УТВЕРЖДЕНО
Приказом № 3 от 01 октября 2018
Генерального директора
ООО «Путешествуй Разумно»
Козловского Е.С.
Положение по обработке персональных данных в информационных системах ООО «Путешествуй Разумно»
Статья 1. Общие положения
1. Настоящим Положением определяется порядок сбора, хранения, передачи и любого другого использования персональных данных в информационных системах Общества с ограниченной ответственностью «Путешествуй Разумно» (далее по тексту – Оператор).
2. Клиентами Оператора являются:
• физические лица (субъекты персональных данных), заключившие с Оператором письменный договор об оказании услуг, связанных с организацией путешествия (далее по тексту Клиент);
• физические лица (субъекты персональных данных), от имени которых заказчик услуг заключил с Оператором письменный договор об оказании услуг, связанных с организацией путешествия;
• физические лица (субъекты персональных данных), состоящие с Оператором в отношениях, регулируемых трудовым законодательством РФ (далее – Работник).
3. Цель данного Положения – определение порядка обработки персональных данных Работников Оператора и Клиентов Оператора, персональные данные которых подлежат обработке; обеспечение защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
4. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и наказывается в соответствии с федеральным законодательством.
5. Настоящее Положение и изменения к нему утверждаются Генеральным директором ООО «Путешествуй Разумно» и вводятся приказом по основной деятельности ООО «Путешествуй Разумно». Все Работники Оператора должны быть ознакомлены под роспись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми Работниками Оператора, имеющими доступ к персональным данным.
Статья 2. Понятие и состав персональных данных Оператора
1. ООО «Путешествуй Разумно» обрабатывает персональные данные Работников и Клиентов Оператора (субъектов персональных данных).
2. Под персональными данными Клиентов понимается информация, необходимая Оператору в связи с исполнением им договорных обязательств.
Состав персональных данных Клиента:
• фамилия, имя, отчество;
• год, месяц, день, место рождения;
• пол;
• адрес регистрации;
• номер паспорта, удостоверяющего личность гражданина Российской Федерации, сведения о дате выдачи и выдавшем паспорт органе;
• номер заграничного паспорта и срок его действия;
• фамилия и имя, как они указаны в заграничном паспорте;
• контактный телефон и адрес электронной почты;
• семейное и социальное положение;
• прочая информация в целях исполнения договора.
3. При необходимости получения в интересах Клиента визы в посольстве страны планируемого пребывания, состав персональных данных, указанный в п.2. настоящей статьи, может быть дополнен сведениями, которые запрашиваются консульскими службами посольства страны планируемого посещения для рассмотрения вопроса о выдаче визы.
4. Состав персональных данных Работников Оператора:
• паспорт или иной документ, удостоверяющий личность;
• трудовая книжка;
• страховое свидетельство государственного пенсионного страхования;
• расчетный счет;
• свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;
• документы воинского учёта;
• документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
• документы, содержащие сведения о заработной плате, доплатах и надбавках;
• приказы о приеме Работника на работу, его увольнении, а также о переводе Работника на другую должность;
• документы о составе семьи Работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;
• документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством РФ;
5. Документы, содержащие персональные данные Работника, создаются путём:
• копирования подлинников (например, копии документов об образовании, свидетельство ИНН);
• заполнения анкетных данных (на бумажных и электронных носителях);
• предоставления подлинников документов (трудовые книжки, личные листки
по учёту кадров, автобиографии Работников).
Статья 3. Конфиденциальность персональных данных
1. Сведения, перечисленные в статье 2. Положения, содержащие сведения о персональных данных Субъекта, являются конфиденциальными. Оператор обеспечивает конфиденциальность персональных данных и обязан не допускать их распространения без согласия Субъекта персональных данных либо наличия иного законного основания.
2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, либо при наличии письменного согласия Субъекта на то, что его персональные данные являются общедоступными персональными данными.
Статья 4. Права и обязанности Субъекта персональных данных
1. Субъект обязан передавать Оператору или его представителю достоверные персональные данные.
2. Субъект должен сообщать Оператору об изменении своих персональных данных.
3. Субъект имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к Субъекту, а также на ознакомление с такими персональными данными. Субъект вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.1. Сведения о наличии персональных данных должны быть предоставлены Субъекту в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных.
3.2. Доступ к своим персональным данным предоставляется Субъекту или его законному представителю Оператором при обращении либо при получении запроса Субъекта или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись Субъекта персональных данных или его представителя.
4. Субъект имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением Работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
8) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
9) иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
5. Субъект имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.
6. Субъект вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7. Субъект имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
Статья 5. Права и обязанности Оператора персональных данных
1. Оператор обязан:
• при сборе персональных данных предоставить информацию об обработке персональных данных;
• в случаях если персональные данные были получены не от Субъекта персональных данных, уведомить об этом Субъекта;
• при отказе в предоставлении персональных данных Субъекту разъясняются последствия такого отказа;
• опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
• давать ответы на запросы и обращения Субъектов персональных данных, их представителей и уполномоченного органа по защите прав Субъектов персональных данных.
2. Оператор имеет право:
• поручить обработку персональных данных Субъекта другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;
• предоставлять персональные данные Субъекта государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством РФ;
• обрабатывать персональные данные Субъекта без его согласия в случаях, предусмотренных законодательством РФ.
Статья 6. Условия обработки и передачи персональных данных
1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.
2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:
• Конституция Российской Федерации;
• Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
• Федеральный закон Российской Федерации от 22 октября 2004 г. №125- ФЗ «Об архивном деле в Российской Федерации»;
• Указ президента от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Кодекс Российской Федерации об Административных Правонарушениях;
• Уголовный кодекс РФ.
4. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки.Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:
• заключение трудовых отношений с физическими лицами;
• выполнение договорных обязательств Оператора;
5. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:
• назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
• ограничение состава лиц, имеющих доступ к персональным данным;
• ознакомление Субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
• организация учета, хранения и обращения носителей информации;
• разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
• регистрация и учет действий пользователей информационных систем персональных данных;
• использование антивирусных средств и средств восстановления системы защиты персональных данных;
• организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.
6. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения.
7. Передача персональных данных Субъекта осуществляется Оператором исключительно для выполнения договорных обязательств, связанных с организацией путешествия Клиента.
8. Передача персональных данных Субъекта третьим лицам осуществляется Оператором только на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Субъекта и безопасности персональных данных при их обработке.
Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.
9. Передача персональных данных третьим лицам осуществляется с использованием сети общего пользования Интернет и на бумажных носителях.
10. Оператор осуществляет трансграничную передачу персональных данных Субъекта, в том числе на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, только в исполнение договорных обязательств по организации путешествия, либо при наличии соответствующего письменного согласия Субъекта.
Статья 7. Ответственность за разглашение информации, содержащей персональные данные Субъекта
1. Оператор несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.
2. Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.