Политика в отношении обработки персональных данных в ООО «Бисофт»

утв. приказом от 12.05.2025 №06

1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с пунктом 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и определяет позицию Общества с ограниченной ответственностью «Бисофт» (далее — Общество) в области обработки и защиты персональных данных, цели, правовые основания, состав и условия их обработки, а также меры по обеспечению их безопасности.
1.2. Политика распространяется на все процессы обработки персональных данных в Обществе, осуществляемые с использованием средств автоматизации и без их использования, и охватывает:
1.2.1. обработку персональных данных, в отношении которых Общество является оператором (работники и бывшие работники, соискатели, члены семей работников, представители контрагентов, посетители сайта и лица, направившие заявку на демо-доступ);
1.2.2. обработку персональных данных, которую Общество осуществляет по поручению операторов — фитнес-клубов, использующих программу для ЭВМ «Куб» (далее — Программа), в отношении их клиентов и работников (раздел 6 Политики).
1.3. Оператор / лицо, осуществляющее обработку по поручению:
Общество с ограниченной ответственностью «Бисофт»,
ИНН 5407968027, ОГРН 1175476119136
1.4. Политика является общедоступным документом: она публикуется на сайте Общества и предоставляется по запросу любому лицу. Действующая редакция размещена по адресу: https://bee-soft.ru/policy.
1.5. Политика обязательна для всех работников Общества, допущенных к обработке персональных данных. Внутренний порядок работы с персональными данными работников дополнительно регулируется локальными нормативными актами Общества (положением об обработке и защите персональных данных работников, приказами, соглашениями о неразглашении), которые не могут противоречить настоящей Политике.
1.6. Ответственный за организацию обработки персональных данных назначается приказом директора Общества (ст. 22.1 152-ФЗ).
1.7. Политика вступает в силу с момента её утверждения и действует до замены новой редакцией. Изменения вносятся приказом директора Общества; актуальная редакция публикуется в порядке п. 1.4.

2. Термины
В Политике используются термины в значениях, установленных 152-ФЗ, в том числе:
- персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
- оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки, состав ПДн и совершаемые с ними действия;
- обработка ПДн — любое действие (операция) с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
- предоставление ПДн — раскрытие ПДн определённому лицу или кругу лиц;
- распространение ПДн — раскрытие ПДн неопределённому кругу лиц;
- блокирование ПДн — временное прекращение обработки (кроме случаев, когда обработка необходима для уточнения ПДн);
- уничтожение ПДн — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе и (или) уничтожаются материальные носители ПДн;
- обезличивание ПДн — действия, в результате которых без дополнительной информации невозможно определить принадлежность ПДн конкретному субъекту;
- информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.

3. Принципы и правовые основания обработки
3.1. Обработка ПДн осуществляется на основе принципов статьи 5 152-ФЗ: законность и справедливость; ограничение обработки достижением конкретных, заранее определённых и законных целей; недопустимость обработки, несовместимой с целями сбора, и объединения баз данных, обработка в которых ведётся в несовместимых целях; обработка только тех ПДн, которые отвечают целям обработки; соответствие содержания и объёма ПДн заявленным целям; точность, достаточность и актуальность ПДн; хранение в форме, позволяющей определить субъекта, не дольше, чем того требуют цели обработки; уничтожение либо обезличивание по достижении целей или при утрате необходимости в их достижении.
3.2. Правовыми основаниями обработки являются:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации (глава 14) и иные нормативные правовые акты в сфере трудовых отношений;
- Налоговый кодекс Российской Федерации; федеральные законы от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте», от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учёте…», от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании…», от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании…», от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе» и иные акты, возлагающие на Общество обязанности как на работодателя, налогового агента и страхователя;
- Гражданский кодекс Российской Федерации;
- уставные документы Общества;
- договоры, заключаемые между Обществом и субъектами ПДн, а также договоры (оферты) с операторами, поручающими Обществу обработку ПДн (ч. 3 ст. 6 152-ФЗ);
- согласия субъектов на обработку персональных данных.
3.3. Обработка осуществляется при наличии хотя бы одного из условий части 1 статьи 6 152-ФЗ, в том числе: с согласия субъекта (п. 1); для достижения целей, предусмотренных законом, и исполнения возложенных законодательством функций и обязанностей (п. 2); для исполнения договора, стороной которого либо выгодоприобретателем или поручителем является субъект (п. 5); для осуществления прав и законных интересов Общества или третьих лиц, если при этом не нарушаются права и свободы субъекта (п. 7).
3.4. Специальные категории персональных данных (о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, судимости) Общество не обрабатывает, за исключением сведений о состоянии здоровья работников в случаях, прямо предусмотренных трудовым законодательством (листки нетрудоспособности, обязательные медицинские осмотры, сведения об инвалидности, ограничения к труду).
3.5. Биометрические персональные данные Общество не обрабатывает. Фотографии, размещаемые в учётных записях, не используются для установления личности техническими средствами и биометрическими персональными данными не являются.
3.6. Общество не осуществляет распространение персональных данных (раскрытие неопределённому кругу лиц). Обработка ПДн, разрешённых субъектом для распространения, ведётся только при наличии отдельного согласия по статье 10.1 152-ФЗ (в текущей деятельности не осуществляется).
3.7. Общество не принимает решений, порождающих юридические последствия в отношении субъектов ПДн или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

