ПОЛИТИКА в отношении защиты и обработки персональных данных ООО «Айсцентр»

1. Общие положения
1. Настоящая Политика в отношении обработки персональных данных, в том числе биометрических персональных данных (далее — Политика) разработана в соответствии с требованиями Конституции Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (с изменениями на 2025 год, включая Федеральный закон №23-ФЗ от 28.02.2025), Постановлением Правительства РФ №1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и рекомендациями Роскомнадзора по обработке персональных данных в организациях сферы услуг (фитнес-центры, гостиницы), и определяет порядок обработки и меры по обеспечению безопасности персональных данных в ООО «Айсцентр».
2. Политика действует в отношении всех персональных данных, которые организация получает от субъектов: клиентов фитнес-центра, гостей гостиницы, работников, кандидатов на трудоустройство и контрагентов.
3. Цель Политики — защита прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также соблюдение требований законодательства Российской Федерации.
4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайтах Оператора: https://ice-fit.ru/, https://iceberg-oskol.ru/.
2. Основные понятия
Для целей настоящей Политики используются следующие понятия:
персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных;
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных — временное прекращение обработки персональных данный (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
уровень защищенности персональных данных — комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
3. Принципы обработки персональных данных
ООО «Айсцентр» при обработке персональных данных руководствуется следующими принципами:
• законность и справедливость;
• обработка только для заранее определённых и законных целей;
• минимизация объема данных, достаточного для достижения целей;
• достоверность и актуальность данных;
• хранение не дольше, чем этого требуют цели обработки;
• обеспечение безопасности и конфиденциальности данных.

4. Цели обработки персональных

ООО «Айсцентр» обрабатывает персональные данные в целях:

подбора и консультации по оказанию услуг фитнес-центра «ICEFIT» и гостиницы «Айсберг PREMIUM HOTEL»;
заключения и исполнения договоров на оказание услуг фитнес-центра «ICEFIT» и гостиницы «Айсберг PREMIUM HOTEL»;
учета и идентификации посетителей, в том числе с использованием биометрии (фото) при наличии согласия субъекта;
регистрации гостей гостиницы в соответствии с законодательством РФ;
ведения кадрового и бухгалтерского учета, расчета заработной платы;
направления уведомлений о новых услугах, акциях и мероприятиях (при наличии согласия субъекта ПДн);
обеспечение доступа и безопасности, включая фото/видео при видеонаблюдении;
информирования клиентов в течение срока действия договора или иного срока, предусмотренного нормативными актами;

· использование фото- и видеоизображений клиентов при наличии отдельного согласия для размещения в маркетинговых материалах фитнес-центра, включая сайт и социальные сети (в т.ч., но не ограничиваясь «В контакте»);

исполнения обязанностей, предусмотренных законодательством РФ.

При продаже услуг по разовому посещению клуба (бассейн, тренажерный зал), для целей идентификации клиента, ведения бухгалтерского и налогового учета, а также исполнения договора оказания услуг в момент посещения, а также для обеспечения безопасности клиентов Клуба оператор обрабатывает следующие персональные данные: фамилия, имя, отчество, дата рождения, номер телефона. Обработка указанных персональных данных осуществляется на основании п. 2 и п. 4 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 9 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте», а также норм Налогового кодекса РФ. В связи с этим отдельное согласие субъекта персональных данных на сбор, хранение и обработку указанных данных не требуется.

5. Объем и категории персональных данных

ООО «Айсцентр» обрабатывает персональные данные различных категорий субъектов персональных данных в объеме, необходимом и достаточном для достижения целей обработки.
1. Клиенты фитнес-центра
В целях заключения и исполнения договоров об оказании услуг фитнес-центра, а также обеспечения доступа на территорию клуба могут обрабатываться:

