Политика конфиденциальности

ПОЛОЖЕНИЕ

О ПОРЯДКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ИНТУР»

1. Общие положения

1.1. Настоящее Положение «О порядке обработки персональных данных клиентов Общества с ограниченной ответственностью «Интур» (далее – Положение) разработано на основании Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и других нормативно-правовых актов Российской Федерации.

1.2. В целях обеспечения защиты персональных данных клиентов, для которых Общество с ограниченной ответственностью «Интур» (далее Обществ) осуществляет бронирование и реализацию туристского продукта, настоящее Положение определяет политику в отношении обработки персональных данных клиентов, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений в деятельности Общества с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.

1.3. Целью настоящего Положения является защита персональных данных клиентов Общества от несанкционированного доступа и распространения, неправомерного их использования или утраты.

1.4. В настоящем Положении используются следующие основные понятия:

1.4.1. Клиенты Общества:

-физические лица (субъекты персональных данных), заключившие с Обществом письменный договор на реализацию туристского продукта, который формируется Туроператором;

-физические лица (субъекты персональных данных), от имени которых заказчик туристского продукта заключил с Обществом письменный договор на реализацию туристкого продукта, который формируется Туроператором;

1.4.2. Туроператор – туристская организация, состоящая в Едином федеральном реестре туроператоров, с которой Общество заключило письменный договор о реализации туристского продукта и которая формирует и предоставляет Обществу туристский продукт, в интересах исполнения Обществом обязательств по договору с клиентом.

1.4.3. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.4.4. Оператор - юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

1.4.5. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

1.4.6. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

1.4.7. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

1.4.8. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

1.4.9. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

1.4.10. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

1.4.11. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному

субъекту персональных данных;

1.4.12. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

1.4.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

1.5. Субъекты персональных данных в Обществе- клиенты –носители персональных данных, передавшие свои персональные данные в ООО «Интур» для их последующей обработки в целях заключения и исполнения договора о реализации туристского продукта.

1.6. Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также правовыми актами Общества.

1.7. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Положением. Обработка персональных данных допускается в следующих случаях:

- обработка персональных данных осуществляется с согласия субъекта персональных данных (клиента Общества) на обработку его персональных данных;

- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных (клиента Общества), если получение согласия субъекта персональных (клиента Общества) данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, связанных с продвижением услуг на рынке, при условии обязательного обезличивания персональных данных;

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных (клиента Общества) либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных).

1.8. Работники Общества, в обязанности которых входит обработка персональных данных субъектов персональных данных (клиентов Общества), обязаны обеспечить каждому клиенту возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законодательством Российской Федерации.

1.10. Настоящее Положение и изменения к нему утверждаются Генеральным директором Общества; являются обязательными для исполнения всеми работниками, имеющими доступ к персональным данным субъектов персональных данных Общества (клиентов Общества). Все работники должны быть ознакомлены под подпись с данным Положением и изменениями к нему.

2. Принципы обработки персональных данных

2.1. Принципы обработки персональных данных в Обществе:

2.1.1. Обработка персональных данных клиентов Общества должна осуществляться на законной и справедливой основе;

2.1.3. Не допускается объединение баз данных, содержащих персональные данные клиентов Общества, обработка которых осуществляется в целях, несовместимых между собой;

2.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки;

2.1.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, при этом обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

2.1.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных, при этом оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

2.1.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, является субъект персональных данных, при этом обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Понятие и состав персональных данных

3.1. Под персональными данными Клиентов Общества понимается информация, необходимая Обществу в связи с гражданско-правовыми правоотношениями и касающаяся исполнения договорных обязательств Общества и конкретного клиента Общества.

3.1.1. К персональным данным Клиента относятся следующие сведения:

- фамилия, имя, отчество;

- год, месяц, день рождения;

- пол;

- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство;

- адрес регистрации и дата регистрации по месту жительства или по месту пребывания;

- номер заграничного паспорта и срок его действия;

-фамилия и имя, как они указаны в загранпаспорте.

3.1.2. При необходимости получения в интересах Клиента визы в посольстве страны планируемого пребывания, состав персональных данных, указанных в п. 3.1.1. может быть дополнен сведениями, которые запрашиваются консульскими службами посольства страны планируемого помещения для рассмотрения вопроса о выдаче визы.

3.2. Сведения, перечисленные в п. 3.1. настоящего Положения, содержащие сведения о персональных данных Клиентов, являются конфиденциальными. Общество обеспечивает конфиденциальность персональных данных Клиентов, и обязан не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.

Все меры конфиденциальности при обработке персональных данных Клиентов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

Режим конфиденциальности персональных данных снимается в случае обезличивания или включения их в общедоступные источники персональных данных, либо при наличии письменного согласия клиента на то, что его персональные данные являются общедоступными персональными данными.

