Положение об обработке персональных данных
1. Общие положения
1.Положение об обработке персональных данных (далее – Положение) разработано с целью определения порядка обработки персональных данных субъектов персональных данных, обеспечения защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установления ответственности лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных в Обществе с ограниченной ответственностью «ТУР ПРЕСТИЖ Клуб» (далее – Общество).
2.Настоящее Положение разработано в соответствии с Конституцией Российской Федерации от 25 декабря 1993 г., Гражданским кодексом Российской Федерации от 30 ноября 1994 г. № 51-ФЗ, Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также другими нормативными правовыми актами, действующими на территории Российской Федерации.
3.Настоящее Положение определяет политику Общества в отношении обработки персональных данных.
4.Положения настоящего документа служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных в Обществе.
5.В Обществе к любой информации, содержащей персональные данные субъекта, применяется режим конфиденциальности, за исключением персональных данных, разрешенных субъектом персональных данных для распространения.
6.Основные понятия, используемые в Положении:
1)безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;
2)блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
3) документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;
4)доступ к информации – возможность получения информации и ее использования;
5)защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;
6)идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
7)информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
8) информация – сведения (сообщения, данные) независимо от формы их представления;
9) использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
10) конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
11)носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин;
12) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
13) обработка персональных данных без использования средств автоматизации – обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
14) оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
15) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу;
16) распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
17) субъект персональных данных – физическое лицо, которое может быть однозначно идентифицировано по персональным данным;
18) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
19) целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
7.Права и обязанности субъектов персональных данных
1) Субъекты персональных данных имеют право:
- получать полную информацию о своих персональных данных и обработке этих данных;
-осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;
- ознакомиться с нормативными документами Общества, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области;
- определять своих представителей для защиты своих персональных данных;
- требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- при отказе Общества или уполномоченного им лица исключить или исправить персональные данные субъекта – заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
-дополнить персональные данные оценочного характера заявлением, выражающим собственную точку зрения;
- требовать от Общества или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;
-обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке любые неправомерные действия или бездействие Общества или уполномоченного им лица при обработке и защите персональных данных субъекта;
-возмещать убытки и (или) получать компенсацию морального вреда в судебном порядке.
2) Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.
8. Права и обязанности Общества
1) Права Общества:
- Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».
2) Обязанности Общества:
- по запросу предоставить субъекту персональных данных информацию, касающуюся обработки его персональных данных, а также предоставить возможность ознакомления с этими персональными данными;
- разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку;
- принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
- обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;
- устранять нарушения законодательства, допущенные при обработке персональных данных, вносить уточнения, осуществлять блокирование и уничтожение персональных данных в случаях, предусмотренных Федеральным законом «О персональных данных».
2. Цели обработки персональных данных
9.Целью обработки персональных данных является ведение кадрового и бухгалтерского учета, обеспечение соблюдения трудового законодательства Российской Федерации, обеспечение соблюдения налогового законодательства Российской Федерации, обеспечение соблюдения пенсионного законодательства Российской Федерации, оформление заявок на сайте для предоставления услуг, анализ взаимодействия с сайтом, осуществление видов деятельности, предусмотренных Уставом Общества: подготовка, заключение и исполнение гражданско-правовых договоров, оказание туристских услуг гражданам Российской Федерации.
3. Правовые основания обработки персональных данных
10.Правовое основание обработки персональных данных:
1) Трудовой кодекс Российской Федерации;
2) Налоговый кодекс Российской Федерации;
3) Гражданский кодекс Российской Федерации;
4) Федеральный закон от 24.11.1996 № 132-ФЗ «Об основах туристской деятельности в Российской Федерации»;
5) Устав Общества;
6) договоры, заключаемые между оператором и субъектом персональных данных;
7) согласие на обработку персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
11. Категории субъектов персональных данных:
1) работники, состоящие в трудовых отношениях с Обществом, бывшие работники;
2)родственники работников;
3) представители контрагентов;
4) туристы;
5) заказчики туристского продукта;
6) посетители сайта.
12. Категории обрабатываемых персональных данных:
1) иные категории персональных данных.
13. Объем обрабатываемых персональных данных
При определении объема и содержания обрабатываемых персональных данных Общество руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об основах туристской деятельности в Российской Федерации» и иными федеральными законами Российской Федерации.
14.Перечень персональных данных, которые необходимы для оформления заявок на сайте для предоставления услуг, анализ взаимодействия с сайтом:
-Фамилия, имя, отчество;
-Адрес электронной почты;
-Номер телефона;
-IP-адрес;
-Cookie-файлы;
-Данные о геопозиции;
-Информация о браузере.
5. Порядок и условия обработки персональных данных
1.Перечень действий, совершаемых Обществом с персональными данными субъектов: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
2.Способы обработки персональных данных: автоматизированная, без использования средств автоматизации.
3.Сроки обработки персональных данных: утрата правовых оснований, достижение цели обработки, отзыв согласия на обработку персональных данных, выявление факта неправомерной обработки, требование о прекращении обработки персональных данных.
4.Сведения о соблюдении требований конфиденциальности персональных данных, меры, принимаемые Обществом для обеспечения выполнения обязанностей оператора при обработке персональных данных:
1)к любой информации, содержащей персональные данные, применяется режим конфиденциальности, за исключением персональных данных, разрешенных субъектом персональных данных для распространения;
2)работники и иные лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении информации ограниченного доступа, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных.
