1.СПИСОК СОКРАЩЕНИЙ И ОПРЕДЕЛЕНИЙ
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Центркрасоты— Общество с ограниченной ответственностью «ЕВВА»;
Блокирование персональных данных — временное прекращение обработки ПДн (за исключением случаев, когда обработка необходима для уточнения ПДн);
Веб-браузер — программное обеспечение, используемое Субъектом ПДн и предназначенное для просмотра информации Веб-ресурсов в сети Интернет;
Веб-ресурс — информационная система, использующая технологии представления и передачи данных для оказания информационных услуг в сети Интернет;
Доступ к информации — возможность получения информации и ее использование (в частности копирование, модификация или уничтожение информации; получение Субъектом ПДн возможности ознакомления с информацией, в том числе при помощи технических средств);
Информационная система персональных данных — совокупность содержащихся в базах данных ПДн, и обеспечивающих их обработку информационных технологий и технических средств;
Клиент — физическое лицо, которое заключило или намеревается заключить с Центром красоты договор на оказание услуг (включая получение услуг путем присоединения к условиям публичного договора), и персональные данные которого переданы Центру красоты.;
Конфиденциальность персональных данных — режим ограниченного доступа, включающий в себя требование не раскрывать третьим лицам и не допускать распространение ПДн без согласия на обработку ПДн, разрешенных Субъектом ПДн для распространения или наличия иного основания согласно действующему законодательству Российской Федерации;
Материальный носитель персональных данных — материальный объект, используемый для закрепления и хранения информации. В целях настоящей Политики под материальным носителем понимается бумажный документ, диск, дискета, флэш-карта и т. п.;
Мобильное приложение — программное приложение, разработанное Центром красоты и предназначенное для работы на мобильном устройстве с целью получения доступа к Веб- ресурсам Центра красоты;
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному Субъекту ПДн, производимые в соответствии с Приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) Центра красоты, совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Оператор ПДн — Общество с ограниченной ответственностью «ЕВВА», организующее и (или) осуществляющее обработкуперсональных данных самостоятельно
или совместно с другими лицами обработку персональных данных, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
Ответственное лицо — работник Центра красоты, назначенный ответственным в части выполнения бизнес- или функциональным подразделением Центра красоты по вопросам обработки персональных данных;
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту ПДн);
Персональные данные, разрешенные Субъектом ПДн для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом ПДн путем дачи согласия на обработку персональных данных, разрешенных Субъектом ПДн для распространения в порядке, предусмотренном настоящим Федеральным законом № 152-ФЗ;
Предоставление персональных данных — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
Представитель — физическое лицо, являющееся представителем физического или юридического лица, полномочия которого основаны на доверенности, договоре, законе либо акте уполномоченного на то государственного органа или органа местного самоуправления; Распространение персональных данных — действия, направленные на раскрытие ПДн неопределенному кругу лиц, в том числе обнародование ПДн в средствахмассовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом;
Роскомнадзор — уполномоченный орган по защите прав СубъектовПДн — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; Субъект ПДн — физическое лицо, которое прямо или косвенноопределенное с помощью персональных данных. В рамках настоящей Политики:
— клиент, (кромеюридического лица) либо представитель клиента;
— представители либо сотрудники юридических лиц, сведения о которых юридические лица передают в Центр красоты;
— посетители Центра красоты;
— другие физические лица, которые посещают интернет-сайт Центра красоты, и заполняют на нем различные формы с целью приобретения продукта/услуги, стать клиентом или воспользоваться сервисом записи на услугу;
Трансграничная передача персональных данных — передачаПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Осуществляется в соответствии с Федеральным законом № 152-ФЗи может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства; Уничтожение персональных данных — действия, в результате которыхстановится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
Cookie-файлы — небольшой фрагмент данных, хранимый в настройках Веб-браузера Субъекта ПДн и обрабатываемых Веб-ресурсом центра красоты при использовании Субъектом ПДн данных Веб-ресурса Центра красоты;
ИСПДн — информационная система персональных данных;
ПДн — персональные данные.
2.ОБЩИЕ ПОЛОЖЕНИЯ2.1.Настоящая «Политика ООО"ЕВВА» в отношении обработки персональных данных" (далее — Политика) разработана в соответствии с требованиями законодательства Российской Федерации в области персональных данных.
2.2.Настоящая Политика ООО «ЕВВА» предоставляет информацию об основных принципах, целях, правовых основаниях, порядке и условиях обработки персональных данных, об их объеме и категориях, а также реализуемых требованиях к их защите.
2.3.Действие Политики распространяется на все процессы Центра красоты, связанные с обработкой персональных данных.
Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Центре красоты.
Пересмотр и обновление настоящей Политики осуществляется в связи с изменениями законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Центра красоты, а также по результатам других контрольных мероприятий.
2.4.Настоящая Политика является общедоступным документом, размещаемым на официальном сайте Центра красоты в информационно-телекоммуникационной сети «Интернет», неограниченный доступ к которому предоставляется любому заинтересованному лицу. Ссылка на настоящую Политику размещается на каждой странице официального сайта, с использованием которых осуществляется сбор персональных данных.
3.ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ3.1.Под целью обработки понимается конкретный конечный результат действий, совершенных с ПДн, вытекающий из требований действующего законодательства Российской Федерации либо договорных отношений сторон, и направленный на исполнение требований законодательства Российской Федерации, а также на создание необходимых правовых условий для достижения оптимального учета интересов сторон.
3.2.Центр красоты осуществляет обработку ПДн для достижения целей, определенных в Условиях обработки персональных данных в ООО «ЕВВА» (Приложение № 1).
3.3.Посетители сайта https://salon-guinot.ru/ заранее уведомляются об обработке ПДн и, в случае несогласия с ней, могут покинуть сайт. В этом случае их данные не обрабатываются.
3.4.Центр красоты использует cookie-файлы, в том числе обрабатывает сведения о посетителях Веб- ресурсов, необходимые для правильной работы Веб-ресурсов и Мобильных приложений Центра красоты, а также в целях удобства использования и улучшения качества работы Веб-ресурсов и Мобильных приложений Центра красоты. Субъект ПДн не использует Веб-ресурсы и (или) Мобильные приложения Центра красоты и не предоставляет Центру красоты свои ПДн, если он не согласен с положениями данного пункта Политики.