4. Цели обработки, категории субъектов, состав ПДн и сроки (Общество — оператор)
4.1. Работники и бывшие работники Общества
Цели: оформление и ведение трудовых отношений; начисление и выплата заработной платы; исполнение обязанностей налогового агента и страхователя (персонифицированный учёт, налоговая и статистическая отчётность); воинский учёт; предоставление гарантий, льгот и компенсаций; обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества.
Правовые основания: ТК РФ, акты п. 3.2 Политики; трудовой договор (п. 2, 5 ч. 1 ст. 6 152-ФЗ); согласие — в случаях, когда оно требуется законом (передача данных в банк для зарплатного проекта, получение данных у третьих лиц и т. п.).
Состав ПДн: фамилия, имя, отчество; дата и место рождения; гражданство; паспортные данные; адрес регистрации и фактического проживания; номера телефонов, адрес электронной почты; ИНН, СНИЛС; сведения об образовании, квалификации, повышении квалификации; сведения о трудовой деятельности (стаж, должность, содержание трудового договора); сведения о заработной плате и банковских реквизитах для её перечисления; сведения о воинском учёте; сведения о составе семьи и иные сведения, необходимые для предоставления гарантий и компенсаций; сведения о состоянии здоровья — только в объёме, предусмотренном трудовым законодательством (п. 3.4).
Сроки: в течение трудовых отношений и после их прекращения — в сроки, установленные законодательством об архивном деле (документы по личному составу, законченные делопроизводством после 01.01.2003, — 50 лет; ранее — 75 лет; приказ Росархива от 20.12.2019 № 236), налоговым и бухгалтерским законодательством.
4.2. Соискатели (кандидаты на вакантные должности)
Цели: рассмотрение кандидатуры и принятие решения о приёме на работу.
Правовые основания: согласие субъекта; действия по инициативе субъекта до заключения трудового договора (направление резюме).
Состав ПДн: ФИО; контактные данные; сведения об образовании, квалификации и опыте работы; иные сведения, добровольно сообщённые соискателем в резюме и сопроводительных документах.
Сроки: до принятия решения о приёме на работу; при отказе — не более 1 года с момента получения (для возможного повторного рассмотрения), если соискатель не отозвал согласие раньше, после чего ПДн уничтожаются.
4.3. Члены семей работников
Цели: предоставление работникам гарантий, льгот и компенсаций, предусмотренных трудовым, налоговым законодательством и законодательством о социальном обеспечении (стандартные налоговые вычеты, пособия, отпуска по уходу и т. п.).
Правовые основания: ТК РФ, НК РФ, законодательство о социальном страховании (п. 2 ч. 1 ст. 6 152-ФЗ); сведения предоставляются самим работником.
Состав ПДн: ФИО члена семьи, степень родства, дата рождения; иные сведения в объёме, необходимом для предоставления конкретной гарантии (данные свидетельства о рождении ребёнка и т. п.).
Сроки: те же, что для кадровых документов работника, к которым относятся сведения (п. 4.1).
4.4. Представители (работники) контрагентов и клиентов — юридических лиц, физические лица — контрагенты
Цели: заключение, исполнение и прекращение гражданско-правовых договоров, в том числе лицензионных договоров и договоров-поручений с фитнес-клубами, использующими Программу; ведение деловой переписки; выставление счетов и учёт расчётов; техническая поддержка пользователей; исполнение требований налогового законодательства и законодательства о бухгалтерском учёте.
Правовые основания: договор (п. 5 ч. 1 ст. 6 152-ФЗ); законный интерес Общества и контрагента в поддержании делового взаимодействия (п. 7 ч. 1 ст. 6 152-ФЗ); обязанности, возложенные законодательством (п. 2 ч. 1 ст. 6 152-ФЗ).
Состав ПДн: ФИО; должность; рабочие контактные данные (телефон, адрес электронной почты); для физических лиц — контрагентов — также реквизиты, необходимые для заключения договора и расчётов (паспортные данные, ИНН, банковские реквизиты); учётные данные владельцев и сотрудников клубов в Программе и вендорской панели (логин, служебная роль, журнал действий) — в части, необходимой Обществу для предоставления доступа, поддержки и обеспечения безопасности сервиса.
Сроки: в течение срока действия договора и после его прекращения — в течение сроков исковой давности и сроков хранения, установленных налоговым и бухгалтерским законодательством (не менее 5 лет).
4.5. Посетители сайта и лица, направившие заявку на демо-доступ
Цели: предоставление демо-доступа к Программе (отправка кода подтверждения, создание учётной записи, отправка данных для входа); связь по вопросам использования Программы и условий лицензии; улучшение сайта на основе обезличенной статистики посещений.
Правовые основания: согласие субъекта, выражаемое проставлением отметки (чекбокса) и отправкой формы на сайте.
Состав ПДн: адрес электронной почты; название клуба; иные сведения, добровольно указанные в заявке или переписке. Технические данные посещений (сведения о страницах, источнике перехода, типе устройства, файлы cookie) собираются сервисом веб-аналитики в обезличенном виде (раздел 12).
Сроки: в течение периода демо-доступа и действия лицензионного договора; при незаключении договора — не более 3 лет с момента последнего взаимодействия, если согласие не отозвано раньше.

