1. Общие положения 1.1. Настоящая Политика обработки персональных данных (далее – «Политика») определяет политику Организаторов в отношении обработки персональных данных Пользователей, Заказчиков, Членов клубов и Гостей (далее – «Субъект ПД»), порядок обработки персональных данных Субъектов ПД, порядок обеспечения защиты прав и свобод Субъектов ПД при обработке их персональных данных, порядок взаимодействия Субъектов ПД и Организаторов по вопросам обработки персональных данных, в том числе порядок направления Субъектом ПД заявления на прекращение обработки персональных данных и рассмотрения данного заявления, а также устанавливает иные положения, регулирующие обработку персональных данных Субъектов ПД.
1.2. Настоящая Политика является неотъемлемой частью Договора-оферты на оказание физкультурно-спортивных услуг (далее – «Договор»). Все термины, применимые в настоящей Политике, имеют значение, установленное Договором, если Политикой не установлено иное.
1.3. Каждый Организатор руководствуется настоящей Политикой во взаимоотношениях с Субъектами ПД, которые заключили с ним Договор. Организатор, с которым Субъектом ПД заключен Договор, далее именуется «Оператор». Порядок определения Организатора, с которым соответствующий Субъект ПД заключил Договор, установлен в тексте Договора.
1.4. Политика разработана и применяется Оператором с целью осуществления обработки персональных данных, обеспечения их безопасности и исполнения возложенных на Оператора функций, полномочий и обязанностей в соответствии с требованиями законодательства Российской Федерации, в том числе, но не ограничиваясь: Конституции Российской Федерации, федеральных законов, в частности Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»), Федерального закона Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», иных нормативных правовых актов РФ, определяющих случаи и особенности обработки персональных данных.
1.5. Настоящая Политика действует в отношении персональных данных Субъекта ПД, которые Оператор получает от Субъекта в рамках Договора.
1.6. Настоящая Политика, изменения к Политике либо новая редакция Политики, в случае их утверждения (принятия) Оператором, публикуются на Сайте в сети «Интернет» по адресу: www.Citysquash.ru, а также в общедоступном месте на территории Клуба.
1.7. Заключение Субъектом ПД Договора с Оператором означает безоговорочное согласие Субъекта ПД с настоящей Политикой. В случае несогласия с Политикой Субъект ПД должен прекратить использование Сайта и отказаться от осуществления Заказа, Брони или иного взаимодействия с Оператором, которое бы свидетельствовало о заключении Договора с Оператором.
1.8. Неосуществление Субъектом ПД действий по ознакомлению с настоящей Политикой (включая изменения, дополнения, новая редакция) не может служить основанием для неисполнения Субъектом ПД и (или) Оператором своих обязательств и несоблюдения требований, установленных настоящей Политикой.
1.9. Отдельные сервисы Сайта могут функционировать посредством услуг третьих лиц, в этом случае в интерфейсе такого сервиса Сайта указывается гиперссылка на сайт третьего лица, на котором размещены правила использования сервиса, или непосредственно на текст правил использования либо иная информация, указывающая на третье лицо. Субъект ПД обязан руководствоваться указанными правилами третьего лица при использовании сервиса. Если Субъект ПД не согласен с условиями настоящего пункта Политики, то он обязан отказаться от использования соответствующего сервиса Сайта.
1.10. Все термины, используемые в настоящей Политике, относящиеся к определению действий по обработке персональных данных, а также иные термины, связанные с обработкой персональных данных, имеют значение, используемые в Законе о персональных данных. В случае возникновения противоречий между Политикой и законодательством Российской Федерации, Политика продолжает свое действие в части, не противоречащей нормам Закона о персональных данных или иных нормативных правовых актов РФ. До момента приведения Политики в соответствие с требованиями нормативных правовых актов РФ вместо противоречащих норм Политики применяются нормы Закона о персональных данных или иных нормативных правовых актов РФ.
2. Состав данных 2.1. Оператор обрабатывает персональные данные, предоставляемые Субъектами ПД в рамках Договора, с целью исполнения Договора и в объеме и способами, необходимыми для исполнения Договора, а также с целью исполнения требований законодательства Российской Федерации.
