Защита персональных данных

ПОЛОЖЕНИЕ О РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

Статья 1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящим Положением об обработке и защите персональных данных (далее — Положение) устанавливается порядок обработки персональных данных субъектов персональных данных (ПД), с которыми ООО «КТП» (Оператор) устанавливает трудовые, договорные, либо гражданско-правовые отношения.

1.2. Цель данного Положения — обеспечение требований защиты прав субъектов ПД при обработке их персональных данных.

1.3. Персональные данные не могут быть использованы Оператором в целях причинения имущественного и морального вреда субъектам ПД, затруднения реализации их прав и свобод.

1.4. Обработка персональных данных субъектов ПД должна ограничиваться достижением законных, конкретных и заранее определенных целей. Обработке подлежат только те ПД, и только в том объеме, которые отвечают целям их обработки, определенным в договоре с субъектом ПД или законодательством Российской Федерации.

1.6. Обрабатываемые персональные данные субъектов ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

Статья 2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА

2.1. Под персональными данными (ПД) понимается любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту ПД).

2.2. Состав персональных данных, обработка которых осуществляется Оператором при осуществлении трудовых отношений: фамилия, имя, отчество; год, месяц и число рождения; место рождения; гражданство, пол; данные об общегражданском паспорте РФ (серия и номер общероссийского паспорта, дата его выдачи, наименование органа, выдавшего паспорт); адрес регистрации; адрес электронной почты; домашний и контактный (мобильный) телефоны.

2.3. Состав персональных данных, обработка которых осуществляется Оператором при оказании субъектам ПД туристических услуг: фамилия, имя, отчество; год, месяц и число рождения; данные об общегражданском паспорте РФ (серия и номер общероссийского паспорта, дата его выдачи, наименование органа, выдавшего паспорт); адрес регистрации; контактный (мобильный) телефон.

2.4. Состав персональных данных, обработка которых осуществляется Оператором при осуществлении гражданско-правовых отношений: фамилия, имя, отчество; год, месяц и число рождения; данные об общегражданском паспорте РФ (серия и номер общероссийского паспорта, дата его выдачи, наименование органа, выдавшего паспорт; адрес регистрации; ИНН, ОГРН, контактный (мобильный) телефон и др.

Статья 3. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Документы и сведения, перечисленные в статье 2 Положения, содержащие информацию о персональных данных субъектов ПД, являются конфиденциальными. Оператор обеспечивает конфиденциальность и обязан не допускать их распространения без согласия субъектов ПД, либо наличия иного законного основания.

3.2. Все меры конфиденциальности при сборе, обработке и хранении ПД распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.3. Если Оператор с согласия субъектов ПД поручает обработку персональных данных субъекта ПД третьему лицу, то Оператор обязан на договорной основе обременить это третье лицо обязанностью соблюдения конфиденциальности персональных данных.

Статья 4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПД

4.1.  Субъект ПД обязан передавать Оператору достаточные, достоверные, документированные персональные данные, полный состав которых установлен в договорах, заключенных между субъектом ПД и Оператором.

4.2. Субъект ПД имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к субъекту ПД, а также на ознакомление с такими персональными данными.

4.3. Субъект ПД имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки ПД оператором;

правовые основания и цели обработки ПД; цели и применяемые оператором способы обработки ПД;

сроки обработки ПД, в том числе сроки их хранения;

информацию об осуществленной передаче данных;

наименование третьего лица, осуществляющего обработку ПД по договору с Оператором;

иные сведения, предусмотренные федеральными законами.

4.4. Субъект ПД вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.5. Если субъект ПД считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПД или в судебном порядке.

Статья 5. ОБЯЗАННОСТИ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Оператор осуществляет обработку персональных данных субъектов ПД, указанных в п. 2.1. статьи 2 настоящего Положения, только по ниже следующим основаниям:

-обработка ПД необходима для осуществления трудовых отношений с субъектом ПД;

-обработка ПД необходима для осуществления гражданско-правовых отношений с субъектом ПД;

-обработка ПД необходима для осуществления Уставной деятельности ООО «КТП», которая регулируется Федеральным законом № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации»;

5.2 Предоставление ПД третьим лицам на основании заключенного в этим третьим лицом договора осуществляется в случаях, если:

-субъект ПД выразил свое согласие о предоставлении своих ПД;

-предоставление ПД предусмотрено законодательством Российской Федерации.

5.3. Перечень организаций, которым передаются персональные данные:

-Пенсионный Фонд Российской Федерации (на законных основаниях);

-Федеральная налоговая служба Российской Федерации;

-банки и финансовые организации для начисление заработной платы (на основании Договора);

-страховая компания для страхования клиентов ООО «КТП» (на основании Договора).

