Политика в отношении обработки персональных данных

Приложение №1

к приказу ООО «Калязинские бани» № 11 от «30» июля 2025 г.

Политика общества с ограниченной ответственностью «Калязинские бани»

в отношении обработки персональных данных

1. Общие положения

1. 1.1. Настоящая Политика общества с ограниченной ответственностью «Калязинские бани» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. 1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «Калязинские бани» (далее - Оператор, ООО «Калязинские бани»).
3. 1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
4. 1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора https://spa.k8.ru.
5. 1.5. Основные понятия, используемые в Политике:
   • персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
   • оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
   • обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;
   • автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
   • распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
   • предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
   • блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
   • уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
   • обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
   • информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
6. 1.6. Основные права и обязанности Оператора.
   • 1.6.1. Оператор имеет право: самостоятельно определять меры по выполнению обязанностей, поручать обработку третьему лицу по договору при соблюдении требований закона; при отзыве согласия продолжить обработку при наличии оснований, указанных в Законе о персональных данных.
   • 1.6.2. Оператор обязан: организовывать обработку по требованиям закона; отвечать на обращения субъектов; по запросу Роскомнадзора предоставлять информацию в течение 10 рабочих дней (с возможным продлением до пяти дней с мотивированным уведомлением); обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
7. 1.7. Основные права субъекта персональных данных: получать информацию об обработке; требовать уточнения, блокирования или уничтожения данных; дать предварительное согласие на продвижение на рынке; обжаловать действия Оператора в Роскомнадзоре или суде.
8. 1.8. Контроль за исполнением Политики осуществляет уполномоченное лицо, ответственное за организацию обработки персональных данных у Оператора.
9. 1.9. Ответственность за нарушение требований законодательства РФ и нормативных актов ООО «Калязинские бани» определяется в соответствии с законодательством РФ.

2. Цели обработки персональных данных

1. 2.1. Обработка ограничивается достижением конкретных, заранее определенных и законных целей.
2. 2.2. Обрабатываются только данные, отвечающие целям их обработки.
3. 2.3. Обработка Оператором и привлеченными/получившими доступ третьими лицами осуществляется в целях: деятельности по уставу ООО «Калязинские бани» (заключение и исполнение договоров); исполнения трудового законодательства; пропускного режима; регистрации (идентификации) Пользователя сайта/киоска саморегистрации; предоставления доступа к ресурсам сайта; обратной связи, уведомлений, ответов на обращения, обработки заявок; клиентской и технической поддержки; рекламы при наличии согласия, программ лояльности и акций; исполнения обязательств перед субъектами; статистических и иных исследований на основе обезличенных данных; улучшения сервисов сайта и разработки новых.
4. К числу третьих лиц относятся партнеры по метрическим программам (Яндекс.Метрика), поставщики информационных/аналитических услуг, платежные системы и организации онлайн-оплаты и пробития чеков, в том числе ООО «НКО ЮМАНИ» ИНН 7750005725.
5. 2.4. Обработка персональных данных работников — исключительно для соблюдения законов и иных НПА.

3. Правовые основания обработки персональных данных

1. 3.1. Правовые основания: Конституция РФ; ГК РФ; ТК РФ; НК РФ; ФЗ «Об ООО»; ФЗ «О бухгалтерском учете»; ФЗ «Об обязательном пенсионном страховании»; иные НПА.
2. 3.2. Также: устав ООО «Калязинские бани»; договоры с субъектами; согласия субъектов на обработку их персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов

1. 4.1. Содержание и объем данных соответствуют целям обработки и не являются избыточными.
2. 4.2. Категории субъектов:
   • 4.2.1. Работники и бывшие работники — для исполнения трудового законодательства и пропускного режима: ФИО; пол; гражданство; дата и место рождения; паспортные данные; адреса регистрации и проживания; контакты; ИНН; СНИЛС; сведения об образовании и квалификации; семейное положение и дети; сведения о трудовой деятельности, поощрениях/взысканиях; регистрация брака; воинский учет; инвалидность; удержание алиментов; доход с предыдущего места работы; иные данные по ТК РФ.
   • 4.2.2. Члены семьи работников — для целей, связанных с трудовыми отношениями: ФИО; степень родства; год рождения; иные данные по ТК РФ.
   • 4.2.3. Клиенты и контрагенты (физлица) — для уставной деятельности и пропускного режима: ФИО; дата и место рождения; адрес регистрации; контакты; должность; ИНН; номер расчетного счета; иные необходимые для договоров данные.
   • 4.2.4. Представители клиентов/контрагентов (юрлица) — ФИО; паспортные данные; контакты; должность; иные необходимые для договоров данные.
   • 4.2.5. Пользователи (Посетители) Сайта: ФИО; дата рождения; телефон; e-mail; технические данные устройства (включая cookies, информацию о браузере, времени доступа, длительности, действия на сайте, точки входа), в т.ч. с использованием метрических программ.
3. 4.3. Биометрические данные обрабатываются по законодательству РФ.
4. 4.4. Специальные категории (раса, политические взгляды, здоровье и т.д.) не обрабатываются, кроме случаев, предусмотренных законом.

