Top.Mail.Ru

Политика конфиденциальности

1. Общие положения

1.1. Настоящее Положение определяет порядок организации работ по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации в ООО «Парк аттракционов» (далее - Положение) в целях предоставления Обществом (далее - Оператор) услуг Посетителям Парка аттракционов и развлечений «Калейдоскоп» (далее – Парк) и в целях заключения договора возмездного оказания услуг, а также определяет ответственность Оператора за нарушение требований по обработке персональных данных.

1.2. Цель разработки настоящего положения - определение порядка защиты персональных данных (далее - ПД) посетителей Парка от несанкционированного доступа (далее - НСД) и их разглашения. Персональные данные являются конфиденциальной, строго охраняемой информацией.

1.3. Настоящее Положение разработано в соответствии с требованиями: - Конституции Российской Федерации; - Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных»: - Федерального закона от 27.07.2006 No 149-ФЗ «Об информации и информационных технологиях и о защите информации»; - Постановления Правительства Российской Федерации от 15.09.2008 No 687 «Об Утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»; - Указа Президента Российской Федерации от 06.03.1997 No 188 «Об утверждении перечня сведений конфиденциального характера» и др.

1.4. Положение определяет права и обязанности руководителей и работников Общества при осуществлении обработки ПД, порядок использования ПД в служебных целях, а также порядок взаимодействия по сбору, документированию, хранению и уничтожению ПД.

1.5. Настоящее Положение распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящего Положения.

2. Принципы обработки персональных данных

2.1. Обработка персональных данных осуществляется на основе принципов:

2.1.1. Законности целей и способов обработки персональных данных.

2.1.2. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора персональных данных.

2.1.3. Соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.

2.1.4. Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки избыточных персональных данных, по отношению к целям, заявленным при сборе персональных данных.

3. Понятия и состав персональных данных Посетителей при предоставлении Обществом услуг по посещению Парка аттракционов и развлечений «Калейдоскоп»

3.1. Персональные данные Посетителей при предоставлении услуг посещения Парка – любая информация, относящаяся к прямо или косвенно определенному или определяемому юридическому лицу, индивидуальному предпринимателю, физическому лицу (субъекту персональных данных).

3.2. Оператор – ООО «Парк аттракционов», самостоятельно организующий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными при предоставлении услуг.

3.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.4. Использование персональных данных - действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений об отказе или предоставлении услуг в отношении Посетителей, необходимых в целях однократного пропуска субъекта персональных данных на территорию Парка, на которой находится оператор.

3.5. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных Посетителей, в результате которых уничтожаются материальные носители персональных данных.

3.6. Документированная информация – зафиксированная на материальном носителе (бумажном или электронном) путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

3.7. Конфиденциальность персональных данных – обязательное для Оператора требование не допускать распространения персональных данных без согласия субъекта персональных данных.

4. Особенности организации и обработки персональных данных Посетителей Парка аттракционов и развлечений «Калейдоскоп»

4.1. Обработка персональных данных Посетителей осуществляется исключительно в целях: - заключения и исполнения договора возмездного оказания услуг (оплата посещения Парка аттракционов и развлечений «Калейдоскоп», предоставление возможности получения скидки либо оплаты специальной сниженной цены по определенному тарифу и/или акциям, утверждаемым приказами Общества); - контроля количества и качества выполняемой работы сотрудниками Общества;

4.2. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.3. Получение и обработка персональных данных при предоставлении услуг осуществляется только с согласия Субъекта персональных данных (Посетителя) в письменной форме на обработку его персональных данных.

4.4. Обработка персональных данных Посетителей Парка осуществляется в целях однократного пропуска на территорию Парка для получения возмездных услуг.

4.5. Приобретение Посетителем входного билета в Парк, является выражением согласия Субъекта персональных данных с условиями и правилами посещения Парка аттракционов и развлечений «Калейдоскоп», в т.ч. и выражением согласия на обработку персональных данных (в случае их предоставления).

