УТВЕРЖДАЮ
генеральный директор ООО "Бонанза"
Ветчинов А.В. ___________
_______________2019 г.

Политика
обработки персональных данных
в аквапарке «Чудо-Остров»
(ООО "Бонанза")

1. Общие положения

1.1. Настоящая Политика обработки персональных данных в аквапарке «Чудо Остров» (общество с ограниченной ответственностью "Бонанза", ИНН 4105045528, ОГРН 1154177002231) (далее – Оператор), расположенном по адресу: 25 км. автодороги Елизово-Паратунка, база отдыха «Лесная», разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», иными федеральными законами и нормативно-правовыми актами.
1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Политика обработки Персональных данных разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.
1.4. Основные понятия, используемые в настоящей Политике:
- персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
- сбор;
- запись;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (предоставление, доступ);
- блокирование;
- удаление;
- уничтожение.
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2. Цели сбора персональных данных

2.1. Одна из приоритетных задач в работе Оператора – соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а также требований Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2.2. Целями сбора, обработки, хранения, а также других действий с персональными данными физических лиц (далее субъектов персональных данных) являются:
- исполнение обязательств Оператора по оказанию услуг;
- обеспечение безопасности клиентов при оказании услуг;
- идентификация клиента при повторном посещении;
- осуществления пропускного режима, в том числе ускоренного;
- оформление «Карты гостя» для клиентов;
- минимизации юридических рисков Оператора при оказании услуг;
- фиксация ознакомления и согласия клиентов с действующими Правилами посещения аквапарка «Чудо-Остров»;
- информирование клиентов о забытых или потерянных вещах посредством телефонной связи;
- информирование клиентов об акциях, мероприятиях и индивидуальных предложениях, связанных с услугами Оператора;
- заключение трудовых договоров с сотрудниками аквапарка;
2.3. При обработке персональных данных субъектов реализуются следующие принципы:
- соблюдение законности получения, обработки, хранения, а также других действий с персональными данными;
- обработка персональных данных исключительно с целью исполнения Оператором договорных обязательств;
- сбор только тех персональных данных, которые минимально необходимы для достижения заявленных целей обработки;
- выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;
- соблюдение прав субъекта персональных данных на доступ к его персональным данным.

3. Состав и способы обработки персональных данных

3.1. В состав обрабатываемых Оператором персональных данных могут входить:
- фамилия, имя, отчество;
- дата рождения,
- паспортные данные;
- адрес проживания;
- номер телефона;
- фамилии и имена сопровождаемых детей до 14 лет;
- даты рождения сопровождаемых детей до 14 лет;
- место работы и должность субъекта;
- указание источника информации об Операторе.
3.2. Оператор не обрабатывает персональные данные, касающиеся вероисповедания, национальности субъекта.
3.3. Оператор получает персональные данные только лично от субъекта.
3.4. Обработка персональных данных происходит как неавтоматизированным, так и автоматизированным способом.

4. Правовые основания обработки персональных данных

4.1. Обработка персональных данных Оператором производится в соответствии со следующими правовыми актами: Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Правилами посещения аквапарка «Чудо-Остров».

5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

5.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
5.1.1. Работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
- фамилия, имя, отчество;
- паспортные данные;
- дата рождения;
- адрес проживания;
- номер телефона;
- другие сведения в соответствии с ТК РФ.
5.1.2. Клиенты и контрагенты Оператора (физические лица);
- фамилия, имя, отчество;
- дата рождения,
- номер телефона;
- фамилии и имена сопровождаемых детей до 14 лет;
- даты рождения сопровождаемых детей до 14 лет;
- место работы и должность субъекта;
- указание источника информации об Операторе.
5.1.3. Представители/работники клиентов и контрагентов Оператора (юридических лиц).
- фамилия, имя, отчество;
- дата рождения,
- паспортные данные;
- номер телефона;
- фамилии и имена сопровождаемых детей до 14 лет;
- даты рождения сопровождаемых детей до 14 лет;
- место работы и должность субъекта;
- указание источника информации об Операторе.