3.5.При использовании клиентами Центра красоты платежных приложений сторонних поставщиков, используемых в целях составления и передачи распоряжений о переводе денежных средств с использованием электронных средств платежа, предоставленных Центром красоты, Центр красоты обрабатывает сведения (ПДн) и передает информацию о пользователе платежных приложений поставщику платежного приложения, платежной системе
в целях, установленных соглашением с пользователем и поставщиком платежного приложения.
4.ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ4.1. Обработка персональных данных Центра красоты осуществляется на основе принципов:
• законности целей и способовобработки персональных данных;
• добросовестности, как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных;
• соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;
• точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;
• уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления (если иное не предусмотрено законодательством Российской Федерации);
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.2. Работники Центра красоты, допущенные к обработкеперсональных данных, обязаны:
4.2.1.Знать и неукоснительно выполнять положения:
• законодательства Российской Федерации в областиперсональных данных;
• настоящей Политики;
•локальных актов по вопросам обработки и обеспечения безопасности персональных данных;
4.2.2.Обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
4.2.3.Не разглашать персональные данные, обрабатываемые в Центре красоты;
4.2.4.Сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики, ответственному за организацию обработки персональных данных ;
4.2.5.Сообщать об известных фактах нарушения требований настоящей Политики ответственному за организацию обработки персональных данных ;
4.3.Безопасность персональных данных обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) актуальных угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.
5. КАТЕГОРИИОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ5.1.При определении состава обрабатываемых персональных данных Субъектов ПДн Центр красоты руководствуется минимально необходимым перечнем ПДн для достижения целей обработки ПДн.
5.2.Категории Субъектов ПДн, чьи ПДн обрабатываются Центром красоты, определены в Условиях обработки персональных данных в ООО «ЕВВА» (Приложение № 1).
5.3.При обработке ПДн не допускается сбор избыточных ПДн по отношению к заявленным целям обработки. Состав обрабатываемых ПДн в зависимости от цели обработки ПДн и применительно к каждой категории Субъектов ПДн определен в Условиях обработки персональных данных в ООО «ЕВВА» (Приложение № 1).
5.4.Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни не осуществляется.
5.5.Центр красоты вправе осуществлять обработку сведений о состоянии здоровья в соответствии с Трудовым кодексом Российской Федерации, Федеральным закономот 29.11.2010 № 326-ФЗ
«Об обязательном медицинском страховании в Российской Федерации», а также п. 2.3 ч.2 ст. 10 Федерального закона № 152-ФЗ.
5.6.Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав Субъектов ПДн (илипри отсутствии возможности оценки адекватности защиты), может осуществляться исключительно в случаях исполнения договора, стороной которого является Субъект ПДн, либо при наличии согласия в письменной форме Субъекта ПДн на трансграничную передачу его ПДн, либо в иных случаях, когда такая передача допускается в соответствии с положениями действующего российского законодательства о персональных данных.
6.ПОРЯДОК И УСЛОВИЯОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ6.1.В зависимости от целей обработки ПДн, определенных в Условиях обработки персональных данных в ООО"ЕВВА" (Приложение № 1), обработка ПДн может осуществляется с использованием средств автоматизации и без использования таких средств путем следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
6.2.Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами .
6.3.Заключаемые с Субъектами ПДн договоры не содержат положения, ограничивающие права и свободы Субъектов ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договоров бездействие Субъектов ПДн.
6.4.Обработка ПДн с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и методических документов ФСТЭК России и ФСБ России по защите информации.
6.5.Обработка персональных данных, осуществляемая без использования средств автоматизации, выполняется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
6.6.Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники Оператора ПДн или лица, осуществляющие такую обработку по договору с Оператором ПДн), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором ПДн без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
6.7.Срок обработки и хранения ПДн для всех целей обработки ПДн, определенных в Условиях обработки персональных данных в ООО «ЕВВА» (Приложение № 1) ограничивается сроком необходимости обработки ПДн, включая требования законодательства Российской Федерации в отношении отдельных видов операций, используемых ПДн.
6.8.Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом № 152-ФЗ, осуществляетсяс письменного согласия Субъекта ПДн, в случае если согласие Субъекта ПДн требуется. Равнозначным содержащему собственноручную подпись Субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью Субъекта ПДн.
6.9.Согласие на обработку ПДн может быть дано Субъектом ПДн или его представителем в любой, позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом № 152-ФЗ. Согласие на обработку ПДн, разрешенных Субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Субъекту ПДн предоставляется возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных Субъектом ПДн для распространения.
6.10.Согласие на обработку ПДн может быть предоставлено Субъектом ПДн посредством совершения следующих конклюдентных действий: в случае осуществления передачи персональных данных посредством телефонного вызова согласие на обработку персональных данныхпредоставляется Субъектом ПДн в устнойформе после прослушивания Субъектом ПДн текста согласия, воспроизводимого сотрудниками Оператора, если иное не предусмотрено Федеральным законом № 152-ФЗ.
6.11.В случаях, когда предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор ПДн в рамках своей обязанности разъясняет
Субъекту ПДн юридические последствия отказа Субъекта ПДн предоставить ПДн и (или) дать согласие на их обработку.
6.12. Центр красоты вправе обрабатывать ПДн без согласия Субъекта ПДн (в т.ч. при отзыве Субъектом ПДн согласия на обработку ПДн) при наличии оснований, указанных в ч.2 ст. 9 Федерального закона № 152-ФЗ.
6.13.В случае отсутствия Согласия Субъекта ПДн и оснований, указанных в ч.2 ст. 9 Федерального закона № 152-ФЗ обработка ПДн не осуществляется.
6.14.Создание фото- и видеоизображений в помещениях Центра красоты и на прилегающей территории может производитсяс целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и для последующей передачи в правоохранительные органы в случае необходимости. Указанные фото- и видеоизображения не используются с целью идентификации Субъектов ПДн и не рассматриваются как биометрические ПДн.