4.6. Перечень персональных данных посетителей Парка, подлежащих обработке Обществом в целях, определяемых в п. 4.1 настоящего Положения, определяется настоящим Положением и приказами Общества об утверждении специальных тарифов и акций, а именно: - Фамилия, Имя, Отчество (при наличии) субъекта персональных данных, а также Ф.И.О. сопровождаемых им лиц (н/летние лица). - пол; - дата рождения / возраст; - телефон, - адрес электронной почты, - иные персональные данные, необходимые для достижения целей, предусмотренных приказом Общества об утверждении специальных тарифов (документ, удостоверяющий личность и/или дополнительный документ, необходимый для предъявления в соответствии с выбранным Тарифом посещения Парка (студенческий билет, пенсионное удостоверения, свидетельство о рождении, справка о статусе многодетной семьи и др.).

4.7. Оператор осуществляет обработку персональных данных без использования средств автоматизации.

4.8. Документы, содержащие персональные данные (при наличии согласия субъекта персональных данных), создаются в Обществе путем: - копирования оригиналов документов (паспорт, студенческий билет пенсионное свидетельство и другие документы, перечень которых определяется приказами Общества об утверждении тарифов и акций);

4.9. Персональные данные хранятся у Оператора на бумажных носителях, с соблюдением мер, предусмотренных настоящим Положением, нормативными правовыми актами Российской Федерации по защите персональных данных.

4.10. Право на доступ к персональным данным предоставляется должностным лицам Оператора, определяемых внутренним локальным актом Общества.

5. Права субъекта персональных данных

5.1. Субъект персональных данных имеет право:

5.1.1. На обеспечение защиты прав и законных интересов при обработке его персональных данных в соответствии с Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных».

5.1.2. На доступ к своим персональным данным.

5.1.3. На основании письменного запроса получать информацию, касающуюся его персональных данных и их обработки, в том числе содержащую: - подтверждение факта обработки персональных данных Оператором; - правовые основания и цели обработки персональных данных; - применяемые Оператором способы обработки персональных данных; - наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании Федерального закона; - сроки обработки персональных данных, в том числе сроки их хранения.

6. Права Оператора.

6.1. Оператор имеет право:

6.1.1. Запрашивать у Посетителей информацию, необходимую для реализации своих полномочий строго в соответствии с целями предоставления услуг (получение скидки по тарифу или участие в акции и т.д.).

6.1.2. Запрашивать сведения о персональных данных Посетителей исключительно в объеме, необходимом для достижения цели предоставления услуг и определяемом настоящим Положением, внутренними локальными актами Общества.

6.1.3. Принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Положения, нормативных правовых актов в области защиты персональных данных.

6.1.4. Привлекать к дисциплинарной ответственности лиц, допустивших неправомерные действия с персональными данными Посетителей.

6.2. Оператору запрещено:

6.2.1. обрабатывать персональные данные в присутствии лиц, не имеющих допуска к их обработке;

6.2.2. осуществлять запись персональных данных под диктовку.

6.2.3. осуществлять передачу персональных данных в коммерческих целях без письменного согласия субъекта персональных данных.

7. Обязанности Оператора по уничтожению персональных данных

7.1. Оператор обязан:

7.1.1. Немедленно прекратить обработку персональных данных и уничтожить персональные данные в случае отзыва согласия Посетителя на обработку персональных данных.

7.1.2. Уничтожить персональные в случае окончания срока хранения персональных данных в срок, не превышающий 30 (тридцати) календарных дней после их получения Оператором.

8. Ответственность Оператора

8.1. Ответственность за соблюдение требований законодательства Российской Федерации при обработке и использовании персональных данных возлагается на должностных лиц Оператора, имеющих доступ к персональным данным и работников, обрабатывающих персональные данные в рамках их должностных обязанностей.

8.2. Оператор обязан сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса.

9. Сроки обработки персональных данных

9.1. Обработка Оператором персональных данных осуществляется в следующие сроки:

9.1.1. Первичная запись (документирование информации) и систематизация персональных данных Посетителя Парка осуществляется при оформлении входного билета и предъявлении субъектом своих персональных данных, в объеме необходимом для предоставления услуги по договору.

