Главная » О компании » Политика конфиденциальности
Политика обработки персональных данных
УТВЕРЖДАЮ
Генеральный директор ООО «ОДИТУР»
__________________ А.С. Чирва
«_____»_______________2021 г.
ПОЛИТИКА обработки персональных данных в ООО «ОДИТУР»
Оглавление
Термины и определения. 4
- Общие положения. 6
- Правовые основания обработки персональных данных. 7
- Категории субъектов персональных данных, цели обработки персональных данных 8
- Основные принципы обработки, передачи и хранения персональных данных 9
- Передача персональных данных третьим лицам. 10
- Меры по обеспечению безопасности персональных данных при их обработке. 11
- Права субъектов персональных данных. 12
- Конфиденциальность персональных данных. 14
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
оператор – Министерство, государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или)осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
турагент – юридическое лицо или индивидуальный предприниматель, осуществляющие деятельность по продвижению и реализации туристского продукта.
туристский продукт – комплекс услуг по перевозке и размещению, оказываемых за общую цену (независимо от включения в общую цену стоимости экскурсионного обслуживания и (или) других услуг) по договору о реализации туристского продукта;
туроператор – юридическое лицо, состоящее в Едином федеральном реестре туроператоров, с которым ООО «ОДИТУР» заключило письменный договор о реализации туристского продукта, и которое формирует и предоставляет ООО «ОДИТУР» туристский продукт, в интересах исполнения ООО «ОДИТУР» обязательств по договору с Клиентом;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.ОБЩИЕ ПОЛОЖЕНИЯ
- Настоящая Политика обработки персональных данных в ООО «ОДИТУР» является официальным документом, в котором регулируются вопросы обработки и обеспечения безопасности персональных данных.
- Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных и нормативными документами исполнительных органов государственной власти по вопросам безопасности персональных данных, в том числе при их обработке в информационных системах персональных данных.
- В целях выполнения норм федерального законодательства в области обработки персональных данных субъектов персональных данных ООО «ОДИТУР», (далее – Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
- Действие Политики распространяется на все процессы Оператора, связанные с обработкой персональных данных.
- Настоящая политика в отношении обработки и защиты персональных данных в
ООО «ОДИТУР» (далее – Политика) характеризуется следующими признаками:
- Разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных субъектов персональных данных.
- Определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и категории персональных данных, обрабатываемых Оператором, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.
- Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.
- Политика обязательна для ознакомления и исполнения сотрудниками, которые принимают участие в обработке персональных данных.
- Пересмотр и обновление настоящей Политики осуществляется на плановой и внеплановой основе в соответствии с установленным порядком:
- плановый пересмотр Политики осуществляется не реже одного раза в год;
- внеплановой пересмотр Политики может производиться в связи с изменением законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий.
2.Правовые основания обработки персональных данных
- Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
- Конституцией Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Требованиями к защите персональных данных при их обработке в информационных системах персональных данных (утверждены постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119);
- Приказом ФСТЭК России №21 от 18 февраля 2013 г., «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (Утверждён приказом ФСБ РФ от 10 июля 2014 г. № 378);
- Локальными нормативными и правовыми актами Оператора.
3.Категории субъектов персональных данных, цели обработки персональных данных
- Оператором осуществляется обработка полученных в установленном законом порядке персональных данных, принадлежащих:
- сотрудникам ООО «ОДИТУР» (и их родственники);
- клиентам, для которых ООО «ОДИТУР» осуществляет бронирование и реализацию туристского продукта, сформированного туроператором. Клиентами могут быть:
- физические лица, заключившие с ООО «ОДИТУР» договор на реализацию туристского продукта, формируемого туроператором;
- физические лица, от имени которых заказчик (который приобретал туристский продукт, в том числе для лиц, интересы которых он представляет, при условии, что заказчик предоставил оператору основания правомерности его действий в чужом интересе) туристского продукта заключил с ООО «ОДИТУР» договор на реализацию туристского продукта, который формируется туроператором.
- физические лица, заключившие с ООО «ОДИТУР» гражданско-правовые договоры на оказание услуг ООО «ОДИТУР».