3)назначен ответственный за организацию обработки персональных данных;
4)изданы документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки и обеспечения безопасности персональных данных;
5)применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных:
- утверждены Модели угроз безопасности информации;
- разработаны организационно-распорядительные документы по вопросам обработки и обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных;
- реализованы технические меры по обеспечению безопасности персональных данных: установлены сейфы и запирающиеся шкафы для хранения носителей персональных данных, установлен режим охраны здания и помещений, в которых обрабатываются персональные данные;
-в информационных системах персональных данных применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
- проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных при их обработке в информационных системах;
- персональные данные субъектов обрабатываются и хранятся в помещениях Общества на учтенных машинных носителях в соответствии с Инструкцией по учету машинных носителей и регистрации их выдачи, на бумажных носителях – в соответствии с Положением о порядке обработки персональных данных, осуществляемой без использования средств автоматизации. Уничтожение носителей информации производится по решению руководителя Общества. Вывод из эксплуатации машинного носителя производится путем его форматирования, либо путем его механического повреждения в присутствии ответственного за обеспечение безопасности персональных данных. Бумажные носители персональных данных уничтожаются в бумагорезательной машине, а также путем сжигания. По факту уничтожения персональных данных издается соответствующий подтверждающий документ согласно требованиям, установленным уполномоченным органом по защите прав субъектов персональных данных;
-обнаружение и принятие мер по фактам несанкционированного доступа к персональным данным производится в соответствии с разработанной Политикой менеджмента инцидентов информационной безопасности;
-резервное копирование и восстановление персональных данных производится в соответствии с разработанным Регламентом резервного копирования данных;
- правила разграничения доступа к персональным данным, обрабатываемым в информационных системах персональных данных, реализуются на основе установленных матриц доступа. Регистрация и учет всех совершаемых действий предусмотрены соответствующими настройками средств защиты информации;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных производится ответственным за обеспечение безопасности персональных данных с установленной периодичностью;
6) осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему Положению, локальным актам Общества;
7) проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»;
8)работники Общества ознакомлены с положениями законодательства Российской Федерации о персональных данных и локальными актами по вопросам обработки и обеспечения безопасности персональных данных;
9)проведено обучение работников по вопросам защиты персональных данных;
10) настоящее Положение опубликовано на официальном сайте Общества;
11) реализация и контроль организационных и технических мер производится в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
12) обработка персональных данных, осуществляемая без использования средств автоматизации, производится в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
13) Общество включено в Реестр операторов, осуществляющих обработку персональных данных, регистрационный номер 78-17-004398.
5. Формы документов при получении (сборе) персональных данных:
1)форма согласия субъекта на обработку персональных данных представлена в Приложении 3 к настоящему Положению;
2) форма согласия субъекта на получение его персональных данных от третьей стороны представлена в Приложении 4 к настоящему Положению.
6.Формы документов при передаче персональных данных:
1)форма согласия субъекта на обработку персональных данных, разрешенных субъектом персональных данных для распространения, представлена в Приложении 5 к настоящему Положению;
2)форма согласия субъекта на передачу его персональных данных третьей стороне представлена в Приложении 6 к настоящему Положению.
7.Формы документов по прекращению обработки персональных данных:
1)форма отзыва согласия на обработку персональных данных представлена в Приложении 7 к настоящему Положению;
2)форма требования о прекращении передачи персональных данных, разрешенных субъектом персональных данных для распространения представлена в Приложении 8 к настоящему Положению.
8.Форма запроса от субъекта персональных данных или его представителя представлена в Приложении 9 к настоящему Положению.
6. Регламент реагирования на запросы/обращения субъектов персональных данных или их представителей, уполномоченных органов
Права субъекта персональных данных по обращению к Обществу
1)Субъект персональных данных или его представитель вправе обратиться к Обществу в целях получения информации о наличии персональных данных, а также предоставления возможности ознакомления с этими персональными данными.
2)Обращение субъекта персональных данных (письменный запрос или устное обращение) подлежит обязательной регистрации в день поступления.
3) Требуемые сведения предоставляются субъекту персональных данных или его представителю при личном обращении или по его письменному запросу в течение десяти рабочих дней с даты получения запроса.
4) Субъект персональных данных вправе обратиться повторно к Обществу не ранее чем через тридцать дней после первоначального обращения.
5) Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
10.Обязанности Общества по уточнению, блокированию и уничтожению персональных данных
1) Сроки осуществления блокирования персональных данных:
- в случае выявления неправомерной обработки персональных данных либо неточных персональных данных Общество обязано осуществить их блокирование на период проверки.
2) Сроки уточнения персональных данных:
-в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество обязано внести в них необходимые изменения и снять блокирование персональных данных.
3)Сроки уничтожения персональных данных:
-в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие персональные данные. Общество обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
-в случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты такого выявления, необходимо устранить допущенные нарушения. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
- в случае достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество обязано прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации;
- в случае обращения субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных Общество обязано в срок, не превышающий десяти рабочих дней с даты получения Обществом соответствующего требования, прекратить их обработку, за исключением случаев, предусмотренных законодательством Российской Федерации;
- в случае отсутствия возможности уничтожения персональных данных в течение вышеуказанных сроков, Общество осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
11.Работники Общества, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут ответственность, предусмотренную действующим законодательством Российской Федерации.
12.Руководитель Общества за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, несет административную ответственность согласно статьям 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные этого субъекта.
13.Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим работникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативно-правовыми актами (приказами, распоряжениями) Общества, влечет наложение на работников, имеющих доступ к персональным данным, дисциплинарных взысканий в виде: замечания, выговора, увольнения.
С полным текстом документа можно ознакомиться
по ссылке.