5. Порядок и условия обработки
5.1. Обработка ПДн осуществляется с использованием средств автоматизации (в ИСПДн Общества) и без использования таких средств (на бумажных носителях — кадровые и бухгалтерские документы).
5.2. С персональными данными совершаются действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.
5.3. ПДн получаются непосредственно от субъектов. Если ПДн возможно получить только у третьей стороны, субъект уведомляется об этом заранее и у него запрашивается письменное согласие (для работников — в порядке ст. 86 ТК РФ).
5.4. К обработке ПДн допускаются только работники Общества, которым это необходимо для выполнения должностных обязанностей. Перечень таких лиц утверждается приказом; допущенные лица подписывают обязательство о неразглашении и получают доступ только к тем ПДн, которые необходимы для их функций.
5.5. Локализация. Запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ). Серверная инфраструктура Общества размещается в дата-центрах на территории Российской Федерации.
5.6. Трансграничная передача ПДн не осуществляется.
5.7. Передача третьим лицам. ПДн не передаются третьим лицам, за исключением случаев:
- передача обязательна в силу закона (налоговые органы, Социальный фонд России, органы статистики, военные комиссариаты, правоохранительные и иные уполномоченные органы — в пределах их компетенции);
- передача необходима для исполнения договора с субъектом либо осуществляется с его согласия (например, передача данных работника в банк для зарплатного проекта);
- обработка поручена третьему лицу по договору в соответствии с ч. 3 ст. 6 152-ФЗ; в этом случае договор содержит перечень действий с ПДн, цели обработки, обязанности по соблюдению конфиденциальности и обеспечению безопасности ПДн, требования к их защите по ст. 19 152-ФЗ. Ответственность перед субъектом за действия такого лица несёт Общество.
5.8. Сведения о субъекте не сообщаются по телефону и иным каналам связи, не позволяющим достоверно установить личность запрашивающего.