4. Цели обработки персональных данных Клиентов

4.1. Целью обработки указанных в разделе 3 настоящего Положения персональных данных Клиентов является:

- исполнения договора о реализации туристского продукта, или иного гражданско-правового договора, стороной которого либо выгодоприобретателем по которому является клиент, а также для заключения договора по инициативе клиента или договора, по которому клиент будет являться выгодоприобретателем.

5. Обработка персональных данных Клиентов

5.1. Общество получает сведения о персональных данных клиентов из следующих документов:

- паспорт или иной документ, удостоверяющий личность;

- заявка на бронирование тура;

- письменные договоры на реализацию туристского продукта;

- приложения к письменным договорам на реализацию туристского продукта;

- письменные претензии по качеству предоставленных туристских услуг;

- письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по спорам в рамках гражданского судопроизводства.

- иные документы и сведения, предоставляемые клиентом.

5.2. Персональные данные могут храниться как на бумажных носителях, так и в электронном виде.

5.3. Персональные данные на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных закрываемых шкафах, исключающих возможность несанкционированного доступа к ним третьих лиц.

Персональные данные субъектов персональных данных также хранятся в электронном виде: в локальной компьютерной сети, в электронных папках и файлах в персональных компьютерах Генерального директора, бухгалтера и менеджеров, допущенных к обработке персональных данных.

5.4. Общество имеет право проверять достоверность представленных сведений о персональных данных в порядке, не противоречащем законодательству Российской Федерации.

5.5. Клиент обязан предоставлять Обществу комплекс достоверных персональных данных, необходимых для исполнения договора о реализации туристского продукта а также для иных гражданско- правовых договоров. Клиент обязан незамедлительно сообщать Обществу о любых изменениях своих персональных, которые необходимы в рамках исполнения договоров между Обществом и Клиентом.

5.5. Обработка персональных данных Клиента может осуществляться исключительно в целях, определенных действующим законодательством и настоящим Положением.

Персональные данные не могут быть использованы в целях:

- причинения имущественного и морального вреда гражданам;

- затруднения реализации прав и свобод граждан.

Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и наказывается в соответствии с законодательством.

5.6. При определении объема и содержания обрабатываемых персональных данных Общество руководствуется Конституцией Российской Федерации, Федеральным законом № 152-ФЗ «О персональных данных» законодательством в сфере туризма и иными федеральными законами и подзаконными актами.

5.7. Сотрудники, ответственные за обработку персональных данных Клиента, в целях исполнения гражданско-правового договора, одной из сторон которого является Клиент, все его персональные данные получают непосредственно у указанного клиента или третьих лиц, действующих в порядке, определенном законом или договором.

5.7.1. Если персональные данные клиента Общество получают непосредственно у клиента, то сотрудники, ответственные за обеспечение деятельности, связанной с исполнением гражданско-правовых договоров проверяют полноту и правильность указанных сведений.

5.7.2. В случае, если гражданско-правовой договор заключается не клиентом, а лицом, на законных основаниях представляющим интересы клиента, то Общество до начала обработки персональных данных такого клиента должен получить согласие клиента на обработку его персональных данных в письменном заявлении.

Согласие на обработку своих персональных данных клиент может отозвать заявлением в простой письменной форме в любое время по своему усмотрению.

5.8. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

В случае если Общество поручает обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение Общества), то в поручении Общества должны быть определены перечень действий (операций) с персональным данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с ФЗ «О защите персональных данных».

При этом ответственность перед субъектом персональных данных за действия указанного лица несёт Общество.

5.9. Обработка Обществом специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением следующих случаев:

- Клиент дал согласие в письменной форме на обработку своих персональных данных;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Клиента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия Клиента невозможно;

- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

5.10. Обработка Обществом специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных в п. 5.9. настоящего Положения, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

5.11. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Обществом для установления личности Клиента, могут обрабатываться только при наличии согласия Клиента в письменной форме, за исключением случаев, предусмотренных законодательством.

5.12. Клиент имеет право на получение сведений об Обществе и при заключении договора о реализации туристского продукта о Туроператоре, сформировавшем данный туристский продукт, о наличии у Общества и Туроператора персональных данных Клиента, а также на ознакомление с такими персональными данными.

5.12. Круг лиц, допущенных к работе с документами, содержащими персональные данные Клиентов, определяется приказами Генерального директора Общества.

5.13. Лица, ответственные за организацию обработки персональных данных назначаются приказами Генерального директора Общества.

Лицо, ответственное за организацию обработки персональных данных обязано:

1) осуществлять внутренний контроль за соблюдением Обществом и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных Клиентов;

2) доводить до сведения работников Общества положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов Клиентов или их представителей о сборе и обработке персональных данных Клиентов и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

5.14. Организация обеспечения техническими средствами обработки (ПЭВМ, серверами и т.д.) и их исправной работы организуется системным администратором.

Системный администратор осуществляет защиту информационных систем, в которых обрабатываются персональные данные от несанкционированного доступа (НСД) путем использования специальных технических средств, а также

- управление доступом (логин, пароль);

- регистрацию и учет пользователей;

- антивирусную защиту;

- обеспечение целостности;

- обнаружение вторжений.

