливает правила доступа к местам хранения  ПД,  учет выдачи и использования ключей доступа, хранение носителей ПД в закрытых шкафах, ящиках, сейфах, кабинетах;
• защищает паролями компьютеры с ПД,  обеспечивает использование системы паролей при работе в сети (на портале);
• устанавливает запрет на передачу ПД по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны Общества и по сетям Интернет без применения установленных в Обществе  мер по обеспечению безопасности ПД (за исключением общедоступных и (или) обезличенных ПД);
• использует обновляемые антивирусные программы для защиты от несанкционированного доступа, передачи ПД;
• осуществляет внутренний контроль  соблюдения правил обработки ПД в Обществе;
• принимает иные меры, предусмотренные законодательством Российской Федерации в области ПД.

15.1. Информация, относящаяся к ПД, является служебной тайной Общества.

15.2. Работники Общества, допущенные к обработке ПД, несут дисциплинарную,  материальную, административную и уголовную ответственность за нарушение правил обработки ПД в  порядке, предусмотренном  действующим законодательством.