Положение о защите персональных данных Пользователей системы

  1. Термины и определения.

    2. В настоящем Положении используются следующие основные понятия:

    Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

    Оператор – юридическое лицо (индивидуальный предприниматель), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

    Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

    Агент (Оператор персональных данных) – ООО «ФТА» (далее по тексту – «Общество»), осуществляющее деятельность по сбору, обработке и передаче персональных данных Пользователей системы по поручению Туроператора;

    Туроператор (Оператор персональных данных) - юридическое лицо, осуществляющее предпринимательскую деятельность в сфере туризма, а именно деятельность по формированию и реализации туристского продукта;

    Пользователь (субъект персональных данных) - лицо, имеющее личный кабинет на сайте Агента;

    Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

    Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

    Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

    Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

    Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

    Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

    Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

    Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

  2. Общие положения
    1. Настоящим Положением определяется порядок обработки персональных данных Пользователей (субъектов персональных данных), являющихся пользователями сайта агента и потенциальными заказчиками туристских продуктов туроператора.
    2. Обработка персональных данных пользователей (субъектов персональных данных) осуществляется исключительно в целях обеспечения нахождения Пользователями необходимых туристских продуктов, в рамках которых они могут осуществлять путешествие. Волеизъявление по передаче таких персональных данных является добровольным.
    3. В правоотношениях с пользователями операторами персональных данных выступают как агент, так и туроператоры.
    4. Цель данного Положения – определение порядка обработки и защиты персональных данных всех пользователей, являющихся посетителями сайта Общества, данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
    5. Персональные данные пользователей не могут быть использованы Агентом или его сотрудниками в целях причинения имущественного и морального вреда пользователям, затруднения реализации их прав и свобод.
    6. Обработка персональных данных пользователей должна ограничиваться достижением законных, конкретных и заранее определенных в согласии пользователя целей. Обработке подлежат только те персональные данные пользователей, и только в том объеме, которые отвечают целям их обработки, определенным в положении об обработке персональных данных Общества или в законодательстве Российской Федерации.
    7. Обрабатываемые персональные данные пользователей подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
    8. Настоящее Положение и изменения к нему утверждаются Генеральным директором Общества и вводятся приказом. Все сотрудники Общества должны быть ознакомлены под подпись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками Общества, имеющими доступ к персональным данным пользователей.
    9. Общество, с целью обеспечения неограниченного доступа к настоящему Положению, определяющему политику Общества в отношении обработки персональных данных пользователей и в сфере реализуемых мер по защите персональных данных, размещает текст настоящего Положения на официальном сайте Общества.
    10. Общество оставляет за собой право вносить необходимые изменения в Положение при изменении действующего законодательства РФ и условий своей деятельности.
  3. Состав персональных данных пользователей – субъектов персональных данных
    1. Состав персональных данных пользователей, обрабатываемых агентом.
      1. Основная информация, предоставляемая пользователями агенту и необходимая для исполнения волеизъявления пользователем:
        • фамилия, имя, отчество пользователя;
        • адрес электронной почты;
        • домашний и контактный (мобильный) телефоны.
        • паспортные данные (данные гражданского паспорта Российской Федерации либо заграничного паспорта - в зависимости от заказываемого туристстского продукта);
    2. Агент получает данные пользователей непосредственно из личного кабинета пользователя.
  4. Конфиденциальность персональных данных пользователей – субъектов персональных данных
    1. Персональные данные пользователей, перечисленные в главе 3 настоящего Положения, являются конфиденциальными. Оператор обеспечивает конфиденциальность персональных данных пользователей, и обязан не допускать их распространения без согласия пользователей, либо наличия иного законного основания.
    2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных пользователей распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
  5. Права и обязанности пользователей – субъектов персональных данных
    1. Пользователь обязан передавать Оператору достаточные, достоверные, документированные персональные данные, полный состав которых установлен в договоре и личном кабинете пользователя.
    2. Пользователь должен без неоправданной задержки сообщать агенту об изменении своих персональных данных.
    3. Пользователь имеет право на получение сведений о туроператорах, о месте их нахождения, о наличии у агента персональных данных, относящихся к пользователю, а также на ознакомление с такими персональными данными.