5.15. Помещения, в которых хранятся персональные данные Клиентов, оборудуются надежными замками.

Помещения, в которых хранятся персональные данные Клиентов, в рабочее время при отсутствии в них работников должны быть закрыты.

Проведение уборки помещений, в которых хранятся персональные данные Клиентов, должно производиться в присутствии соответствующих работников.

5.16. При приеме Клиентов работники не должны выполнять функции, не связанные с приемом. На столе работника, ведущего прием, не должно быть никаких документов, содержащих персональные данные другого Клиента, кроме тех, которые касаются данного Клиента.

5.17. Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону. Ответы на письменные запросы других учреждений и организаций даются в письменной форме на бланке Общества и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.

5.18. Передача персональных данных Клиента осуществляется Обществом исключительно для достижения целей, определенных договорами между Клиентом и Обществом.

5.19 Передача персональных данных Клиента третьим лицам, в частности Туроператору осуществляется Обществом только на основании договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Клиента и безопасности данных при их обработке.

Данное правило не распространяется в случае обезличивания персональных данных Клиента и в отношении общедоступных персональных данных.

5.20. Передача персональных данных Клиента третьим лицам может осуществляться с использованием сети общего пользования Интернет и на бумажных носителях.

5.21. Общество осуществляет трансграничную передачу персональных данных Клиента, в том числе на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, только в исполнение договора, заключенного между Клиентом и Обществом, либо при наличии письменного согласия Клиента.

6. Сроки обработки персональных данных и порядок уничтожения

6.1. Сроки обработки указанных в разделе 3 настоящего Положения персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства.

6.2. Персональные данные Клиентов, содержащиеся на электронных носителях информации, уничтожаются в течение трех рабочих дней со дня окончания срока исковой давности по договору (по общему правилу - три года с момента, когда лицо узнало или должно было узнать о нарушении своего права).

6.3. Персональные данные Клиентов, содержащиеся на бумажных носителях, уничтожаются по акту в следующие сроки:

- хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока исковой давности по гражданско-правовому договору;

- хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства РФ.

6.4. Об уничтожении персональных данных оператор обязан уведомить субъект персональных данных, если иное не установлено законодательством РФ, либо гражданско-правовым договором.

7. Защита персональных данных

7.1. Комплекс мер по защите персональных данных Клиента направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе деятельности Общества.

7.2. Общество при обработке персональных данных Клиента обязан принимать необходимые правовые, организационные и технические меры, в том числе использовать доступные Обществу средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных Клиента, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, установленными Правительством Российской Федерации.

7.3. Мероприятия по защите персональных данных Клиентов подразумевают внутреннюю и внешнюю защиту.

7.3.1. «Внутренняя защита» включает следующие организационно- технические мероприятия:

-Регламентация доступа персонала к конфиденциальным сведениям Клиента, документам и базам данных входит в число основных направлений организационной защиты информации Общества.

Для защиты персональных данных в Обществе применяются следующие

принципы и правила:

- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;

- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;

- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;

- знание сотрудниками требований нормативно-методических документов по защите персональных данных;

- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- организация порядка уничтожения информации;

- своевременное выявление нарушений требований разрешительной системы доступа сотрудниками подразделения;

- разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

- защита паролями доступа персональных компьютеров, на которых содержатся персональные данные.

7.4.2. «Внешняя защита» включает следующие организационно- технические мероприятия:

Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.

Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Общества, посетители. Посторонние лица не должны знать технологию составления, оформления, ведения и хранения документов, использующих персональные данные.

Для защиты персональных данных Клиентов соблюдается ряд мер организационно- технического характера:

- технические средства охраны, сигнализации;

- требования к защите информации при собеседованиях.

7.5. Организация и внедрение комплекса мер по технической защите персональных данных Клиента возлагается на системного администратора.

Порядок конкретных мероприятий по защите персональных данных Клиента с использованием или без использования ЭВМ определяется правовыми актами Общества.

8. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными Клиента.

8.1. Персональная ответственность является одним из главных требований к организации функционирования системы защиты персональных данных Клиента и обязательным условием обеспечения эффективности функционирования данной системы.

8.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

8.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

8.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных субъекта Клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральным законодательством.

8.5. Каждый сотрудник Общества, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность полученной информации.

8.6. Должностные лица, в обязанность которых входит ведение персональных данных Клиентов, обязаны обеспечить каждому Клиенту, возможность ознакомления с документами и материалами, если иное не предусмотрено законом.

Неправомерный отказ в предоставлении собранных в установленном порядке персональных данных, либо несвоевременное их предоставление в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного наказания в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.

8.7. В соответствии с Гражданским кодексом РФ лица, незаконными методами получившие информацию, составляющую персональные данные, обязаны возместить причиненные убытки; такая же обязанность возлагается и на работников, не обладающих правом доступа к персональным данным.

8.8. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения влечет наложение наказания в порядке, предусмотренном Уголовным кодексом РФ.