фамилия, имя, отчество;
дата и место рождения;
пол;
контактные данные (номер телефона, адрес электронной почты, адрес проживания, логин в социальных сетях и мессенджерах);
данные документа, удостоверяющего личность (номер, серия, дата выдачи, кем выдан, код подразделения);
фото и видеоизображение для идентификации клиента при проходе в клуб и видеонаблюдения, а также для маркетинга при наличии согласия;
факт и содержание коммуникаций при обращениях клиента (звонки, мессенджеры, социальные сети);
сведения о родстве с другими клиентами (по инициативе клиента и для исполнения договора);
биометрические персональные данные (например, изображение лица, отпечаток пальца) – при наличии письменного согласия субъекта;
сведения о приобретенных клубных картах, договорах, абонементах, сроках их действия;
собственноручная или электронно-графическая подпись в договорах и документах;
данные медицинских справок и документов, предоставляемых клиентами по своей инициативе (для заявлений на продление абонементов, в случае пропуска по уважительной причине);
данные сайта ice-fit.ru — cookies, IP;
данные о посещениях и услугах, оказанных клиенту;
информация о платежах, в т.ч. через банковские карты или иные электронные средства платежа.

2. Гости гостиницы
В целях предоставления гостиничных услуг и исполнения законодательства РФ (в том числе требований миграционного учета) могут обрабатываться:

фамилия, имя, отчество;
дата и место рождения;
гражданство;
паспортные данные (серия, номер, дата выдачи, кем выдан, сведения о регистрации по месту жительства);
адрес проживания или регистрации;
даты въезда и выезда из гостиницы;
контактные данные (телефон, e-mail);
сведения о транспортных документах (при необходимости);
платежные реквизиты (номер банковской карты, информация о платежах);
сведения о дополнительных услугах, заказанных гостем;
подпись в регистрационной карте или иных документах, оформляемых при заселении.

3. Работники и кандидаты на трудоустройство
В целях соблюдения трудового законодательства, кадрового учета и организации трудовой деятельности могут обрабатываться:

фамилия, имя, отчество;
дата и место рождения;
пол, семейное положение;
паспортные данные и иные сведения, удостоверяющие личность;
адрес проживания и регистрации;
контактные данные (телефон, e-mail);
сведения о воинском учете;
сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации, дипломы, сертификаты;
сведения о трудовой деятельности (трудовая книжка, резюме, сведения о стаже, предыдущих местах работы);
ИНН, СНИЛС;
банковские реквизиты для начисления заработной платы;
медицинские документы, включая справки, заключения, сведения о прохождении медосмотров (если это требуется законодательством);
сведения о членах семьи (в случаях, предусмотренных законодательством, например, для оформления социальных выплат);
фотография для оформления пропуска/личного дела.

4. Контрагенты (физические лица, представители юридических лиц)
В целях заключения и исполнения договоров гражданско-правового характера, а также взаимодействия с контрагентами могут обрабатываться:

фамилия, имя, отчество;
должность, место работы;
контактные данные (телефон, e-mail, почтовый адрес);
паспортные данные (при необходимости для заключения договора, доверенности);
реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
подпись в договорах и иных документах;
платежные реквизиты (в случаях, когда контрагентом является физическое лицо).

6. Трансграничная передача персональных данных

Оператор не осуществляет трансграничную передачу персональных данных (в соответствии с запретом первичных операций за рубежом по изменениям 2025 года; все данные локализуются на серверах в РФ).

7. Перечень действий с персональными данными

Оператор (ООО «Айсцентр») осуществляет следующие действия с персональными данными:

Сбор персональных данных – Сбор персональных данных – получение информации непосредственно от субъектов (при заключении договоров, заполнении анкет, при регистрации на сайте, через мобильное приложение «Мой фитнес», через программы онлайн-бронирования гостиницы (в том числе TravelLine), через системы контроля доступа, при заселении в гостиницу и т.п.), а также из иных источников, предусмотренных законодательством.
Запись персональных данных – фиксация информации на материальных носителях и в информационных системах (электронные базы, журналы учета, договоры, учетные карточки и т.п.).
Систематизация персональных данных – упорядочивание информации в соответствии с установленными целями обработки (например, по категориям клиентов, работников, контрагентов).
Накопление персональных данных – хранение информации в информационных системах и на материальных носителях для достижения целей обработки.
Хранение персональных данных – обеспечение сохранности информации и носителей, исключающей несанкционированный доступ.
Уточнение (обновление, изменение) персональных данных – внесение изменений по заявлению субъекта или при получении сведений из достоверных источников (например, изменение фамилии, адреса, телефона, должности).
Использование персональных данных – применение информации для выполнения договорных обязательств, оказания услуг, идентификации при проходе через СКУД, ведения бухгалтерии и налогового учета, кадрового делопроизводства.
Передача (предоставление, доступ) персональных данных – предоставление информации третьим лицам в случаях, предусмотренных законом или договором (например, в налоговые органы, МВД при регистрации гостей гостиницы, страховые компании, контрагенты).
Распространение персональных данных – действия по раскрытию информации неопределенному кругу лиц (осуществляется только при наличии отдельного согласия субъекта согласно ст. 10.1 ФЗ-152).
Блокирование персональных данных – временное прекращение обработки информации (кроме хранения) по заявлению субъекта или в случае выявления недостоверности данных.
Удаление персональных данных – действия, в результате которых становится невозможным восстановить содержание информации в информационной системе без сохранения её на материальных носителях.
Уничтожение персональных данных – действия, в результате которых полностью исключается возможность восстановления информации (физическое уничтожение носителей, безвозвратное удаление из баз данных).
Оператор с письменного согласия субъекта персональных данных может осуществлять сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, биометрических персональных данных.