    4. Пользователь имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
      • подтверждение факта обработки персональных данных агентом и туроператором;
      • правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных;
      • сроки обработки персональных данных, в том числе сроки их хранения;
      • информацию о предполагаемой трансграничной передаче персональных данных;
      • наименование третьего лица или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по договору с Оператором;
      • иные сведения, предусмотренные федеральными законами.
    5. Пользователь вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    6. Сведения о наличии персональных данных должны быть предоставлены пользователю в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
    7. Доступ к своим персональным данным предоставляется пользователю или его законному представителю Оператором при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность пользователя или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись пользователя или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством РФ.
    8. Согласие на обработку персональных данных может быть отозвано пользователем путём направления письменного уведомления в адрес Оператора. Уведомление должно содержать номер основного документа, удостоверяющего личность пользователя или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись пользователя или его законного представителя. Уведомление может быть направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством РФ.
    9. Если пользователь считает, что агент осуществляет обработку его персональных данных с нарушением требований Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции) или иным образом нарушает его права и свободы, пользователь вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
    10. Пользователь имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
  6. Права и обязанности агента
    1. Агент осуществляет обработку персональных пользователя только по ниже следующим основаниям:
      • обработка персональных данных необходима для исполнения поручения пользователя, выгодоприобретателем по которому является пользователь, а также для заключения договора по инициативе пользователя или договора, по которому пользователь будет являться выгодоприобретателем;
      • обработка персональных данных пользователей необходима для осуществления прав и законных интересов Оператора или иных третьих лиц при соблюдении условия, что при этом не нарушаются права и свободы пользователей;
      • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен самим пользователем, либо по его поручению.
    2. Оператор вправе поручить обработку персональных данных третьему лицу с согласия пользователя, на основании заключенного с этим третьим лицом договора. В этом случае Оператор должен, на договорной основе, обязать третье лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции) и настоящим Положением.
    3. При определении объема и содержания персональных данных пользователя, подлежащих обработке, Оператор обязан руководствоваться Федеральным законом №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции). Оператор получает персональные данные пользователя только в объеме, необходимом для достижения целей, указанных в договоре или личном кабинете пользователя.
    4. Агент не имеет права получать и обрабатывать персональные данные пользователя о его судимости, политических, религиозных и иных убеждениях и частной жизни.
    5. Агент не должен получать и обрабатывать персональные данные пользователя о его членстве в общественных объединениях или его профсоюзной деятельности, если только эти данные не связаны с задачами и требованиями пользователя по исполнению его поручения.
    6. Агент не должен запрашивать информацию о состоянии здоровья пользователя, за исключением тех сведений, которые относятся к вопросу страхования, которое приобретается с помощью агента в пользу пользователя.
  7. Защита персональных данных пользователей – субъектов персональных данных
    1. Защите подлежат следующие материальные объекты, содержащие персональные данные пользователей, если только с них на законном основании не снят режим конфиденциальности:
      • документы, содержащие персональные данные пользователей;
      • бумажные носители, содержащие персональные данные пользователей;
      • информация, содержащая персональные данные пользователей, размещенная на электронных носителях.
    2. Организацию защиты персональных данных пользователей осуществляет Оператор.
    3. Оператор обеспечивает: ознакомление сотрудников под роспись с настоящим Положением; истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных пользователей и соблюдении правил их обработки; ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных Оператором.
    4. Защита информационных систем Оператора, в которых обрабатываются персональные данные пользователей, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Приказом ФСТЭК России №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 г.
    5. Доступ к персональным данным пользователей имеют сотрудники Оператора, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей, утверждаемого приказом генерального директора.
    6. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией генерального директора, доступ к персональным данным пользователей может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным пользователей, и которым они необходимы в связи с исполнением трудовых обязанностей.