2.2. Категории персональных данных, которые могут обрабатываться Оператором в соответствии с п. 2.1. Политики:
2.2.1. Фамилия, имя, отчество.
2.2.2. Возраст.
2.2.3. Пол.
2.2.4. Почтовый адрес.
2.2.5. Адрес электронной почты.
2.2.6. Номер телефона.
2.2.7. Иная информация, предоставление которой предусмотрено соответствующими формами сбора данных на Сайте или Договором.
2.3. Обязательная для предоставления информация помечена специальным образом в соответствующих формах сбора на Сайте или может быть затребована Оператором при оформлении Заказа и(или) Брони или при ином взаимодействии в соответствии с Договором.
2.4. Оператор в общем случае не проверяет достоверность информации, предоставляемой Субъектами ПД, в том числе персональных данных. Однако Оператор исходит из того, что Субъект ПД предоставляет достоверную и достаточную информацию. Последствия предоставления недостоверной информации Субъекты ПД несут самостоятельно. Субъект ПД с целью поддержания, предоставленной им информации, в актуальном состоянии обязуется незамедлительно уведомлять Оператора об изменении информации Субъекта ПД.
2.5. В случае предоставления Субъектом ПД Оператору информации о третьих лицах, в том числе персональных данных третьих лиц, Субъект ПД гарантирует Оператору, что им получены необходимые согласия указанных лиц на обработку их персональных данных, в противном случае Субъект ПД принимает на себя обязательство нести ответственность за нарушение прав третьих лиц и гарантирует возместить Оператору убытки, причиненные нарушением гарантии.
2.6. Оператор вправе осуществлять обработку нижеуказанных данных обезличено, без привязки к конкретному Субъекту ПД, без его идентификации, в том числе без возможной последующей идентификации (далее – «деперсонализированные данные»), при использовании Субъектом ПД Сайта:
2.6.1. ip-адрес (или прокси-сервера, если он используется для выхода в сеть «Интернет»);
2.6.2. местоположение;
2.6.3. информация из cookies.
2.7. Деперсонализированные данные являются техническими (статистическими) не содержат или не раскрывают какие-либо персональные данные Субъектов ПД, анализируются программно-статистически в обезличенном виде (без идентификации Субъекта ПД) для анализа посещаемости Сайта, интересов Субъектов ПД, и используется Оператором в целях исполнения Договора при разработке предложений по улучшению, развитию и оптимизации Сайта и внедрению нового функционала, а также диагностики проблем на сервере, обнаружения случаев мошенничества, администрирования Сайта и других целей, необходимых для реализации Договора. Оператор не проводит сопоставление деперсонализированных данных с персональными данными Субъектов ПД.
3. Цели обработки данных
3.1. Оператор осуществляет обработку персональных данных с целью заключения Договора с Субъектом ПД и его исполнения, а также в иных законодательно установленных целях, в том числе, но не ограничиваясь:
3.1.1. Предоставление Субъектам ПД возможности осуществления Брони и Заказа посредством Сайта в соответствии с Договором, в том числе путем привлечения третьих лиц, имеющих право осуществлять техническое сопровождение.
3.1.2. Идентификация Субъекта ПД при оказании Услуг Клуба согласно Брони или Заказу в соответствии с Договором.
3.1.3. Установление с Субъектами ПД обратной связи, включая направление уведомлений, запросов и информации, касающихся использования Сайта, работы Клубов, оказания Услуг Клубов и иного взаимодействия с Оператором в соответствии с Договором, а также обработку запросов и заявок от Субъекта ПД, направление ответов на запросы, направление информационных и тематических рассылок от имени Оператора, в зависимости от выбора (подписок) Субъекта ПД.
3.1.4. Улучшение качества и удобства использования Сайта, разработка новых сервисов, а также улучшение качества Услуг Клуба и расширение предлагаемой Организатором линейки продуктов, улучшение условий их приобретения, в том числе путем проведения акций (рекламных, маркетинговых и т.п.).