- Обработка персональных данных осуществляется в целях:
- выполнения трудовых договоров, осуществления функций, полномочий и обязанностей, возложенных законодательством РФ на Оператора, ведение кадрового и бухгалтерского учёта;
- оказания услуг по предоставлению туристского продукта, помощи в бронировании железнодорожных и авиабилетов, помощи в оформлении визы для въезда в страну планируемого посещения, оформления медицинской страховки для туристов;
- выполнения обязательств по договорам гражданско-правового характера.
4.Основные принципы обработки, передачи и хранения персональных данных
- Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона 152-ФЗ «О персональных данных».
- Добросовестность Оператора достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных.
- Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
- Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
- Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
- Оператор производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных.
- По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных без его согласия могут быть переданы:
- в судебные органы в связи с осуществлением правосудия;
- в органы федеральной службы безопасности;
- в органы прокуратуры;
- в органы полиции;
- в иные органы и организации в случаях, установленных нормативными правовыми
актами, обязательными для исполнения.
- В целях информационного обеспечения у Оператора могут создаваться общедоступные источники персональных данных, в том числе сведения о сотрудниках на сайте Оператора. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.
- Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда.
- Оператор не размещает персональные данные в общедоступных источниках, принадлежащих ему, без предварительного согласия субъекта персональных данных.
- Безопасность персональных данных у Оператора обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.
5.Передача персональных данных третьим лицам
- В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
- Государственные органы власти (ПФР, ФНС, ФСС и др.);
- Банк (в рамках зарплатного проекта);
- Иные третьи лица (туроператоры, авиакомпании, железнодорожные перевозчики, страховые компании и.т.д.). Передача иным третьим лицам осуществляется только в рамках письменного договора между клиентом и ООО «ОДИТУР» на оказание услуг клиенту по подбору, бронированию и предоставлению ему туристского продукта. Передача персональных данных клиента третьим лицам осуществляется ООО «ОДИТУР» только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных клиента и безопасности персональных данных при их обработке.
ООО «ОДИТУР» в договоре с клиентом обуславливает право третьих лиц, которым ООО «ОДИТУР» передает персональные данные клиента, осуществлять трансграничную передачу персональных данных клиента на территории иностранных государств, которые он планирует посетить, в том числе и на территории государств, не обеспечивающих адекватную защиту персональных данных.
- Оператор поручает обработку персональных данных другим лицам только с согласия субъекта персональных данных.
6.Меры по обеспечению безопасности персональных данных при их обработке.
- Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
- Назначением ответственных за организацию обработки персональных данных.
- Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
- Изданием локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- Ознакомлением сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и обучением указанных сотрудников.
- Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
- Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
- Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
- Учетом машинных носителей персональных данных.
- Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
- Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
- Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
- Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
- Обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются в должностных регламентах вышеуказанных лиц.
7.Права субъектов персональных данных
- Субъект персональных данных имеет право на получение следующих сведений об обработке его персональных данных Оператором:
- Подтверждение факта обработки персональных данных;
- Наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании ФЗ-152;
- Перечень обрабатываемых персональных данных субъекта и источник их получения, если иной порядок представления персональных данных не предусмотрен законодательством Российской Федерации;
- Правовые основания и цели обработки персональных данных;
- Сроки обработки персональных данных, в том числе, сроки их хранения;
- Иной информации в соответствии с Федеральным законом «О персональных данных».
- Субъект персональных данных вправе требовать от Оператора уточнения персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Субъект персональных данных имеет право на отзыв согласия на обработку персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2- 11 части 1 ст. 6 ФЗ-152.
- Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:
- Если обработка персональных данных, включая те, что получены в результате оперативно-розыскной, разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка.
- При условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными.
- Если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
- Когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
- Если обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
- Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
- Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
- Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
- Конфиденциальность персональных данных
- Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений и в связи с оказанием услуг клиентам, является конфиденциальной информацией и охраняется законодательством.
- Оператор обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия субъектов персональных данных, либо наличия иного законного основания.
- Сотрудники и иные лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных.
- Если ООО «ОДИТУР», с согласия клиента, поручает обработку персональных данных клиента третьему лицу (туроператору, авиакомпании и т.д.), то ООО «ОДИТУР» обязано сделать все возможное в силу действующего законодательства, чтобы обременить это третье лицо договорной обязанностью соблюдения конфиденциальности персональных данных клиента.
- Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные носители информации.