6.15.Персональные данные Субъекта могут быть получены Центром красоты от лица, не являющегося Субъектом ПДн, при условии предоставления подтверждения наличия согласия Субъекта ПДн на обработку его ПДн или наличия оснований, указанных в п.п. 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.
6.16.Если ПДн получены не от Субъекта ПДн, а от третьих лиц, Оператор ПДн, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона № 152-ФЗ, до начала обработки таких ПДн предоставляет Субъекту ПДн следующую информацию:
— наименование либо фамилия, имя, отчество и адрес Оператора ПДн или его представителя;
— цель обработки персональных данных и ее правовое основание;
— переченьперсональных данных;
— перечень предполагаемых пользователей персональных данных;
— об установленных Федеральным законом№ 152-ФЗ правах СубъектаПДн;
— об источнике получения персональных данных.
6.17. Право доступа к персональным данным Субъектов ПДн на бумажных и электронных носителях имеют работники Центра красоты в соответствии с их должностными обязанностями.
6.18. Передача персональных данных Субъектов ПДн третьим лицам осуществляетсяв соответствии с требованиями действующего законодательства Российской Федерации.
6.19.Центр красоты вправе поручить обработку ПДн третьей стороне с согласия Субъекта ПДн, если иное не предусмотрено действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Центркрасоты— Общество с ограниченной ответственностью «ЕВВА»;
Блокирование персональных данных — временное прекращение обработки ПДн (за исключением случаев, когда обработка необходима для уточнения ПДн);
Веб-браузер — программное обеспечение, используемое Субъектом ПДн и предназначенное для просмотра информации Веб-ресурсов в сети Интернет;
Веб-ресурс — информационная система, использующая технологии представления и передачи данных для оказания информационных услуг в сети Интернет;
Доступ к информации — возможность получения информации и ее использование (в частности копирование, модификация или уничтожение информации; получение Субъектом ПДн возможности ознакомления с информацией, в том числе при помощи технических средств);
Информационная система персональных данных — совокупность содержащихся в базах данных ПДн, и обеспечивающих их обработку информационных технологий и технических средств;
Клиент — физическое лицо, которое заключило или намеревается заключить с Центром красоты договор на оказание услуг (включая получение услуг путем присоединения к условиям публичного договора), и персональные данные которого переданы Центру красоты.;
Конфиденциальность персональных данных — режим ограниченного доступа, включающий в себя требование не раскрывать третьим лицам и не допускать распространение ПДн без согласия на обработку ПДн, разрешенных Субъектом ПДн для распространения или наличия иного основания согласно действующему законодательству Российской Федерации;
Материальный носитель персональных данных — материальный объект, используемый для закрепления и хранения информации. В целях настоящей Политики под материальным носителем понимается бумажный документ, диск, дискета, флэш-карта и т. п.;
Мобильное приложение — программное приложение, разработанное Центром красоты и предназначенное для работы на мобильном устройстве с целью получения доступа к Веб- ресурсам Центра красоты;
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному Субъекту ПДн, производимые в соответствии с Приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) Центра красоты, совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Оператор ПДн — Общество с ограниченной ответственностью «ЕВВА», организующее и (или) осуществляющее обработкуперсональных данных самостоятельно
или совместно с другими лицами обработку персональных данных, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
Ответственное лицо — работник Центра красоты, назначенный ответственным в части выполнения бизнес- или функциональным подразделением Центра красоты по вопросам обработки персональных данных;
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту ПДн);
Персональные данные, разрешенные Субъектом ПДн для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом ПДн путем дачи согласия на обработку персональных данных, разрешенных Субъектом ПДн для распространения в порядке, предусмотренном настоящим Федеральным законом № 152-ФЗ;
Предоставление персональных данных — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
Представитель — физическое лицо, являющееся представителем физического или юридического лица, полномочия которого основаны на доверенности, договоре, законе либо акте уполномоченного на то государственного органа или органа местного самоуправления; Распространение персональных данных — действия, направленные на раскрытие ПДн неопределенному кругу лиц, в том числе обнародование ПДн в средствахмассовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом;
Роскомнадзор — уполномоченный орган по защите прав СубъектовПДн — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; Субъект ПДн — физическое лицо, которое прямо или косвенноопределенное с помощью персональных данных. В рамках настоящей Политики:
— клиент, (кромеюридического лица) либо представитель клиента;
— представители либо сотрудники юридических лиц, сведения о которых юридические лица передают в Центр красоты;
— посетители Центра красоты;
— другие физические лица, которые посещают интернет-сайт Центра красоты, и заполняют на нем различные формы с целью приобретения продукта/услуги, стать клиентом или воспользоваться сервисом записи на услугу;
Трансграничная передача персональных данных — передачаПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Осуществляется в соответствии с Федеральным законом № 152-ФЗи может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства; Уничтожение персональных данных — действия, в результате которыхстановится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
Cookie-файлы — небольшой фрагмент данных, хранимый в настройках Веб-браузера Субъекта ПДн и обрабатываемых Веб-ресурсом центра красоты при использовании Субъектом ПДн данных Веб-ресурса Центра красоты;
ИСПДн — информационная система персональных данных;
ПДн — персональные данные.
2.ОБЩИЕ ПОЛОЖЕНИЯ2.1.Настоящая «Политика ООО"ЕВВА» в отношении обработки персональных данных" (далее — Политика) разработана в соответствии с требованиями законодательства Российской Федерации в области персональных данных.
2.2.Настоящая Политика ООО «ЕВВА» предоставляет информацию об основных принципах, целях, правовых основаниях, порядке и условиях обработки персональных данных, об их объеме и категориях, а также реализуемых требованиях к их защите.
2.3.Действие Политики распространяется на все процессы Центра красоты, связанные с обработкой персональных данных.
Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Центре красоты.
Пересмотр и обновление настоящей Политики осуществляется в связи с изменениями законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Центра красоты, а также по результатам других контрольных мероприятий.