3.1.5. Предоставления Субъектам ПД возможности осуществления на Сайте онлайн-оплаты, в том числе путем привлечения третьих лиц, имеющих право осуществлять техническое сопровождение переводов денежных средств с использованием банковских карт и иных платежных средств, в том числе с правом предоставления персональных данных и иных сведений Субъектов ПД операторам, платежным агентам, кредитным организациям и иным лицам, взаимодействие с которыми необходимо с целью предоставления Субъектам ПД возможности осуществления онлайн-оплаты. За исключением случаев если настройками платежной системы не предусмотрено непосредственное предоставление данных о себе непосредственно Субъектом ПД.
3.1.6. Предоставление Субъектам ПД эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта.
3.1.7. Предоставление Субъектам ПД возможности использования Сайта в соответствии с Договором.
3.1.8. Проведение статистических и иных исследований.
3.1.9. Выполнение иных действий, необходимых для исполнения Оператор обязательств в рамках взаимоотношений с Субъектами ПД.
3.2. Деперсонализированные данные Оператор обрабатывает в следующих целях:
3.2.1. Анализ посещаемости Сайта и определение уровня интереса к Сайту, Услугам Клубов в целях удовлетворения потребностей Субъектов ПД.
3.2.2. Улучшение качества и удобства использования Сайта, разработка новых сервисов и развитие действующих.
3.2.3. Улучшение качества Услуг Клуба и расширение предлагаемой Организатором линейки продуктов, улучшение условий их приобретения, в том числе путем проведения акций (рекламных, маркетинговых и т.п.).
3.2.4. Диагностики проблем работы Сайта, в том числе на сервере, обнаружения случаев мошенничества и иных неправомерных действий.
3.2.5. Проведение иных статистических исследований.
4. Условия и способы обработки данных 4.1. Оператор осуществляет обработку персональных данных каждого Субъекта ПД в объеме и на условиях, необходимых для исполнения обязательств в рамках заключенного с ним Договора и иных связанных с ними обязательств, а также законодательно установленных требований.
При этом, в соответствии с положениями Закона о персональных данных, не требуется получение Оператором и оформление Субъектом ПД согласия на обработку персональных данных в целях заключения Договора и исполнения заключенного между указанными лицами Договора. Более того Субъект ПД осознает и принимает, что в необходимых для исполнения Договора случаях предоставляемые Субъектом ПД персональные данные передаются им или Оператором определенным лицам.
4.2. В установленных Законом о персональных данных случаях Оператор запрашивает согласие на обработку персональных данных вне зависимости от наличия заключенного Договора. Оператор также имеет право дополнительно запрашивать согласие Субъекта ПД на обработку персональных данных в тех случаях, когда в соответствии с Законом о персональных данных это не является обязательным.
4.3. Оператор имеет право осуществлять следующие действия (совокупность действий) по обработке персональных данных Субъектов ПД, совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных.
4.4. Заключая Договор, Субъект ПД соглашается, что в целях исполнения Договора Оператор, имеет право предоставлять персональные данные Субъекта ПД контрагентам Оператора, взаимодействие с которыми необходимо для исполнения Договора, или операторам, осуществляющим обработку персональных данных по поручению, в соответствии с п. 1.9. Политики.
4.5. Оператор предоставляет персональные данные Субъекта ПД уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
4.6. Деперсонализированные данные обрабатываются программно-статистически в обезличенном виде (без идентификации Субъекта ПД, как на стадии сбора данных, так и при их последующей обработке) для реализации целей, указанных в п. 3.2. Политики.
5. Сроки обработки данных 5.1. Оператор осуществляет обработку персональных данных Субъекта ПД в период действия Договора между ним и Субъектом ПД до момента полного исполнения Сторонами своих обязательств, если более продолжительный срок не установлен законодательством Российской Федерации.
5.2. Оператор осуществляет обработку персональных данных Субъектов ПД после исполнения обязательств по Договору в течение срока, установленного законодательством Российской Федерации для хранения договоров и связанных с ними документов в целях бухгалтерского и налогового учета, а также в целях исполнения законодательно установленных требований.