6. Обработка персональных данных по поручению операторов (Программа «Куб»)
6.1. Общество предоставляет фитнес-клубам и иным лицам (физическим лицам, юридическим лицам и индивидуальным предпринимателям) право использования Программы по лицензионному договору. Клуб самостоятельно определяет цели и состав обрабатываемых в Программе персональных данных своих клиентов и работников и является их оператором. Общество в отношении этих данных выступает лицом, осуществляющим обработку по поручению оператора (ч. 3 ст. 6 152-ФЗ), на основании договора-поручения, заключаемого с каждым клубом (акцепт публичной оферты).
6.2. По поручению операторов Общество совершает с персональными данными следующие действия: запись, систематизация, накопление, хранение (на серверах Общества), уточнение (обновление, изменение), извлечение, использование в рамках функций Программы, предоставление (доступ уполномоченным лицам оператора и — по решению оператора — самим субъектам через мобильное приложение), блокирование, удаление, уничтожение. Цели обработки определяются оператором (учёт клиентов и абонементов, расписание и запись на занятия, взаиморасчёты, кадровый и управленческий учёт клуба).
6.3. Категории субъектов и примерный состав ПДн, обрабатываемых по поручению: клиенты клубов и их представители, работники клубов — ФИО, пол, дата рождения, фотография, номера телефонов, адрес электронной почты, сведения об абонементах, посещениях, записях на занятия и оплатах, служебные учётные данные. Точный состав определяет оператор; специальные категории ПДн и биометрические ПДн в Программе не обрабатываются.
6.4. При обработке по поручению Общество:
- обрабатывает ПДн исключительно в целях, определённых оператором, и в объёме, необходимом для работы Программы; не определяет собственных целей обработки этих данных и не использует их в иных целях;
- соблюдает принципы и правила обработки ПДн, предусмотренные 152-ФЗ, конфиденциальность ПДн и требования к их защите по ст. 19 152-ФЗ; принимает меры, предусмотренные разделом 10 Политики;
- хранит ПДн на серверах, находящихся на территории Российской Федерации;
- не передаёт ПДн третьим лицам без поручения оператора, за исключением случаев, предусмотренных законодательством;
- не обязано получать согласие субъекта на обработку — ответственность перед субъектом несёт оператор (клуб); наличие правовых оснований обработки, включая согласия субъектов, обеспечивает оператор;
- при выявлении инцидента (неправомерной или случайной передачи, предоставления, распространения, доступа) уведомляет оператора в течение 24 часов (ст. 21 152-ФЗ);
- по запросу оператора предоставляет документы и информацию, подтверждающие принятие мер по ст. 19 152-ФЗ;
- по прекращении договора с оператором прекращает обработку и уничтожает персональные данные (либо передаёт их оператору) в срок, установленный договором-поручением.
6.5. Субъектам, чьи данные обрабатываются в Программе по поручению (клиентам клубов), по вопросам обработки их ПДн следует обращаться к соответствующему оператору — клубу.

7. Сроки обработки. Уничтожение персональных данных
7.1. Сроки обработки и хранения определяются в соответствии с целями обработки (раздел 4), требованиями федеральных законов, законодательства об архивном деле, условиями договоров и согласий субъектов. Обработка по поручению осуществляется в течение срока действия соответствующего договора-поручения (п. 6.4).
7.2. Обработка прекращается: по достижении целей обработки или утрате необходимости в их достижении; по истечении срока действия или при отзыве согласия субъекта (если нет иного правового основания продолжать обработку); при выявлении неправомерной обработки, если обеспечить правомерность невозможно; при прекращении деятельности Общества.
7.3. По наступлении оснований п. 7.2 персональные данные уничтожаются (или обезличиваются, если это предусмотрено законом) в срок, не превышающий 30 дней, если иной срок не установлен законом или договором. Документы с истекающими сроками архивного хранения уничтожаются в установленном порядке после истечения этих сроков.
7.4. Уничтожение ПДн подтверждается в соответствии с требованиями приказа Роскомнадзора от 28.10.2022 № 179: актом об уничтожении и (или) выгрузкой из журнала регистрации событий в ИСПДн. Документы, подтверждающие уничтожение, хранятся в течение 3 лет.

8. Права субъектов персональных данных
8.1. Субъект персональных данных вправе:
- получать сведения об обработке своих ПДн, предусмотренные ч. 7 ст. 14 152-ФЗ (подтверждение факта обработки, правовые основания и цели, состав обрабатываемых ПДн и источник их получения, сроки обработки и хранения, сведения о лицах, которым ПДн могут быть раскрыты, наименование и адрес лица, обрабатывающего ПДн по поручению, и др.), а также знакомиться со своими ПДн;
- требовать уточнения своих ПДн, их блокирования или уничтожения, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать согласие на обработку ПДн; отзыв не имеет обратной силы, и Общество вправе продолжить обработку без согласия при наличии оснований, указанных в п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 152-ФЗ;
- дополнять ПДн оценочного характера заявлением, выражающим его собственную точку зрения;
- обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд;
- на возмещение убытков и компенсацию морального вреда в судебном порядке.
8.2. Работники Общества дополнительно пользуются правами, предусмотренными ст. 89 ТК РФ, включая право на свободный бесплатный доступ к своим ПДн и получение копий любой записи, содержащей их ПДн.