5.4. При определении объема и содержания ПД, подлежащих обработке, Оператор обязан руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», Федеральным законом № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации», договорными обязательствами, взятыми на себя сторонами по договору.

Статья 6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

6.1. Защите подлежат следующие объекты: документы, содержащие ПД; бумажные носители, содержащие ПД; информация, содержащая ПД, размещенная на электронных носителях.

6.2. Защита информационных систем ООО «КТП», в которых обрабатываются персональные данные субъектов ПД, от несанкционированного доступа осуществляется в соответствии с Приказом ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

6.3. Доступ к персональным данным имеют сотрудники ООО «КТП», которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

6.4. Сотрудник ООО «КТП», имеющий доступ к ПД, обеспечивает хранение информации, исключающее доступ к ней третьих лиц; в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные. При уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные лицу, на которое приказом будет возложено исполнение его трудовых обязанностей.

6.5. Документы, содержащие ПД, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие ПД, помещаются в шкафы, обеспечивающие защиту от несанкционированного доступа.

6.6. Защита доступа к электронным носителям, содержащим ПД, обеспечивается, в том числе: организацией контроля доступа в помещения информационной системы посторонних лиц; использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к ПД; установлением правил доступа к ПД, обрабатываемым в информационной системе; контролем эффективности принимаемых мер по обеспечению защищенности ПД.

6.7. Копировать и делать выписки ПД разрешается исключительно в служебных целях.

Статья 7. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

7.1. Обработка персональных данных субъектов ПД осуществляется Оператором в соответствии с Положением о работе ПД. Цели обработки ПД:

-осуществление трудовых отношений;

-осуществление гражданско-правовых отношений;

-осуществление Уставной деятельности ООО «КТП».

7.2. Обработка ПД Оператором заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и защите от несанкционированного доступа ПД.

7.3. Обработка ПД ведется смешанным методом, в том числе, автоматизированно.

7.4. Категории субъектов ПД, обрабатываемых ООО «КТП»:

-физические лица, состоящие с ООО «КТП» в трудовых отношениях;

-физические лица, состоящие с ООО «КТП» в гражданско-правовоых отношениях;

— физические лица, являющиеся клиентами ООО «КТП», согласно Уставной деятельности.

7.5. Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД не дольше, чем того требуют цели обработки ПД, за исключением случаев, когда срок хранения ПД установлен Федеральными законами или договором, стороной которого является субъект ПД.

7.6. Оператор уничтожает персональные данные субъектов ПД в следующие сроки:

-хранящиеся на электронных носителях в течение тридцати дней со дня окончания установленного законодательством претензионного срока обращения клиента с жалобой на качество предоставленных ему туристских услуг;

-хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока исковой давности по договору;

-хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока их хранения, установленного нормами законодательства РФ.

7.7. Уничтожение ПД на бумажных носителях осуществляется методом измельчения и сожжения бумажных носителей.

7.8. Персональные данные на электронных носителях уничтожаются путем форматирования носителя без возможности восстановления информации.

Статья 8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТА

8.1. Ответственность за соблюдение требований законодательства по обработке и защите персональных данных субъектов ПД несет ООО «КТП».

8.2. За разглашение ПД и нарушение порядка обработки и защиты ПД вне зависимости от формы их представления, сотрудники ООО «КТП» могут быть привлечены к дисциплинарной, административной, гражданской, уголовной и иной, предусмотренной законодательством Российской Федерации ответственности.

8.3. Моральный вред, причиненный субъекту ПД вследствие нарушения его прав, правил обработки ПД, требованием к защите ПД, установленной в соответствии с Федеральным законом, подлежит к возмещению в соответствии с законодательством Российской Федерации.

Статья 9. ОБЕСПЕЧЕНИЕ ДОСТУПА К НАСТОЯЩЕМУ ПОЛОЖЕНИЮ, ОПРЕДЕЛЯЮЩЕМУ ПОЛИТИКУ ООО «КТП» В ОТНОШЕНИИ ОБРАБОТКИ ДАННЫХ КЛИЕНТОВ

9.1. С целью обеспечения неограниченного доступа к настоящему Положению, определяющему политику ООО «КТП» в отношении обработки ПД и в сфере реализуемых мер по защите ПД, размещает текст настоящего Положения на своем сайте, а также в «Уголке потребителя», который оборудован в офисе ООО «КТП».

Статья 10. СПИСОК ИСПОЛЬЗОВАННЫХ ЗАКОНОДАТЕЛЬНЫХ И НОРМАТИВНЫХ АКТОВ

Разработка настоящего Положения осуществлена в соответствии со следующими нормативными документами:

  1. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
  2. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  3. Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматической обработке персональных данных».
  4. Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».
  5. Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера».
  6. Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
  7. Постановление Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».