5.3. После прекращения обработки персональные данные подлежат уничтожению либо обезличиванию.
5.4. Деперсонализированные данные обрабатываются в течение срока, необходимого для достижения целей, указанных в п. 3.2. Политики.
6. Порядок сбора, хранения, передачи и других видов обработки данных 6.1. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства Российской Федерации в области защиты персональных данных.
6.2. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
6.3. Персональные данные Субъекта ПД не передаются (не предоставляются и не распространяются) третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства Российской Федерации, а также в случаях, необходимых для исполнения Договора, заключенного с Субъектом ПД.
6.4. Оператор обязан:
6.4.1. Использовать персональные данные исключительно для целей, указанных в разделе 3 настоящей Политики.
6.4.2. Обеспечить защиту конфиденциальности персональных данных: не предоставлять и не распространять их без предварительного письменного разрешения Субъекта ПД, а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных Субъектом ПД, за исключением случаев, установленных законодательством Российской Федерации и договором с Субъектом ПД.
6.4.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Субъекта ПД согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте.
6.4.4. Сообщить информацию об обработке персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течение 30 (тридцати) дней с даты получения запроса, если иной срок не предусмотрен законодательством Российской Федерации. Соответствующий запрос должен содержать номер основного документа, удостоверяющего личность Субъекта ПД или его законного представителя, сведении о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Субъекта ПД или его законного представителя. Оператор обязан предоставлять сведения о персональных данных Субъекту ПД или его законному представителю в доступной форме, при этом в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, предусмотренных законом.
6.5. Субъект ПД своим волеизъявлением принимает свободное решение о предоставлении своих персональных данных и о заключении Договора с Оператором, и в случаях, установленных законодательством Российской Федерации, о предоставлении согласия на их обработку.
6.6. Субъект ПД обязан:
6.6.1. Предоставлять Оператору актуальные и достоверные персональные данные.
6.6.2. В случае выявления неточностей в персональных данных или их изменения, Субъект ПД обязан самостоятельно сообщить Оператору о необходимости актуализировать данные и предоставить достоверные и актуальные данные путем направления Оператору заявления на адрес электронной почты Оператора, указанный в Приложении № 1 к Договору.
6.6.3. Сообщать Оператору о выявленном в рамках Договора нарушении обработки персональных данных или о подозрении на возможное нарушение, с целью принятия Оператором всех необходимых мер, направленных на прекращение или предотвращение нарушения, соответственно.
6.7. Субъект ПД имеет право:
6.7.1. Получать доступ к своим персональным данным и на ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные, а также информации об обработке персональных данных в соответствии с Законом о персональных данных.
6.7.2. Требовать от Оператора уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Оператора персональных данных.
6.8. Сайт может содержать ссылки на сайты третьих лиц. На таких сайтах у Субъекта ПД может собираться или запрашиваться информация, в том числе персональные данные, а также могут совершаться иные действия, при этом Оператор не является стороной данных отношений. Оператор не несет ответственности за соблюдение конфиденциальности и правил обработки персональных данных на сайтах третьих сторон, которые объединены с Сайтом или связаны с ним посредством ссылок, а также за соблюдение конфиденциальности сторонними организациями, занимающимися интернет-рекламой.
6.9. На Сайте может быть размещена реклама в целях продвижения товаров, работ, услуг. Оператор не предоставляет владельцам рекламных материалов персональные данные Субъекта ПД. В случае если Субъект ПД не согласен с размещением на Сайте рекламы, он должен покинуть Сайт (прекратить использование) в соответствии с положениями Договора.
6.10. Оператор самостоятельно определяет порядок обработки деперсонализированных данных для достижения целей, указанных в п. 3.2. Политики.
