Пользовательское соглашение на обработку персональных данных

Использование сервисов Сайта означает безоговорочное согласие Пользователя с настоящим Соглашением и указанными в нем условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования сервисов сайта.

Предоставляя свои персональные данные, Покупатель даёт согласие на обработку, хранение и использование своих персональных данных в соответствии с ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» в следующих целях:

  • Регистрация Пользователя на сайте

  • Осуществление клиентской поддержки

  • Получение Пользователем информации о маркетинговых событиях

  • Выполнение Продавцом обязательств перед Покупателем

  • Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.

Под персональными данными подразумевается любая информация относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) и позволяющая установить личность Покупателя такая как:

  • Фамилия, Имя, Отчество
  • Дата рождения
  • Контактный телефон
  • Адрес электронной почты
  • Почтовый адрес
Персональные данные Покупателей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.

Продавец обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:

  • по запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ

  • стратегическим партнерам, которые работают с Продавцом для предоставления продуктов и услуг, или тем из них, которые помогают Продавцу реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.

Продавец оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.


ПОЛОЖЕНИЕ

об организации работ по обеспечению безопасности персональных данных при их обработкебез использования средств автоматизации

1. Общие положения

1.1. Настоящее Положение определяет порядок организации работ по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации в ООО «БЕЛГОРОДСКИЙ АКВАПАРК» (далее - Положение) в целях предоставления Обществом услуг Посетителям Крытого аквапарка «Лазурный» (далее - Оператор) и в целях заключения договора возмездного оказания услуг, а также определяет ответственность Оператора за нарушение требований по обработке персональных данных.

1.2. Цель разработки настоящего положения - определение порядка защиты персональных данных (далее - ПД) посетителей Аквапарка от несанкционированного доступа (далее - НСД) и их разглашения.

Персональные данные являются конфиденциальной, строго охраняемой информацией.

1.3. Наcтоящее Положение разработано в соответствии с требованиями:

- Конституции Российской Федерации;

- Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

- Федерального закона от 27.07.2006 № 149-ФЗ «Об информации и информационных технологиях и о защите информации»;

- Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об Утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;

- Указа Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» и др.

1.4. Положение определяет права и обязанности руководителей и работников Общества при осуществлении обработки ПД, порядок использования ПД в служебных целях, а также порядок взаимодействия по сбору, документированию, хранению и уничтожению ПД.

1.5. Настоящее Положение распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящего Положения.

2. Принципы обработки персональных данных

2.1. Обработка персональных данных осуществляется на основе принципов:

2.1.1. Законности целей и способов обработки персональных данных.

2.1.2. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора персональных данных.

2.1.3. Соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.

2.1.4. Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки избыточных персональных данных, по отношению к целям, заявленным при сборе персональных данных.

 3. Понятия и состав персональных данных Посетителей при предоставлении Обществом услуг по посещению Крытого аквапарка «Лазурный» 

3.1. Персональные данные Посетителей при предоставлении услуг посещения Аквапарка – любая информация, относящаяся к прямо или косвенно определенному или определяемому юридическому лицу, индивидуальному предпринимателю, физическому лицу (субъекту персональных данных).

3.2. Оператор – ООО «БЕЛГОРОДСКИЙ АКВАПАРК», самостоятельно организующий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными при предоставлении услуг.

3.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.4. Использование персональных данных - действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений об отказе или предоставлении услуг в отношении Посетителей, необходимых в целях однократного пропуска субъекта персональных данных на территорию Аквапарка, на которой находится оператор.

3.5. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных Посетителей, в результате которых уничтожаются материальные носители персональных данных.

3.6. Документированная информация – зафиксированная на материальном носителе (бумажном или электронном) путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

3.7. Конфиденциальность персональных данных – обязательное для Оператора требование не допускать распространения персональных данных без согласия субъекта персональных данных.

4. Особенности организации и обработки персональных данных Посетителей Крытого аквапарка «Лазурный» 

4.1. Обработка персональных данных Посетителей осуществляется исключительно в целях:

- заключения и исполнения договора возмездного оказания услуг (оплата посещения Крытого аквапарка «Лазурный», предоставление возможности получения скидки либо оплаты специальной сниженной цены по определенному тарифу и/или акциям, утверждаемым приказами Общества);

- контроля количества и качества выполняемой работы сотрудниками Общества;

4.2. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.3. Получение и обработка персональных данных при предоставлении услуг осуществляется только с согласия Субъекта персональных данных (Посетителя) в письменной форме на обработку его персональных данных.