    7. Процедура оформления доступа к персональным данным пользователей включает в себя: ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных пользователей, с данными актами также производится ознакомление под роспись; истребование с сотрудника (за исключением генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных пользователей и соблюдении правил их обработки.
    8. Сотрудник Оператора, имеющий доступ к персональным данным пользователей в связи с исполнением трудовых обязанностей: обеспечивает хранение информации, содержащей персональные данные пользователей, исключающее доступ к ним третьих лиц; в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные пользователей; при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные пользователей лицу, на которое приказом генерального директора Оператора будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные пользователей, передаются другому сотруднику, имеющему доступ к персональным данным пользователей по указанию генерального директора Оператора.
    9. При увольнении сотрудника, имеющего доступ к персональным данным пользователей, документы и иные носители, содержащие персональные данные пользователей, передаются другому сотруднику, имеющему доступ к персональным данным пользователей по указанию генерального директора Оператора.
    10. Допуск к персональным данным пользователей других сотрудников Оператора, не имеющих надлежащим образом оформленного доступа, запрещается.
    11. Документы, содержащие персональные данные пользователей, хранятся в запирающихся помещениях в шкафах, обеспечивающих защиту от несанкционированного доступа, куда они помещаются в конце рабочего дня.
    12. Защита доступа к электронным носителям, содержащим персональные данные пользователей, обеспечивается, в том числе: организацией контроля доступа в помещения информационной системы посторонних лиц; использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным; разграничением прав доступа с использованием учетной записи; использованием паролей; установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; учетом машинных носителей персональных данных; обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер; контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.
    13. Ответы на письменные запросы других организаций и учреждений о персональных данных пользователей даются только с письменного согласия самого пользователей или уполномоченных ими лиц, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Оператора, и в том объеме, который позволяет не разглашать излишний объем персональных данных пользователей.
  8. Обработка персональных данных пользователей – субъектов персональных данных
    1. Обработка персональных данных пользователей осуществляется Оператором исключительно для достижения целей, определенных соответствующим договором.
    2. Обработка персональных данных Оператором в интересах пользователей заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных пользователей.
    3. Обработка персональных данных пользователей ведется смешанным методом, (в том числе автоматизированной) обработки.
    4. К обработке персональных данных пользователей могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными пользователей.
    5. Согласие на обработку персональных данных может быть отозвано пользователем. В случае отзыва пользователем согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия пользователей при наличии следующих оснований:
      • обработка персональных данных необходима для исполнения поручения пользователя, выгодоприобретателем по которому является пользователь, а также для заключения договора по инициативе пользователя или договора, по которому пользователь будет являться выгодоприобретателем;
      • обработка персональных данных пользователя необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы пользователя.
    6. В случае отзыва пользователем согласия на обработку его персональных данных, Оператор обязан прекратить их обработку и обеспечить прекращение такой обработки другими лицами, в частности туроператором (направить запрос), а также уничтожить или обезличить персональные данные пользователя, обеспечить их уничтожение или обезличивание другим лицом, действующим по поручению Оператора.
  9. Передача персональных данных пользователей – субъектов персональных данных
    1. Передача персональных данных пользователей осуществляется Оператором исключительно для достижения целей, определенных соответствующим договором и личным кабинетом.
    2. Передача персональных данных пользователей третьим лицам осуществляется Оператором только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных пользователей и безопасности персональных данных при их обработке.
    3. Оператор в соглашении на обработку персональных данных, заполняемое пользователем, может указать на право третьих лиц, которым Оператор передает персональные данные пользователей, осуществлять трансграничную передачу персональных данных пользователей на территории иностранных государств, если это прямо необходимо для исполнения поручения пользователя.
  10. Хранение и уничтожение персональных данных пользователей – субъектов персональных данных
    1. Персональные данные пользователей могут храниться, как на бумажных носителях, так и в электронном виде.
    2. Персональные данные пользователей хранятся:
      • в подразделении Оператора, который принимает договоры пользователей;