2.4.Настоящая Политика является общедоступным документом, размещаемым на официальном сайте Центра красоты в информационно-телекоммуникационной сети «Интернет», неограниченный доступ к которому предоставляется любому заинтересованному лицу. Ссылка на настоящую Политику размещается на каждой странице официального сайта, с использованием которых осуществляется сбор персональных данных.
3.ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ3.1.Под целью обработки понимается конкретный конечный результат действий, совершенных с ПДн, вытекающий из требований действующего законодательства Российской Федерации либо договорных отношений сторон, и направленный на исполнение требований законодательства Российской Федерации, а также на создание необходимых правовых условий для достижения оптимального учета интересов сторон.
3.2.Центр красоты осуществляет обработку ПДн для достижения целей, определенных в Условиях обработки персональных данных в ООО «ЕВВА» (Приложение № 1).
3.3.Посетители сайта https://salon-guinot.ru/ заранее уведомляются об обработке ПДн и, в случае несогласия с ней, могут покинуть сайт. В этом случае их данные не обрабатываются.
3.4.Центр красоты использует cookie-файлы, в том числе обрабатывает сведения о посетителях Веб- ресурсов, необходимые для правильной работы Веб-ресурсов и Мобильных приложений Центра красоты, а также в целях удобства использования и улучшения качества работы Веб-ресурсов и Мобильных приложений Центра красоты. Субъект ПДн не использует Веб-ресурсы и (или) Мобильные приложения Центра красоты и не предоставляет Центру красоты свои ПДн, если он не согласен с положениями данного пункта Политики.
3.5.При использовании клиентами Центра красоты платежных приложений сторонних поставщиков, используемых в целях составления и передачи распоряжений о переводе денежных средств с использованием электронных средств платежа, предоставленных Центром красоты, Центр красоты обрабатывает сведения (ПДн) и передает информацию о пользователе платежных приложений поставщику платежного приложения, платежной системе
в целях, установленных соглашением с пользователем и поставщиком платежного приложения.
4.ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ4.1. Обработка персональных данных Центра красоты осуществляется на основе принципов:
• законности целей и способовобработки персональных данных;
• добросовестности, как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных;
• соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;
• точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;
• уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления (если иное не предусмотрено законодательством Российской Федерации);
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.2. Работники Центра красоты, допущенные к обработкеперсональных данных, обязаны:
4.2.1.Знать и неукоснительно выполнять положения:
• законодательства Российской Федерации в областиперсональных данных;
• настоящей Политики;
•локальных актов по вопросам обработки и обеспечения безопасности персональных данных;
4.2.2.Обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
4.2.3.Не разглашать персональные данные, обрабатываемые в Центре красоты;
4.2.4.Сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики, ответственному за организацию обработки персональных данных ;
4.2.5.Сообщать об известных фактах нарушения требований настоящей Политики ответственному за организацию обработки персональных данных ;
4.3.Безопасность персональных данных обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) актуальных угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.
5. КАТЕГОРИИОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ5.1.При определении состава обрабатываемых персональных данных Субъектов ПДн Центр красоты руководствуется минимально необходимым перечнем ПДн для достижения целей обработки ПДн.
5.2.Категории Субъектов ПДн, чьи ПДн обрабатываются Центром красоты, определены в Условиях обработки персональных данных в ООО «ЕВВА» (Приложение № 1).
5.3.При обработке ПДн не допускается сбор избыточных ПДн по отношению к заявленным целям обработки. Состав обрабатываемых ПДн в зависимости от цели обработки ПДн и применительно к каждой категории Субъектов ПДн определен в Условиях обработки персональных данных в ООО «ЕВВА» (Приложение № 1).
5.4.Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни не осуществляется.
5.5.Центр красоты вправе осуществлять обработку сведений о состоянии здоровья в соответствии с Трудовым кодексом Российской Федерации, Федеральным закономот 29.11.2010 № 326-ФЗ
«Об обязательном медицинском страховании в Российской Федерации», а также п. 2.3 ч.2 ст. 10 Федерального закона № 152-ФЗ.
5.6.Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав Субъектов ПДн (илипри отсутствии возможности оценки адекватности защиты), может осуществляться исключительно в случаях исполнения договора, стороной которого является Субъект ПДн, либо при наличии согласия в письменной форме Субъекта ПДн на трансграничную передачу его ПДн, либо в иных случаях, когда такая передача допускается в соответствии с положениями действующего российского законодательства о персональных данных.
6.ПОРЯДОК И УСЛОВИЯОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ6.1.В зависимости от целей обработки ПДн, определенных в Условиях обработки персональных данных в ООО"ЕВВА" (Приложение № 1), обработка ПДн может осуществляется с использованием средств автоматизации и без использования таких средств путем следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
6.2.Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами .
6.3.Заключаемые с Субъектами ПДн договоры не содержат положения, ограничивающие права и свободы Субъектов ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договоров бездействие Субъектов ПДн.
6.4.Обработка ПДн с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и методических документов ФСТЭК России и ФСБ России по защите информации.
6.5.Обработка персональных данных, осуществляемая без использования средств автоматизации, выполняется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
6.6.Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники Оператора ПДн или лица, осуществляющие такую обработку по договору с Оператором ПДн), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором ПДн без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
6.7.Срок обработки и хранения ПДн для всех целей обработки ПДн, определенных в Условиях обработки персональных данных в ООО «ЕВВА» (Приложение № 1) ограничивается сроком необходимости обработки ПДн, включая требования законодательства Российской Федерации в отношении отдельных видов операций, используемых ПДн.
6.8.Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом № 152-ФЗ, осуществляетсяс письменного согласия Субъекта ПДн, в случае если согласие Субъекта ПДн требуется. Равнозначным содержащему собственноручную подпись Субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью Субъекта ПДн.
6.9.Согласие на обработку ПДн может быть дано Субъектом ПДн или его представителем в любой, позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом № 152-ФЗ. Согласие на обработку ПДн, разрешенных Субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Субъекту ПДн предоставляется возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных Субъектом ПДн для распространения.