5. Порядок и условия обработки персональных данных

1. 5.1. Обработка осуществляется по законодательству РФ.
2. 5.2. С согласия субъектов, а также без такового в случаях, предусмотренных законом.
3. 5.3. Способы: неавтоматизированная; автоматизированная (с передачей по сетям или без); смешанная.
4. 5.4. Доступ имеют работники, чьи обязанности включают обработку данных.
5. 5.5. Способы получения: устно/письменно от субъекта; внесение в журналы, реестры, ИС Оператора; иные способы.
6. 5.6. Раскрытие третьим лицам и распространение без согласия субъекта не допускаются, если иное не предусмотрено законом. Согласие на распространение оформляется отдельно (Приказ Роскомнадзора от 24.02.2021 № 18).
7. 5.7. Передача в уполномоченные органы (ФНС, СФР и др.) — по требованиям законодательства.
8. 5.8. Меры защиты: выявление угроз; локальные акты; назначение ответственных; условия для работы с ПДн; учет документов; организация работы ИС; хранение с обеспечением сохранности и исключением неправомерного доступа; обучение работников.
9. 5.9. Срок хранения — не дольше необходимого для каждой цели обработки, если иной срок не установлен законом/договором.
   • 5.9.1. Бумажные носители — по срокам, установленным законодательством об архивном деле (ФЗ № 125-ФЗ, Перечень типовых управленческих архивных документов, Приказ Росархива № 236).
   • 5.9.2. В ИСПДн — сроки соответствуют бумажным носителям.
10. 5.10. Прекращение обработки: при выявлении неправомерной обработки (в течение 3 рабочих дней); при достижении цели; при истечении срока/отзыве согласия, когда обработка допускается только с согласия.
11. 5.11. При достижении цели или отзыве согласия обработка прекращается, если иное не предусмотрено договором, законом или иным соглашением между Оператором и субъектом.
12. 5.12. По требованию субъекта обработка прекращается в срок не более 10 рабочих дней (с возможным продлением до пяти дней с мотивированным уведомлением), за исключением предусмотренных законом случаев.
13. 5.13. При сборе через Интернет Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных на территории РФ, за исключениями, указанными в Законе о персональных данных.

6. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

1. 6.1. Подтверждение факта обработки, правовые основания, цели и иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются субъекту или представителю в течение 10 рабочих дней с момента обращения/запроса (с возможным продлением до пяти дней с мотивированным уведомлением). Запрос должен содержать реквизиты документа, подтверждение отношений с Оператором, подпись. Может быть направлен в электронной форме с ЭП. Сведения предоставляются в форме обращения, если иное не указано. При отсутствии необходимых сведений или прав — мотивированный отказ. Право доступа может быть ограничено по ч. 8 ст. 14.
2. 6.2. При выявлении неточностей — блокирование на период проверки по обращению субъекта/представителя или запросу Роскомнадзора; при подтверждении — уточнение в течение 7 рабочих дней и снятие блокирования.
3. 6.3. При выявлении неправомерной обработки по обращению субъекта/Роскомнадзора — блокирование соответствующих персональных данных с момента обращения/запроса.
4. 6.4. При факте неправомерной или случайной передачи (предоставления, распространения) персональных данных: в течение 24 часов — уведомление Роскомнадзора об инциденте и мерах; в течение 72 часов — уведомление о результатах внутреннего расследования и лицах, ставших причиной (при наличии).
5. 6.5. Порядок уничтожения персональных данных.
   • 6.5.1. Сроки уничтожения: достижение цели или утрата необходимости — 30 дней; достижение максимальных сроков хранения документов — 30 дней; подтверждение незаконного получения или ненужности — 7 рабочих дней; отзыв согласия при отсутствии цели хранения — 30 дней.
   • 6.5.2. Уничтожение при достижении цели/отзыве согласия — при отсутствии иных оснований (договор, закон, иное соглашение).
   • 6.5.3. Уничтожение осуществляет комиссия, созданная приказом генерального директора ООО "Калязинские бани".
   • 6.5.4. Способы уничтожения определяются локальными НПА Оператора.

Контакты для обращений по вопросам персональных данных: info@k8-bani.ru. Актуальная версия Политики доступна на сайте https://spa.k8.ru.