      • в бухгалтерии Оператора (при наличии соответствующего подразделения);
      • в юридическом отделе Оператора (при наличии соответствующего подразделения).
    3. Персональные данные пользователей содержатся в следующих группах документов:
      • договоры с пользователем
      • согласия на обработку персональных данных пользователя
      • личный кабинет пользователя в системе Агента.
    4. Персональные данные пользователя на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных шкафах в закрывающихся помещениях.
    5. Ключи от помещений хранятся у сотрудников Оператора, допущенных к работе с персональными данными пользователя.
    6. Персональные данные пользователей также хранятся в электронном виде: на машинных носителях, в электронных папках и файлах в ПК сотрудников Оператора, допущенных к работе с персональными данными пользователей.
    7. После достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных пользователей и уничтожить их персональные данные.
    8. Оператор уничтожает персональные данные пользователей, и обеспечивает их уничтожение другими лицами, действующими по поручению Оператора, по истечению 5 (пяти) лет после их предоставления в анкете, если иной срок не согласован конклюдентными действиями сторон.
  11. Доступ к персональным данным пользователей – субъектов персональных данных
    1. Право доступа к персональным данным пользователей имеют:
      • генеральный директор Оператора;
      • сотрудники Оператора, допущенные к обработке персональных данных пользователей в соответствии с Перечнем сотрудников Оператора, имеющих доступ к персональным данным пользователей;
      • другие сотрудники Оператора при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения генерального директора;
      • пользователь как субъект персональных данных, или его законный представитель.
    2. Перечень должностей сотрудников Оператора, имеющих доступ к персональным данным пользователей, определяется приказом генерального директора Оператора.
    3. Доступ пользоветелей к своим персональным данным предоставляется при обращении либо при получении письменного запроса пользователя, либо путем ознакомления с информацией в своем личном кабинете в системе Агента. При получении соответствующего письменного запроса, Оператор обязан в течение десяти дней с даты получения запроса сообщить пользователю информацию о наличии персональных данных о нем, и при необходимости предоставить возможность ознакомления с ними, либо в течение этого же срока дать мотивированный отказ в предоставлении информации.
    4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
    5. При передаче персональных данных пользователей Оператор должен соблюдать следующие требования:
      • не сообщать персональные данные пользователей третьей стороне без письменного согласия пользователей, за исключением случаев, установленных федеральным законом;
      • предупредить лиц, получающих персональные данные пользователей, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
      • разрешать доступ к персональным данным пользователей только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные пользователей, которые необходимы для выполнения конкретных функций.
    6. Согласия пользователей на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью пользователей, и когда третьи лица оказывают услуги Оператору на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
    7. Оператор обеспечивает ведение журнала учета выданных персональных данных пользователей, в котором фиксируются сведения о лице, которому передавались персональные данные пользователей, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.
  12. Ответственность за разглашение информации, содержащей сведения о персональных данных пользователей – субъектов персональных данных
    1. Оператор несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных пользователей. Оператор закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.
    2. Генеральный директор Оператора несет ответственность за соблюдение сотрудниками норм, регламентирующих получение, обработку и защиту персональных данных пользователей.
    3. Каждый сотрудник Оператора, получающий для работы документ, содержащий персональные данные пользователей, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
    4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пользователей, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
    5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных пользователей, Оператор вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
    6. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные пользователей, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
  13. Законы и нормативные акты, на основании которых разработано настоящее Положение

    Федеральный закон №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции).

    Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации».

    Постановление Правительства РФ №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г.

    Постановление Правительства РФ №1119. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г.

    Указ Президента Российской Федерации №188 «Об утверждении Перечня сведений конфиденциального характера» от 6 марта 1997 года.

    Приказ ФСТЭЛ №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от «18» февраля 2013 г.;

    Приказ ФСБ России №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации...» от «10» июля 2014 г.