6.10.Согласие на обработку ПДн может быть предоставлено Субъектом ПДн посредством совершения следующих конклюдентных действий: в случае осуществления передачи персональных данных посредством телефонного вызова согласие на обработку персональных данныхпредоставляется Субъектом ПДн в устнойформе после прослушивания Субъектом ПДн текста согласия, воспроизводимого сотрудниками Оператора, если иное не предусмотрено Федеральным законом № 152-ФЗ.
6.11.В случаях, когда предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор ПДн в рамках своей обязанности разъясняет
Субъекту ПДн юридические последствия отказа Субъекта ПДн предоставить ПДн и (или) дать согласие на их обработку.
6.12. Центр красоты вправе обрабатывать ПДн без согласия Субъекта ПДн (в т.ч. при отзыве Субъектом ПДн согласия на обработку ПДн) при наличии оснований, указанных в ч.2 ст. 9 Федерального закона № 152-ФЗ.
6.13.В случае отсутствия Согласия Субъекта ПДн и оснований, указанных в ч.2 ст. 9 Федерального закона № 152-ФЗ обработка ПДн не осуществляется.
6.14.Создание фото- и видеоизображений в помещениях Центра красоты и на прилегающей территории может производитсяс целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и для последующей передачи в правоохранительные органы в случае необходимости. Указанные фото- и видеоизображения не используются с целью идентификации Субъектов ПДн и не рассматриваются как биометрические ПДн.
6.15.Персональные данные Субъекта могут быть получены Центром красоты от лица, не являющегося Субъектом ПДн, при условии предоставления подтверждения наличия согласия Субъекта ПДн на обработку его ПДн или наличия оснований, указанных в п.п. 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.
6.16.Если ПДн получены не от Субъекта ПДн, а от третьих лиц, Оператор ПДн, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона № 152-ФЗ, до начала обработки таких ПДн предоставляет Субъекту ПДн следующую информацию:
— наименование либо фамилия, имя, отчество и адрес Оператора ПДн или его представителя;
— цель обработки персональных данных и ее правовое основание;
— переченьперсональных данных;
— перечень предполагаемых пользователей персональных данных;
— об установленных Федеральным законом№ 152-ФЗ правах СубъектаПДн;
— об источнике получения персональных данных.
6.17. Право доступа к персональным данным Субъектов ПДн на бумажных и электронных носителях имеют работники Центра красоты в соответствии с их должностными обязанностями.
6.18. Передача персональных данных Субъектов ПДн третьим лицам осуществляетсяв соответствии с требованиями действующего законодательства Российской Федерации.
6.19.Центр красоты вправе поручить обработку ПДн третьей стороне с согласия Субъекта ПДн, если иное не предусмотрено действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора.
7. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1.Центр красоты при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.2.Меры по обеспечению безопасности персональных данных при их обработке, применяемые Центром красоты, планируются и реализуются в целях обеспечения соответствия требованиям Федерального закона № 152-ФЗ.
7.3.В Договорах, заключенных между Центром красоты и контрагентом, предусматривается обязательство сторон о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона № 152-ФЗ, а также информация о принятии сторонами мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона № 152-ФЗ.
7.4.Центр красоты самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства Российской Федерации. Центр красоты, в частности, принял следующие меры:
·Назначен ответственный за организацию обработки ПДн в Центре красоты;
·В подразделенияхназначены должностные лица, ответственные за выполнение подразделениями локальных нормативных документов по вопросам обработки ПДн;
·Разработаны и внедрены локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке ПДн и устранение последствий таких нарушений;
·Применяются правовые, организационные и технические меры по обеспечению безопасности ПДн;
·Осуществляется внутренний контрольсоответствия обработки ПДн Федеральному закону
№ 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Центра красоты в отношении обработки ПДн, локальным актам Центра красоты;
·Работники, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику организации в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.
7.5.В случае передачи документов, содержащих персональные данные, по электронной почте Субъект ПДн может зашифровать их, используя один из предоставленных Оператором ПДн способов. Отказ Субъекта ПДн использовать средства защиты персональных данных снимает ответственность с Оператора ПДн за обеспечение конфиденциальности в процессе их передачи от Субъекта ПДн Оператору ПДн.
7.6.В дополнение к требованиям Федерального закона № 152-ФЗ в Центре красоты осуществляется комплекс мероприятий, направленных на защиту информации о своих Клиентах, работниках и контрагентах. Центр красоты руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, других регулирующих организаций, а также российскими и международными практиками в сфере защиты ПДн.
8.ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ2.1.Хранение персональных данных в организации осуществляется в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем/залогодателем по которому является Субъект ПДн.
8.2.В случае обработки персональных данных, осуществляемой без использования средств автоматизации, Оператор ПДн обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
8.3. При определении сроков храненияПДн Центр красоты исходитиз требований:
· Трудового КодексаРоссийской Федерации;
· Законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
· Законодательства о бухгалтерском учете;
· Гражданского законодательства;
· Иных нормативно — правовыхактов в областиперсональных данных.
8.3.1. В случае если в согласии Субъекта ПДн на обработку ПДн указаны более длительные сроки хранения, чем сроки, установленные действующим законодательством Российской Федерации, хранение ПДн осуществляется в соответствии с согласием Субъекта ПДн в течение указанного в нем срока.
8.3.2. В случае решения Субъекта ПДн об Отзыве Согласия на обработку его ПДн, Оператору направляется соответствующее заявление, содержащее ПДн Субъекта ПДн, данные документа удостоверяющего личность и подпись Субъекта ПДн. В случае если Субъект ПДн не указал в отзыве в явном виде ПДн и целей, для которых осуществляется отзыв Согласия, Оператор считает, что согласие отозвано для всех типов ПДн и целей.
8.3.3. ПДн, неиспользуемые в операционной деятельности Центра красоты, и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований, предусмотренных Федеральным законом № 125-ФЗ, Приказом Росархива № 236 и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документов.
8.3.4. Архивирование документов, содержащих ПДн, осуществляется в установленном в порядке. Обязательным условием архивирования ПДн является обеспечение их конфиденциальности и безопасности.
8.3.5. При осуществлении хранения персональных данных Центр красоты использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона № 152-ФЗ.