4.4. Обработка персональных данных Посетителей Аквапарка осуществляется в целях однократного пропуска на территорию Аквапарка для получения возмездных услуг.

4.5. Расписка, заполняемая Посетителем при входе в Аквапарк перед получением входного билета, является выражением согласия Субъекта персональных данных с условиями и правилами посещения Крытого аквапарка «Лазурный», в т.ч. и выражением согласия на обработку персональных данных (п. 1.10 Правил посещения Крытого аквапарка «Лазурный»).

4.6. Перечень персональных данных посетителей Аквапарка, подлежащих обработке Обществом в целях, определяемых в п. 4.1 настоящего Положения, определяется настоящим Положением и приказами Общества об утверждении специальных тарифов и акций, а именно:

- Фамилия, Имя, Отчество (при наличии) субъекта персональных данных, а также Ф.И.О. сопровождаемых им лиц (н/летние лица).

- пол;

- дата рождения / возраст;

- телефон,

- адрес электронной почты,

- иные персональные данные, необходимые для достижения целей, предусмотренных приказом Общества об утверждении специальных тарифов (документ, удостоверяющий личность и/или дополнительный документ, необходимый для предъявления в соответствии с выбранным Тарифом посещения Аквапарка (студенческий билет, пенсионное удостоверения, свидетельство о рождении, справка о статусе многодетной семьи и др.).

4.7. Оператор осуществляет обработку персональных данных без использования средств автоматизации.

4.8. Документы, содержащие персональные данные (при наличии согласия субъекта персональных данных), создаются в Обществе путем:

- копирования оригиналов документов (паспорт, студенческий билет пенсионное свидетельство и другие документы, перечень которых определяется приказами Общества об утверждении тарифов и акций);

4.9. Персональные данные хранятся у Оператора на бумажных носителях, с соблюдением мер, предусмотренных настоящим Положением, нормативными правовыми актами Российской Федерации по защите персональных данных.

4.10. Право на доступ к персональным данным предоставляется должностным лицам Оператора, определяемых внутренним локальным актом Общества.

5. Права субъекта персональных данных 

5.1. Субъект персональных данных имеет право:

5.1.1. На обеспечение защиты прав и законных интересов при обработке его персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

5.1.2. На доступ к своим персональным данным.

5.1.3. На основании письменного запроса получать информацию, касающуюся его персональных данных и их обработки, в том числе содержащую:

- подтверждение факта обработки персональных данных Оператором;

- правовые основания и цели обработки персональных данных;

- применяемые Оператором способы обработки персональных данных;

- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании Федерального закона;

- сроки обработки персональных данных, в том числе сроки их хранения.

6. Права Оператора. 

6.1. Оператор имеет право:

6.1.1. Запрашивать у Посетителей информацию, необходимую для реализации своих полномочий строго в соответствии с целями предоставления услуг (получение скидки по тарифу или участие в акции и т.д.).

6.1.2. Запрашивать сведения о персональных данных Посетителей исключительно в объеме, необходимом для достижения цели предоставления услуг и определяемом настоящим Положением, внутренними локальными актами Общества.

6.1.3. Принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Положения, нормативных правовых актов в области защиты персональных данных.

6.1.4. Привлекать к дисциплинарной ответственности лиц, допустивших неправомерные действия с персональными данными Посетителей.

6.2. Оператору запрещено:

6.2.1. обрабатывать персональные данные в присутствии лиц, не имеющих допуска к их обработке;

6.2.2. осуществлять запись персональных данных под диктовку.

6.2.3. осуществлять передачу персональных данных в коммерческих целях без письменного согласия субъекта персональных данных.

 7. Обязанности Оператора по уничтожению персональных данных

7.1. Оператор обязан:

7.1.1. Немедленно прекратить обработку персональных данных и уничтожить персональные данные в случае отзыва согласия Посетителя на обработку персональных данных.

7.1.2. Уничтожить персональные в случае окончания срока хранения персональных данных в срок, не превышающий 30 (тридцати) календарных дней после их получения Оператором.

 8. Ответственность Оператора

8.1. Ответственность за соблюдение требований законодательства Российской Федерации при обработке и использовании персональных данных возлагается на должностных лиц Оператора, имеющих доступ к персональным данным и работников, обрабатывающих персональные данные в рамках их должностных обязанностей.

8.2. Оператор обязан сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса.