9.1.2. Использование персональных данных Посетителя Парка осуществляется Оператором на протяжении всего срока предоставления услуги, установленного Правилами посещения Парка аттракционов и развлечений «Калейдоскоп»

9.1.3. Хранение персональных данных Посетителя Парка после предоставления услуги, осуществляется Оператором и составляет 1 (один) месяц с даты достижения цели обработки персональных данных (предоставления услуги).

9.1.4. Уничтожение персональных данных осуществляется в срок, не превышающий 30 (тридцати) рабочих дней со дня окончания срока хранения персональных данных.

10. Особенности организации обработки и хранения персональных данных, осуществляемых на материальных носителях, без использования средств автоматизации

10.1. Персональные данные при их обработке без использования средств автоматизации должны обособляться от любой иной информации, путем фиксации их на отдельных материальных (далее - бумажных) носителях персональных данных.

10.2. Для обработки персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный бумажный носитель.

10.3. При несовместимости целей обработки персональных данных зафиксированных на одном бумажном носителе, если бумажный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, исключающие одновременное копирование иных персональных данных, не подлежащих распространению и использованию.

10.4. При обработке и хранении документированной информации Оператор обязан соблюдать условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

10.5. В процессе обработки персональных данных организуется режим обеспечения безопасности, при котором исключается возможность неконтролируемого проникновения и пребывания посторонних лиц в помещение к сотруднику, уполномоченному на обработку персональных данных.

10.6. В помещения, где хранятся персональные данные, допускаются только должностные лица Оператора, получившие доступ к персональным данным и работники Оператора, обрабатывающие персональные данные на основании приказа генерального директора Общества.

10.7. Источники персональных данных, полученных Оператором в связи с заключением договора возмездного оказания услуг и содержащиеся на бумажных носителях, хранятся в архиве Общества в запираемых шкафах.

10.8. Порядок доступа сотрудников Оператора в помещения, в которых ведется обработка и/или хранение персональных данных, утверждается приказом генерального директора Общества.

11. Порядок уничтожения персональных данных.

11.1. Уничтожению подлежат персональные данные в случаях и в сроки, предусмотренные разделом 9 настоящего Положения.

11.2. Оператор составляет сводные описи персональных данных, подлежащих уничтожению за соответствующий период. Результат отбора документов, содержащих персональные уничтожению, оформляются актом о выделении к уничтожению документов, не подлежащих хранению.

11.3. Акт об уничтожении копий носителей персональных данных, не подлежащих хранению, составляется и утверждается Оператором в форме, согласно Приложению No 1 к настоящему Положению.

11.4. Персональные данные на бумажном носителе уничтожаются путем сжигания или шреддирования.

11.5. После уничтожения документов в номенклатуре дел Оператора проставляется отметка «Уничтожено», с указанием должности, фамилии, подписи работника Оператора, ответственного за передачу дел на уничтожение, и даты.

12. Заключительные положения

12.1 Иные права и обязанности Оператора, как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.

12.2. Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

12.3. Уполномоченные на обработку персональных данных должностные лица Общества имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных функций в соответствии с их должностной инструкцией.

12.4. В период отпуска, служебной командировки и иных случаях длительного отсутствия сотрудника (ов) Общества, имеющего (их) доступ к персональным данным на рабочем месте, сотрудник обязан заранее передать носители, содержащие персональные данные лицу, на которое приказом руководителя будет возложено исполнение его трудовых обязанностей.

12.5. При увольнении сотрудника, имеющего доступ к персональным данным, документы и иные носители, содержащие ПД, передаются другому уполномоченному лицу на обработку ПД по указанию руководителя.

12.6. Процедура оформления доступа к ПД работника Общества, включает в себя: - ознакомление под роспись с настоящим положением и иными нормативными актами, регулирующими обработку и защиту ПД в Обществе; - истребование письменного обязательства о соблюдении конфиденциальности ПД и соблюдении правил их обработки.

12.7. В случае передачи персональных данных в распоряжение государственных, судебных и иных правоохранительных органов на основании письменного запроса уполномоченного органа, сотрудником Общества составляется акт приема-передачи документов (их копий), содержащих персональные данные.