8.4.Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
· правовые основанияи цели обработки персональных данных;
· подтверждение факта обработки персональных данных ;
· цели и применяемые Центром красоты способы обработки персональных данных;
· наименование и место нахождения Центра красоты, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с центром красоты или на основании федерального закона;
·обрабатываемые персональные данные, относящиеся к соответствующему Субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
· сроки обработки персональных данных, в том числе сроки их хранения;
·порядок осуществления СубъектомПДн прав, предусмотренных Федеральным законом
№ 152-ФЗ;
·информацию об осуществленной или о предполагаемой трансграничной передаче данных;
·наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Центра красоты, если обработка поручена или будет поручена такому лицу;
·информацию о способах исполнения оператором обязанностей, установленных ст. 18.1 Федерального закона № 152-ФЗ;
·иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
8.5.Субъект ПДн вправе требовать от Центра красоты уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.6.Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в соответствии с требованиями статьи14 Федерального закона № 152- ФЗ.
8.7.Порядок направления Субъектом ПДн (его представителем) запросов на предоставление сведений определен требованиями Федерального закона № 152-ФЗ. В частности, в соответствии с указанными требованиями запрос на получение информации в Центре красоты должен содержать:
·серию, номер основного документа, удостоверяющего личность Субъекта ПДн (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
·сведения, подтверждающие участие Субъекта ПДн в отношениях с Центром красоты (номер договора, дата заключения договора, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Банком;
· подпись СубъектаПДн (его представителя).
8.8.Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с действующим законодательством Российской Федерации.
8.9.Субъекты ПДн несут ответственность за предоставление Центру красоты достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.
8.10.Центр красоты сообщает в порядке, предусмотренном ст. 14 Федерального закона № 152-ФЗ, Субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему Субъекту ПДн, а также предоставляет возможность ознакомления с этими ПДн при обращении Субъекта ПДн или его представителя либо в течение сроков, установленных ч.1. ст. 20 Федерального закона № 152-ФЗ, при условии, что запрос оформлен в соответствии с требованиями п. 8.6 настоящей Политики.
8.11. Центр красоты вправе отказать в предоставлении информации Субъекту ПДн или его представителю при их обращении либо при получении запроса. При этом Центр красоты обязан дать в письменной форме мотивированный отказ в срок, установленный ч.2. ст. 20 Федерального закона № 152-ФЗ. Отказ возможен в следующих случаях если:
·право Субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с законодательством Российской Федерации, в том числе, если:
§ обработка ПДн осуществляется в соответствии с действующим законодательством Российской Федерациио противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
§ доступ СубъектаПДн к его персональным даннымнарушает права и законные интересы третьих лиц;
· в иных случаях, предусмотренных частью 8 статьи 14 Федерального закона № 152-ФЗ.
8.12. В случае реализации Субъектом ПДн своего права требования в части уточнения своих ПДн, их блокирования или уничтожения на основании того, что ПДн являются неполными, неточными или неактуальными Банк в сроки, установленные ст. 20 Федерального закона
№ 152-ФЗ, обязан внести в них необходимые изменения, осуществить блокирование или уничтожение.
8.13.Обрабатываемые ПДн подлежат уничтожению либо обезличиванию в следующих случаях, если иное не предусмотрено соглашением между Оператором ПДн и СубъектомПДн, договором, выгодоприобретателем или поручителем по которому является Субъект ПДн, или Федеральным законом № 152-ФЗ:
· Достижение целей обработки персональных данных;
·В случае утраты необходимости в достижении целей обработки ПДн, если иное не предусмотрено Федеральным законом № 152-ФЗ;
·Истечение срока действиясогласия или отзывсогласия Субъектом ПДн;
·Выявление неправомерной обработки персональных данных.
8.14. В случае автоматизированной обработки ПДн, ПДн уничтожаются путем удаления ПДн из баз данных, полей электронных форм документов и ИСПДн. В случае обработки ПДн без использования средствавтоматизации, ПДн уничтожаются путем измельчения бумаги в очень мелкие полоски или крошечные кусочки.
8.15.В случае отсутствия возможности уничтожения ПДн в течение сроков, указанных в ч.6 ст. 21 Федерального закона № 152-ФЗ, Центр красоты осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Центра красоты) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством Российской Федерации.
9. ОТВЕТСТВЕННОСТЬ
9.1.Контроль исполнения требований настоящей Политики осуществляется Ответственным за организацию Обработки Персональных данных в Центре красоты.
9.2.Лица, виновные в нарушении норм, регулирующих Обработку Персональных данных и защиту обрабатываемых в Центре красоты Персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации.
10. НОРМАТИВНЫЕ ССЫЛКИ
10.1. Конституция Российской Федерации.
10.2.Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (Федеральный закон № 152-ФЗ).
10.3 Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» (Федеральный закон № 125-ФЗ).
10.4 Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности
государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения" (Приказ Росархива № 236).
10.5 Федеральный законот 06.04.2011 № 63-ФЗ"Об электронной подписи".
10.6 Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
10.7 Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» (Федеральный закон № 326-ФЗ).
10.8 Постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
10.9 Постановление Правительства Р Ф от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
7.1.Центр красоты при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.2.Меры по обеспечению безопасности персональных данных при их обработке, применяемые Центром красоты, планируются и реализуются в целях обеспечения соответствия требованиям Федерального закона № 152-ФЗ.
7.3.В Договорах, заключенных между Центром красоты и контрагентом, предусматривается обязательство сторон о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона № 152-ФЗ, а также информация о принятии сторонами мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона № 152-ФЗ.
7.4.Центр красоты самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства Российской Федерации. Центр красоты, в частности, принял следующие меры:
·Назначен ответственный за организацию обработки ПДн в Центре красоты;
·В подразделенияхназначены должностные лица, ответственные за выполнение подразделениями локальных нормативных документов по вопросам обработки ПДн;
·Разработаны и внедрены локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке ПДн и устранение последствий таких нарушений;
·Применяются правовые, организационные и технические меры по обеспечению безопасности ПДн;
·Осуществляется внутренний контрольсоответствия обработки ПДн Федеральному закону
№ 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Центра красоты в отношении обработки ПДн, локальным актам Центра красоты;
·Работники, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику организации в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.