8. Способы обработки персональных данных Оператором

В зависимости от информационной системы, используемой Оператором обработка персональных данных может осуществляться следующими способами:

смешанная обработка с передачей по внутренней сети Оператора с передачей по сети интернет;
автоматизированная обработка без передачи по внутренней сети Оператора с передачей по сети интернет;
смешанная обработка без передачи по внутренней сети Оператора без передачи по сети интернет.

9. Сроки обработки персональных данных

Обработка персональных данных Оператором, в том числе их хранение, осуществляется в течение сроков, установленных действующим законодательством, а также локальными нормативными актами.

10. Порядок и условия обработки персональных данных

Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области.
Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
В целях информационного обеспечения Оператор может создавать справочные материалы, в которые с согласия субъекта персональных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, номер телефона (рабочего, сотового), адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
Доступ к обрабатываемым Оператором персональных разрешается только работникам Оператора, в перечень должностных обязанностей которых входит обработка персональных данных, в том числе контрагентам и подрядчикам — IT-специалистам, CRM-подрядчикам, банкам и обслуживающим организациям — в целях обеспечения исполнения договора).
Оператор осуществляет передачу персональных данных государственным органам в рамках и в соответствии с законодательством РФ.
Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
Доступ к обрабатываемым персональным данным предоставляется только тем работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
Оператор обеспечивает раздельное хранение персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных.
Хранение материальных носителей персональных данных осуществляется Оператором с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.
При достижении целей обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

иное не предусмотрено договором; оператор не вправе осуществлять обработку без согласия Субъекта персональных данных на основаниях, предусмотренных федеральным законом № 152-ФЗ «О персональных данных» или иными федеральными законами;
иное не предусмотрено соглашением между Оператором и Субъектом персональных данных.

11. Обработка персональных данных осуществляется с соблюдением конфиденциальности обрабатываемых персональных данных, в частности, Оператор обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации.

11. Порядок и условия обработки персональных данных в информационных системах

Обработка персональных данных в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасности персональных данных, определённых с учетом актуальных угроз безопасности и информационных технологий, используемых в информационных системах.

12. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

Оператор в рамках своей деятельности может осуществлять распространение персональных данных при наличии соответствующего согласия субъекта персональных данных, полученного в соответствии с требованиями статьи 10.1 Федерального закона № 152-ФЗ.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий. Субъект персональных данных самостоятельно может определить категории и перечень персональных, разрешенных для распространения.
В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить условия и запреты, накладываемые на перечень и категории персональных данных, разрешенных субъектом для их распространения.
Распространение персональных данных производится Оператором на соответствующих информационных ресурсах Оператора, размещенных в телекоммуникационной сети «Интернет»

13. Права и обязанности субъектов персональных данных

Субъекты персональных данных имеют право на:
·               полную информацию об их персональных данных, обрабатываемых Оператором;
·               доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, а также право на ознакомление:
- для клиентов фитнес-центра — с данными о заключённых договорах, клубных картах, посещениях и оказанных услугах;
- для гостей гостиницы — с данными о бронировании, проживании и оказанных дополнительных услугах;
- для работников — с данными, содержащимися в их личном деле и кадровых документах;
·                уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
·               отзыв согласия на обработку персональных данных;
·               принятие предусмотренных законом мер по защите своих прав;
·               обжалование действия или бездействия Оператором, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
·               осуществление иных прав, предусмотренных законодательством Российской Федерации.