6.11. Поскольку Оператор не сопоставляет деперсонализированные данные с конкретным Субъектом ПД и не имеет такой возможности, Оператор не имеет возможности ознакомить Субъекта ПД с деперсонализированными данными, относящимися непосредственно к нему, или предоставить к ним доступ. По той же причине Оператор не имеет возможности удовлетворить требование Субъекта ПД, в случае его направления, о прекращении обработки деперсонализированных данных.
7. Меры по обеспечению безопасности персональных данных при их обработке, принимаемые Оператором 7.1. Оператор обязан принимать правовые, организационные и технические меры, необходимые и достаточные для обеспечения выполнения обязанностей Оператора, установленных законодательством Российской Федерации, и для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, самостоятельно определяя состав и перечень необходимых и достаточных мер, в частности:
7.1.1. Назначение ответственного за организацию обработки персональных данных.
7.1.2. Издание локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
7.1.3. Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой, определяющей политику Оператора в отношении обработки персональных данных Субъектов ПД, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
7.1.4. Взятие с контрагентов обязательства сохранять и обеспечивать защиту конфиденциальности персональных данных Субъектов ПД, в случае если Оператор привлекает контрагентов для обслуживания Сайта либо для совершения иных действий, необходимых для исполнения Оператором Договора.
7.1.5. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства Российской Федерации, в том числе требованиям к защите персональных данных, настоящей Политики и иным локальным актам.
7.1.6. Определение угроз безопасности персональных данных при их обработке, оценка вреда, который может быть причинен Субъектам ПД в случае нарушения требований законодательства Российской Федерации, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации:
7.1.6.1. применение средств защиты и технических мер по обеспечению безопасности персональных данных;
7.1.6.2. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
7.1.6.3. учет машинных носителей персональных данных;
7.1.6.4. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, направленных на устранение возможности несанкционированного доступа и устранение последствий;
7.1.6.5. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7.1.6.6. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
7.1.6.7. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
7.2. При утрате или разглашении персональных данных Оператор информирует Субъекта ПД об утрате или разглашении персональных данных.
7.3. Оператор совместно с Субъектом ПД принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Субъекта ПД.
8. Прекращение обработки персональных данных 8.1. Субъект ПД имеет право направить Оператору заявление о прекращении обработки персональных данных в письменной форме по адресу юридического лица Оператора либо на адрес электронной почты Оператора, указанные в Приложении № 1 к Договору. Однако, при этом Субъект ПД обязан прекратить использование Сайта, отказаться от осуществления Брони и (или) Заказа либо от иного взаимодействия с Оператором, которое является акцептом Договора, в противном случае Договор считается вновь заключенным, и Оператор имеет право осуществлять обработку персональных данных. В любом случае Оператор прекращает обработку персональных данных после исполнения Сторонами всех обязательств в рамках Договора в полном объеме, если больший срок не установлен законодательством Российской Федерации. В случае направления Субъектом ПД указанного заявления персональные данные будут удалены либо в отношении персональных данных будут осуществлены иные, возможные в соответствии с положениями Закона о персональных данных, действия.
8.2. Заявления Субъектов ПД о прекращении обработки деперсонализированных данных Оператором не принимаются ввиду невозможности определения принадлежности деперсонализированных данных конкретному Субъекту ПД.
9. Ответственность Сторон 9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
9.2. Вред, причиненный Субъекту ПД вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством Российской Федерации, подлежит возмещению в соответствии с законодательством Российской̆ Федерации.
9.3. В случае нарушения Оператором конфиденциальности персональных данных Оператор не несёт ответственности, если данная конфиденциальная информация:
9.3.1. Стала публичной до её утраты или разглашения.
9.3.2. Была известна третьей стороне до момента её получения Оператором.
9.3.3. Была разглашена с согласия Субъекта ПД.
10. Разрешение споров 10.1. До обращения в суд с иском по спорам, возникающим из отношений между Субъектом ПД и Оператором, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).
10.2. Получатель претензии в течение 10 (десяти) рабочих дней со дня получения претензии, письменно направляет ответ о результатах рассмотрения претензии.
10.3. При не достижении Сторонами соглашения спор будет передан на рассмотрение в судебный орган в соответствии с Договором.