7.5.В случае передачи документов, содержащих персональные данные, по электронной почте Субъект ПДн может зашифровать их, используя один из предоставленных Оператором ПДн способов. Отказ Субъекта ПДн использовать средства защиты персональных данных снимает ответственность с Оператора ПДн за обеспечение конфиденциальности в процессе их передачи от Субъекта ПДн Оператору ПДн.
7.6.В дополнение к требованиям Федерального закона № 152-ФЗ в Центре красоты осуществляется комплекс мероприятий, направленных на защиту информации о своих Клиентах, работниках и контрагентах. Центр красоты руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, других регулирующих организаций, а также российскими и международными практиками в сфере защиты ПДн.
8.ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ2.1.Хранение персональных данных в организации осуществляется в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем/залогодателем по которому является Субъект ПДн.
8.2.В случае обработки персональных данных, осуществляемой без использования средств автоматизации, Оператор ПДн обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
8.3. При определении сроков храненияПДн Центр красоты исходитиз требований:
· Трудового КодексаРоссийской Федерации;
· Законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
· Законодательства о бухгалтерском учете;
· Гражданского законодательства;
· Иных нормативно — правовыхактов в областиперсональных данных.
8.3.1. В случае если в согласии Субъекта ПДн на обработку ПДн указаны более длительные сроки хранения, чем сроки, установленные действующим законодательством Российской Федерации, хранение ПДн осуществляется в соответствии с согласием Субъекта ПДн в течение указанного в нем срока.
8.3.2. В случае решения Субъекта ПДн об Отзыве Согласия на обработку его ПДн, Оператору направляется соответствующее заявление, содержащее ПДн Субъекта ПДн, данные документа удостоверяющего личность и подпись Субъекта ПДн. В случае если Субъект ПДн не указал в отзыве в явном виде ПДн и целей, для которых осуществляется отзыв Согласия, Оператор считает, что согласие отозвано для всех типов ПДн и целей.
8.3.3. ПДн, неиспользуемые в операционной деятельности Центра красоты, и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований, предусмотренных Федеральным законом № 125-ФЗ, Приказом Росархива № 236 и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документов.
8.3.4. Архивирование документов, содержащих ПДн, осуществляется в установленном в порядке. Обязательным условием архивирования ПДн является обеспечение их конфиденциальности и безопасности.
8.3.5. При осуществлении хранения персональных данных Центр красоты использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона № 152-ФЗ.
8.4.Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
· правовые основанияи цели обработки персональных данных;
· подтверждение факта обработки персональных данных ;
· цели и применяемые Центром красоты способы обработки персональных данных;
· наименование и место нахождения Центра красоты, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с центром красоты или на основании федерального закона;
·обрабатываемые персональные данные, относящиеся к соответствующему Субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
· сроки обработки персональных данных, в том числе сроки их хранения;
·порядок осуществления СубъектомПДн прав, предусмотренных Федеральным законом
№ 152-ФЗ;
·информацию об осуществленной или о предполагаемой трансграничной передаче данных;
·наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Центра красоты, если обработка поручена или будет поручена такому лицу;
·информацию о способах исполнения оператором обязанностей, установленных ст. 18.1 Федерального закона № 152-ФЗ;
·иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
8.5.Субъект ПДн вправе требовать от Центра красоты уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.6.Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в соответствии с требованиями статьи14 Федерального закона № 152- ФЗ.
8.7.Порядок направления Субъектом ПДн (его представителем) запросов на предоставление сведений определен требованиями Федерального закона № 152-ФЗ. В частности, в соответствии с указанными требованиями запрос на получение информации в Центре красоты должен содержать:
·серию, номер основного документа, удостоверяющего личность Субъекта ПДн (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
·сведения, подтверждающие участие Субъекта ПДн в отношениях с Центром красоты (номер договора, дата заключения договора, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Банком;
· подпись СубъектаПДн (его представителя).
8.8.Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с действующим законодательством Российской Федерации.
8.9.Субъекты ПДн несут ответственность за предоставление Центру красоты достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.
8.10.Центр красоты сообщает в порядке, предусмотренном ст. 14 Федерального закона № 152-ФЗ, Субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему Субъекту ПДн, а также предоставляет возможность ознакомления с этими ПДн при обращении Субъекта ПДн или его представителя либо в течение сроков, установленных ч.1. ст. 20 Федерального закона № 152-ФЗ, при условии, что запрос оформлен в соответствии с требованиями п. 8.6 настоящей Политики.
8.11. Центр красоты вправе отказать в предоставлении информации Субъекту ПДн или его представителю при их обращении либо при получении запроса. При этом Центр красоты обязан дать в письменной форме мотивированный отказ в срок, установленный ч.2. ст. 20 Федерального закона № 152-ФЗ. Отказ возможен в следующих случаях если:
·право Субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с законодательством Российской Федерации, в том числе, если:
§ обработка ПДн осуществляется в соответствии с действующим законодательством Российской Федерациио противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
§ доступ СубъектаПДн к его персональным даннымнарушает права и законные интересы третьих лиц;
· в иных случаях, предусмотренных частью 8 статьи 14 Федерального закона № 152-ФЗ.
8.12. В случае реализации Субъектом ПДн своего права требования в части уточнения своих ПДн, их блокирования или уничтожения на основании того, что ПДн являются неполными, неточными или неактуальными Банк в сроки, установленные ст. 20 Федерального закона
№ 152-ФЗ, обязан внести в них необходимые изменения, осуществить блокирование или уничтожение.
8.13.Обрабатываемые ПДн подлежат уничтожению либо обезличиванию в следующих случаях, если иное не предусмотрено соглашением между Оператором ПДн и СубъектомПДн, договором, выгодоприобретателем или поручителем по которому является Субъект ПДн, или Федеральным законом № 152-ФЗ:
· Достижение целей обработки персональных данных;
·В случае утраты необходимости в достижении целей обработки ПДн, если иное не предусмотрено Федеральным законом № 152-ФЗ;
·Истечение срока действиясогласия или отзывсогласия Субъектом ПДн;
·Выявление неправомерной обработки персональных данных.