6. Порядок и условия обработки персональных данных

6.1. Перечень действий, совершаемых службами оператора с персональными данными субъектов, способы их обработки.
6.1.1. Отдел кадров
- Осуществляет сбор, обработку, хранение и систематизацию персональных данных сотрудников аквапарка с помощью средств автоматизации и без таковых; Формирует базу персональных данных сотрудников.
- Уточняет персональные данные сотрудников, вносит соответствующие изменения в базу персональных данных сотрудников;
- Осуществляет уничтожение персональных данных сотрудников;
- Принимает меры по обеспечению сохранности персональных данных сотрудников;
- Разрабатывает и утверждает локальные нормативные акты, касающиеся обработки персональных данных сотрудников аквапарка;
6.1.2. Отдел продаж:
- Осуществляет сбор, обработку, хранение и систематизацию персональных данных потребителей услуг аквапарка с помощью средств автоматизации и без таковых; Участвует в формировании базы персональных данных Клиентов.
- Уточняет персональные данные Клиентов, вносит соответствующие изменения в клиентскую базу персональных данных;
- Осуществляет уничтожение персональных данных Клиентов;
- Принимает меры по обеспечению сохранности персональных данных Клиентов;
6.1.3. Отдел ресепшен:
- Осуществляет сбор, обработку, хранение и систематизацию персональных данных потребителей услуг аквапарка с помощью средств автоматизации и без таковых; Участвует в формировании базы персональных данных Клиентов.
- Уточняет персональные данные Клиентов, вносит соответствующие изменения в клиентскую базу персональных данных;
- Осуществляет уничтожение персональных данных Клиентов;
- Принимает меры по обеспечению сохранности персональных данных Клиентов;
6.1.4. Сроки хранения персональных данных клиентов:
6.2. Данные необходимые для предоставления услуг, идентификации клиента и обеспечения безопасности, такие как фамилия, имя, отчество, данные сопровождаемых детей до 14 лет хранятся в электронном и бумажном виде до обращения о прекращении обработки персональных данных, но не менее 30 дней.
- Данные необходимые для информирования клиента, такие как номер телефона, хранятся в электронном виде, в том числе в обезличенном виде, до обращения о прекращении обработки персональных данных, но не менее 30 дней.
6.2.1. Взаимодействие и передача персональных данных третьим лицам:
- В случае возникновения ситуаций того требующих, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации
- Данные необходимые для информирования клиента, такие как номер телефона могут быть переданы в обезличенном виде третьим лицам на основании договора об организации информационной рассылки.

7. Порядок обеспечения защиты персональных данных

7.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
7.2. Риск угрозы информационным ресурсам создают экстремальные ситуации, террористические действия, аварии технических средства и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
7.3. Защита персональных данных субъектов от неправомерного их использования или утраты должна быть обеспечена аквапарком за счет его средств и в порядке, установленном Федеральным законом.
7.4. Для обеспечения защиты персональных данных необходимо п следующие меры:
- Назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
- Ограничение состава лиц, допущенных к обработке персональных данных;
- Ознакомление сотрудников аквапарка с требованиями федерального законодательства и нормативных документов аквапарка по обработке и защите персональных данных;

8. Доступ к персональным данным субъектов ПД

8.1. Доступ к персональным данным субъекта ПД имеют:
- ИП Ветчинов В.А., директор по развитию, специалист по правовым и кадровым вопросам (к данным, необходимым для выполнения их должностных обязанностей, заключения, исполнения, прекращения договоров);
- менеджеры отдела продаж (к данным, необходимым для заключения и исполнения договоров с клиентами аквапарка);
- администраторы, сотрудники рецепции (к данным, необходимым для сбора и учета посещений аквапарка, оказываемых услуг);
- руководитель службы безопасности (к данным, необходимым для осуществления пропускного контроля, сохранности имущества);
- системные администраторы (к данным, необходимым для функционирования автоматизированных систем учета услуг аквапарка);

9. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

9.1. Субъект ПД имеет право:
- получать от Оператора сведения об обрабатываемых ПД,
- требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными,
- принимать предусмотренные законом меры по защите своих прав,
- иные права, предусмотренные действующим законодательством.
9.2. Оператор обязан:
- по запросу субъекта ПД предоставить ему полные сведения о ПД, об обрабатываемых в отношении субъекта ПД, уточнять и удалять их,
- получать и обрабатывать только те ПД, которые были получены непосредственно от субъекта ПД,
- обеспечивать конфиденциальность ПД;
- нести иные обязанности, предусмотренные действующим законодательством.
9.3. Для доступа к своим ПД, их уточнение, удаления субъект ПД должен обратиться к Оператору (ИП Ветчинов А.В.) лично с письменным запросом, в котором указывается номер карты гостя (при наличии), и документом, подтверждающим личность. Ответ на запрос Оператор передает субъекту ПД лично (или его уполномоченному представителю) или направляет по адресу, указанному субъектом ПД в запросе, в течение 7 дней. Обращения субъектов персональных данных и мероприятия по этим обращениям вносятся в «Журнал учета обращений по вопросам обработки персональных данных».