9. Порядок обращений субъектов
9.1. Запросы и обращения направляются Обществу по почтовому адресу (п. 1.3) или на адрес электронной почты info@bee-soft.ru. Запрос должен содержать сведения, предусмотренные ч. 3 ст. 14 152-ФЗ: номер основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи и выдавшем органе, сведения, подтверждающие участие субъекта в отношениях с Обществом либо иное подтверждение факта обработки, подпись субъекта или представителя. Запрос в электронной форме признаётся при его подписании электронной подписью в соответствии с законодательством.
9.2. Общество предоставляет сведения (либо мотивированный отказ) в течение 10 рабочих дней с момента обращения или получения запроса. Срок может быть продлён не более чем на 5 рабочих дней с направлением субъекту мотивированного уведомления (ст. 20 152-ФЗ).
9.3. Неполные, неточные или незаконно полученные ПДн блокируются с момента обращения на период проверки; неправомерность обработки или неточность данных устраняются в сроки, установленные ст. 21 152-ФЗ (уточнение — 7 рабочих дней, прекращение неправомерной обработки — 3 рабочих дня либо уничтожение — 10 рабочих дней).
9.4. По обращениям субъектов, чьи данные обрабатываются по поручению операторов, применяется п. 6.5 Политики.

10. Меры по обеспечению безопасности персональных данных
10.1. Общество принимает правовые, организационные и технические меры, предусмотренные ст. 18.1 и 19 152-ФЗ, необходимые и достаточные для выполнения обязанностей оператора и лица, обрабатывающего ПДн по поручению, в том числе:
- назначение ответственного за организацию обработки персональных данных;
- издание настоящей Политики и локальных актов по вопросам обработки и защиты ПДн, их доведение до работников;
- определение перечня лиц, допущенных к обработке ПДн, и подписание ими обязательств о неразглашении;
- ознакомление работников с требованиями законодательства и локальных актов о ПДн, обучение;
- определение угроз безопасности ПДн при их обработке в ИСПДн и определение требуемого уровня защищённости;
- применение организационных и технических мер защиты: разграничение прав доступа и парольная (ключевая) аутентификация, регистрация и учёт действий с ПДн в ИСПДн, защита каналов передачи данных (шифрование при передаче по сетям общего пользования), резервное копирование и восстановление ПДн, антивирусная защита, межсетевое экранирование, учёт машинных носителей;
- обнаружение фактов несанкционированного доступа и принятие мер реагирования, включая восстановление ПДн, изменённых или уничтоженных вследствие несанкционированного доступа;
- оценка эффективности принимаемых мер до ввода ИСПДн в эксплуатацию, внутренний контроль соответствия обработки требованиям законодательства;
- хранение бумажных носителей ПДн в местах, недоступных посторонним лицам, раздельно от иных документов;
- оценка вреда, который может быть причинён субъектам в случае нарушения 152-ФЗ, и соотнесение его с принимаемыми мерами.

11. Действия при инцидентах
11.1. При установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов, Общество как оператор уведомляет Роскомнадзор: в течение 24 часов — о произошедшем инциденте, его предполагаемых причинах и вреде, принятых мерах, с указанием ответственного лица; в течение 72 часов — о результатах внутреннего расследования и лицах, действия которых стали причиной инцидента (ч. 3.1 ст. 21 152-ФЗ).
11.2. Если инцидент затрагивает персональные данные, обрабатываемые по поручению оператора, Общество уведомляет соответствующего оператора в течение 24 часов; уведомление Роскомнадзора в этом случае осуществляет оператор.
11.3. Общество взаимодействует с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) в порядке, установленном законодательством.

12. Файлы cookie и веб-аналитика
12.1. Сайты Общества использует файлы cookie и сервис веб-аналитики Яндекс Метрика (ООО «Яндекс») для сбора обезличенной статистики посещений (страницы, источник перехода, тип устройства). Эти данные не используются для установления личности посетителя.
12.2. Посетитель может отключить cookie в настройках браузера; это не ограничивает доступ к сайтам, но отдельные функции (например, форма демо-доступа, аналитика) могут работать некорректно.

13. Заключительные положения
13.1. Вопросы обработки ПДн, не урегулированные Политикой, разрешаются в соответствии с законодательством Российской Федерации.
13.2. Политика пересматривается по мере изменения законодательства и процессов обработки ПДн в Обществе, но не реже чем при каждом существенном изменении состава обрабатываемых данных, целей или способов обработки.
13.3. Действующая редакция Политики размещается на сайте Общества (п. 1.4); дата вступления в силу указывается при публикации.