8.14. В случае автоматизированной обработки ПДн, ПДн уничтожаются путем удаления ПДн из баз данных, полей электронных форм документов и ИСПДн. В случае обработки ПДн без использования средствавтоматизации, ПДн уничтожаются путем измельчения бумаги в очень мелкие полоски или крошечные кусочки.
8.15.В случае отсутствия возможности уничтожения ПДн в течение сроков, указанных в ч.6 ст. 21 Федерального закона № 152-ФЗ, Центр красоты осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Центра красоты) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством Российской Федерации.
9. ОТВЕТСТВЕННОСТЬ
9.1.Контроль исполнения требований настоящей Политики осуществляется Ответственным за организацию Обработки Персональных данных в Центре красоты.
9.2.Лица, виновные в нарушении норм, регулирующих Обработку Персональных данных и защиту обрабатываемых в Центре красоты Персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации.
10. НОРМАТИВНЫЕ ССЫЛКИ
10.1. Конституция Российской Федерации.
10.2.Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (Федеральный закон № 152-ФЗ).
10.3 Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» (Федеральный закон № 125-ФЗ).
10.4 Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности
государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения" (Приказ Росархива № 236).
10.5 Федеральный законот 06.04.2011 № 63-ФЗ"Об электронной подписи".
10.6 Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
10.7 Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» (Федеральный закон № 326-ФЗ).
10.8 Постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
10.9 Постановление Правительства Р Ф от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
ПРИЛОЖЕНИЕ №1к Политике ООО «ЕВВА» в отношении обработки персональных данных
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО ГИНО-СПА
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО ГИНО-СПА
ООО «ЕВВА» осуществляет обработку персональных данных на следующих условиях:
Категория Субъектов персональных данных | Цели обработки персональных данных | Перечень персональных данных | Способ обработки персональных данных | Категории персональных данных |
Клиенты Центра красоты(интернет торговля | • осуществление оплаты интернет заказов через сервисы сайта и иных операций • рассмотрение возможности предоставления услуг Субъекту ПДн в соответствии с договором • предоставление Субъекту ПДн информации об оказываемых услугах, о разработке Центром красоты новых продуктов и услуг,об услугах партнеров , информирование о проводимых акциях, об оценке качества обслуживания клиентов и мероприятиях (по которым имеется предварительное согласие Клиента на их получение), •проведение акций, мероприятий, опросов, исследований, заключение, исполнение, изменение и прекращение договоров с Клиентами и/или реализация совместных проектов •обработка запросов СубъектовПДн (в рамках действующего законодательства Российской Федерации) • выявление случаев мошенничества, хищения денежных средствсо счета Клиента, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий такихдействий · исполнение прав, функций, полномочий и обязанностей Центра красоты по договорам,заключенным с Субъектами ПДн
•обработка сообщений Клиентов по вопросам качества обслуживания,деятельности каналов продаж
| ·фамилия, имя, отчество ·число, месяц, год рождения, · адрес (проживания, регистрации) ·контактные данные (телефон) ·электронная почта | Смешанная обработка (как с использованием, так и без использования средств автоматизации) | Общедоступные, иные |
Сотрудники | обеспечение личной безопасности работников, контроля количества и качествавыполняемой работы и обеспечения сохранности имущества) • Предоставление отчетности государственным надзорным органам в соответствии с требованиями действующего законодательства Российской Федерации · осуществление функций, полномочий и обязанностей, в соответствии действующим законодательством Российской Федерации | · фамилия ,имя,отчество · число,месяц,год рождения · образование, должность, место работы, доходы, сведения о трудовой деятельности, данные документов, удостоверяющих личность; и иных документов, выданных на имя Субъекта ПДн (трудовые книжки, водительские удостоверения, миграционные карты, разрешение на временное проживание и др.) · дата и адрес (проживания, регистрации, постановки на учет) · сведения об ИНН, СНИЛС ·реквизиты счетов Субъектов ПДн · контактные данные(телефон, адрес электронной почты, почтовый адрес) · сведения, содержащиеся в документах, подтверждающих право на льготы ·фотоизображение ·сведения, указанные в актах гражданского состояния (в том числе в свидетельстве о регистрации / расторжении брака) · сведения, указанные в свидетельстве о рождении детей · сведения из трудового договора работника · данные разрешения на работу или патент · отношение к воинской обязанности | Смешанная обработка (как с использованием, так и без использования средств автоматизации) |
|
Пользователи Веб ресурсов | ·проведение мероприятий по обработке запросов, необходимых действий по урегулированию заявлений, претензий; отработке сообщений Клиентов по вопросам качества обслуживания, предоставления продуктов, деятельности каналов продаж · обработка обращений, направленных посредством формы обратной связи на сайте https://salon-guinot.ru/ осуществление функций, полномочий и обязанностей, возложенных на организацию действующим законодательством Российской Федерации |
·параметры устройства доступа к сервисам , программы просмотра страниц сайта , идентификатор мобильного телефона · информация о местонахождении СубъектаПДн, передаваемая сервисом геолокации · Тип браузера и операционной системы ·Тип и модельмобильного устройства ·Источник входа · Информация о поведении (включая количество и наименование просмотренных страниц) · Cookie-файлы ·Фамилия, имя, отчество · Контактные данные(номер телефона, адрес электронной почты) | Автоматизированная |
|
Иные категории Субъектов ПДн | • осуществление функций, полномочий и обязанностей, возложенных на организацию действующим законодательством Российской Федерации | ·фамилия, имя, отчество · число, месяц,год рождения, место рождения · данные документов, удостоверяющих личность •иные сведения о Субъекте ПДн в зависимости от оказываемых организацией услуг и осуществляемых операций, а также необходимые для выполнения функций, возложенных законодательством Российской Федерации | Смешанная обработка (как с использованием, так и без использования средств автоматизации) | Общедоступные, иные |