14. Обеспечение защиты персональных данных при их обработке Оператором

Оператор принимает меры, необходимые и достаточные для обеспечения защиты персональных данных.
К таким мерам относятся:
1.              назначение Оператором ответственного за организацию обработки персональных данных и ответственного за безопасность при обработке персональных данных;
2.              издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных нормативных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3.              установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сетям Интернет без применения установленных Оператором мер по обеспечению безопасности персональных данных;
4.               хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
5.              получение согласий субъектов персональных данных на их обработку, за исключением случаев, предусмотренных законодательством Российской Федерации;
6.              осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
7.              определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
8.              организация обучения и проведение методической работы с работниками Оператора, занимающими должности, которыми осуществляется обработка персональных данных;
9.              ознакомление сотрудников Оператора, которыми осуществляется обработка персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.

15. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Оператора в области обработки персональных данных

Контроль осуществляется лицом, ответственным за организацию обработки персональных данных.

16. Актуализация, исправление, уничтожение персональных данных

В случае предоставления субъектом персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Оператор обязан принять меры:

в случае подтверждения факта недостоверности персональных данных – персональные данные подлежат их актуализации оператором;
в случае неправомерности их обработки такая обработка должна быть прекращена.

При достижении целей обработки персональных данных, а также в случае истечения срока согласия на обработку персональных данных или отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:

оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или иными федеральными законами;
иное не предусмотрено соглашением между Оператором и субъектом персональных данных.

17. Реагирование на запросы субъектов персональных данных

Порядок рассмотрения запросов по персональным данным
1.              При поступлении запроса субъекта персональных данных или его представителя, сотрудник Оператора обязан зарегистрировать запрос в «Журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных».
2.              Датой поступления запроса субъекта персональных данных Оператору считается дата его регистрация.
3.              Срок регистрации запроса составляет 3 рабочих дня со дня получения запроса Оператором.
4.              С даты регистрации запроса субъекта персональных данных, данный запрос передается ответственному сотруднику Оператора для рассмотрения по существу.
5.              Сотрудник Оператора сверяет сведения в запросе субъекта персональных данных с предоставленными ему документами.
6.              Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
·                подтверждение обработки персональных данных, правовые основания и цели такой обработки; способы обработки персональных данных;
·                сведения о лицах, которые имеют доступ к персональным данным;
·                перечень обрабатываемых персональных данных и источник их получения;
·                сроки обработки персональных данных, в том числе сроки их хранения;
·                информацию о мерах, предпринятых оператором и направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом №152-ФЗ.
7.              Запросы субъектов персональных данных, касающиеся обработки персональных данных Оператором, в том числе запросы на уничтожение или уточнение персональных данных, рассматриваются в сроки, установленные Федеральным законом №152-ФЗ и исчисляются с даты регистрации запроса субъекта персональных данных.
8.              Оператор предоставляет сведения, указанные в п. 17.6. настоящего Положения субъекту персональных данных в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

18. Требования к оформлению запросов от субъектов персональных данных

1. Субъект персональных данных вправе направить в ООО «Айсцентр» запрос о предоставлении информации, касающейся обработки его персональных данных.
2. Запрос может быть подан:

в письменной форме по адресу: 309509, Белгородская обл., г. Старый Оскол, мкр Северный, д. 45;
в электронной форме по e-mail: icecenteroskol@yandex.ru.

3. В запросе должны быть указаны сведения, позволяющие идентифицировать личность субъекта персональных данных и подтвердить факт их обработки ООО «Айсцентр».
4. Ответ на запрос предоставляется в сроки и в порядке, установленные Федеральным законом №152-ФЗ.

19. Заключительные положения

19.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.
19.2. Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на Интернет-сайтах Оператора по адресам: https://ice-fit.ru/, https://iceberg-oskol.ru/..
19.3. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики и действует до его отмены. Действующая редакция постоянно доступна на Сайте по адресам: https://ice-fit.ru/, https://iceberg-oskol.ru/.