 9. Сроки обработки персональных данных 

9.1. Обработка Оператором персональных данных осуществляется в следующие сроки:

9.1.1. Первичная запись (документирование информации) и систематизация персональных данных Посетителя Аквапарка осуществляется при оформлении входного билета и предъявлении субъектом своих персональных данных, в объеме необходимом для предоставления услуги по договору.

9.1.2. Использование персональных данных Посетителя Аквапарка осуществляется Оператором на протяжении всего срока предоставления услуги, установленного Правилами посещения Крытого аквапарка «Лазурный».

9.1.3. Хранение персональных данных Посетителя Аквапарка после предоставления услуги, осуществляется Оператором и составляет 1 (один) месяц с даты достижения цели обработки персональных данных (предоставления услуги).

9.1.4. Уничтожение персональных данных осуществляется в срок, не превышающий 30 (тридцати) рабочих дней со дня окончания срока хранения персональных данных.

10. Особенности организации обработки и хранения персональных данных, осуществляемых на материальных носителях, без использования средств автоматизации 

10.1. Персональные данные при их обработке без использования средств

автоматизации должны обособляться от любой иной информации, путем фиксации их на отдельных материальных (далее - бумажных) носителях персональных данных.

10.2. Для обработки персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный бумажный носитель.

10.3. При несовместимости целей обработки персональных данных зафиксированных на одном бумажном носителе, если бумажный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, исключающие одновременное копирование иных персональных данных, не подлежащих распространению и использованию.

10.4. При обработке и хранении документированной информации Оператор обязан соблюдать условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

10.5. В процессе обработки персональных данных организуется режим обеспечения безопасности, при котором исключается возможность неконтролируемого проникновения и пребывания посторонних лиц в помещение к сотруднику, уполномоченному на обработку персональных данных.

10.6. В помещения, где хранятся персональные данные, допускаются только должностные лица Оператора, получившие доступ к персональным данным и работники Оператора, обрабатывающие персональные данные на основании приказа генерального директора Общества.

10.7. Источники персональных данных, полученных Оператором в связи с заключением договора возмездного оказания услуг и содержащиеся на бумажных носителях, хранятся в архиве Общества в запираемых шкафах.

10.8. Порядок доступа сотрудников Оператора в помещения, в которых ведется обработка и/или хранение персональных данных, утверждается приказом генерального директора Общества.

 11. Порядок уничтожения персональных данных. 

11.1. Уничтожению подлежат персональные данные в случаях и в сроки,

предусмотренные разделом 9 настоящего Положения.

11.2. Оператор составляет сводные описи персональных данных, подлежащих уничтожению за соответствующий период. Результат отбора документов, содержащих персональные уничтожению, оформляются актом о выделении к уничтожению документов, не подлежащих хранению.

11.3. Акт об уничтожении копий носителей персональных данных, не подлежащих хранению, составляется и утверждается Оператором в форме, согласно Приложению № 1 к настоящему Положению.

11.4. Персональные данные на бумажном носителе уничтожаются путем сжигания или шреддирования.

11.6. После уничтожения документов в номенклатуре дел Оператора проставляется отметка «Уничтожено», с указанием должности, фамилии, подписи работника Оператора, ответственного за передачу дел на уничтожение, и даты.

 12. Заключительные положения 

12.1 Иные права и обязанности Оператора, как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.

12.2. Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

12.3. Уполномоченные на обработку персональных данных должностные лица Общества имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных функций в соответствии с их должностной инструкцией.

12.4. В период отпуска, служебной командировки и иных случаях длительного отсутствия сотрудника (ов) Общества, имеющего (их) доступ к персональным данным на рабочем месте, сотрудник обязан заранее передать носители, содержащие персональные данные лицу, на которое приказом руководителя будет возложено исполнение его трудовых обязанностей.

12.5. При увольнении сотрудника, имеющего доступ к персональным данным, документы и иные носители, содержащие ПД, передаются другому уполномоченному лицу на обработку ПД по указанию руководителя.

12.6. Процедура оформления доступа к ПД работника Общества, включает в себя:

- ознакомление под роспись с настоящим положением и иными нормативными актами, регулирующими обработку и защиту ПД в Обществе;

- истребование письменного обязательства о соблюдении конфиденциальности ПД и соблюдении правил их обработки.

12.7. В случае передачи персональных данных в распоряжение государственных, судебных и иных правоохранительных органов на основании письменного запроса уполномоченного органа, сотрудником Общества составляется акт приема-передачи документов (их копий), содержащих персональные данные.