ПОЛИТИКА

ООО «Гранд Экспресс Тур»
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. «Политика Общества с ограниченной ответственностью «Гранд Экспресс Тур»» в отношении обработки персональных данных» (далее – «Политика») разработана на основании Конституции Российской Федерации, Гражданского кодекса Российской Федерации, Трудового кодекса Российской Федерации, федеральных законов «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», «О персональных данных», «Об информации, информационных технологиях и о защите информации», «Об основах туристской деятельности в Российской Федерации», Положения об обработке персональных данных, осуществляемой без использования средств автоматизации, Требований к защите персональных данных при их обработке в информационных системах персональных данных и иных нормативных правовых актов Российской Федерации, Устава и нормативных документов Общества с ограниченной ответственностью «Гранд Экспресс Тур» (далее – «Оператор), устанавливает единые цели, принципы и правила обработки персональных данных и определяет основные меры, реализуемые Оператором для обеспечения защиты персональных данных.

1.2. Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными субъектов персональных данных с использованием средств автоматизации или без их использования. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных Оператора, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных.

1.3. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.4. Настоящая политика Оператора в отношении обработки персональных данных применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://www.grandexpress.ru.

1.5. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике в соответствии с ч. 2 ст. 18.1. «О персональных данных» от 27.07.2006 г. № 152-ФЗ.

Настоящий документ является общедоступным и подлежит размещению на официальном сайте Оператора.

II. ОСНОВНЫЕ ПОНЯТИЯ

2.1. В Политике используются следующие основные термины и понятия:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)

Биометрические персональные данные – сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, которые используются оператором для установления личности субъекта персональных данных

Допуск к обработке персональных данных — процедура оформления права на доступ к персональным данным

Защита персональных данных – деятельность Общества, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные

Информационная система (персональных данных) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Конфиденциальность персональных данных – обязательное для соблюдения Обществом и иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания

Неавтоматизированная обработка персональных данных – обработка персональных данных, при которой такие действия с персональными данными, как уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации (автоматизированной) только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее

Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных)

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом

Специальные категории персональных данных – персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

2.2. Субъекты персональных данных или их законные представители имеют право:

• получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

• осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных федеральным законом;

• требовать исключения или исправления неверных, или неполных персональных данных, а также данных, обработка которых ведется с нарушением законодательства;

• при отказе Оператора или уполномоченного им лица исключить или исправить персональные данные субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

• требовать от Оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;

• обжаловать в суде любые неправомерные действия или бездействие Оператора, или уполномоченного им лица, осуществляемые при обработке и защите персональных данных субъекта.

2.3. Субъекты персональных данных или их законные представители, обязаны:

• предоставлять Оператору персональные данные, соответствующие действительности;

• своевременно уведомлять Оператора обо всех изменениях персональных данных.

2.4. Оператор имеет право осуществлять обработку персональных данных при условии наличия законных оснований, соответствия процессов обработки заявленным целям обработки и требованиям законодательства Российской Федерации, положениям настоящей Политики и иных локальных актов Оператора.

2.5. Оператор обязан:

• осуществлять обработку персональных данных с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;

• не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ «О персональных данных»;

• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

• при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев предусмотренном действующим законодательством;

• предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;

• обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;

• по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

• вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;

• уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных;

• в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;

• в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных;

• предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящей Политикой и законодательством Российской Федерации.

III. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Обработка персональных данных осуществляется Оператором с соблюдением принципов и правил, предусмотренных 152-ФЗ «О персональных данных» в следующих случаях:

• с согласия субъекта персональных данных на обработку его персональных данных;

• обработка персональных данных необходима для исполнения договора о реализации туристского продукта, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

• в случаях, когда обработка персональных данных необходима Оператору для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;

• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

Для каждой категории персональных данных Оператором определены и утверждены конкретные цели обработки. Обработка персональных данных, несовместимая с утвержденными целями, не допускается.

3.2. Персональные данные обрабатываются Оператором в целях:

• Оценка кандидатов при подборе персонала;

• Формирование кадрового резерва;

• Сбор информации о характере и профессиональных данных претендентов на должность;

• Заказ билетов для претендентов;

• Ведения кадрового делопроизводства, исполнения обязательств работодателя, предусмотренных трудовыми договорами и законодательством Российской Федерации; учет информации, необходимой для сопровождения трудовых отношений работника и работодателя в соответствии с законодательством Российской Федерации, оформление заработной платы;

• Осуществление гражданско-правовых отношений, в том числе связанных с исполнением обязательств в рамках договоров о реализации туристского продукта, и обеспечением предоставления услуг, входящих в состав реализуемого туристского продукта;

• Организация пропускного режима на территорию Оператора;

• Ответов на запросы государственных органов и работников Оператора, в том числе, бывших работников

• Оформление зарплатного проекта для сотрудников;

• Прохождение обучения;

• Публикация сведений о работниках на сайте https://www.grandexpress.ru.

• Оформление командировок;

• Оформление добровольного медицинского страхования;

• Предоставление заказчику доступа к личному кабинету;

• Автозаполнение форм при оформлении заказов;

• Анализ повышения качества предоставляемых Оператором услуг и сайта, аналитика действий заказчика на сайте;

• Оказания Оператором заказчику услуг, указанных в офертах;

• Хранение информации для повторных заказов;

• Предоставление услуг организации туров и услуг по оформлению визы;

• Обработка входящих и исходящих обращений клиентов (звонки и письма) для консультирования клиентов;

• Внесение изменений в заказ клиента (возврат, обмен, отказ от билетов);

• Предоставление оригиналов отчетных документов клиенту;

• Продвижение услуг и рассылка информационных сообщений;

• Организация программы лояльности;

• Верификация пользователей;

• Сбор информации и/или информирование заказчика об изменениях в заказе;

• Администрирование сайта и размещение отзывов на сайте;

• Анализ повышения качества предоставляемых Оператором услуг и сайта, аналитика действий заказчика на сайте; Сбор статистической информации;

• Рассмотрение обращений, мнений, замечаний, вопросов через форму обратной связи;

• Бухгалтерского и налогового учета, учета труда и его оплаты, исполнения обязательств, появившихся при заключении договорных отношений и предоставление отчетности в государственные органы в рамках закона;

• Заключение договора ГПХ и выплата по нему;

• Заключение договоров и сопровождение заключенного договора;

• Согласование договоров;

• Осуществление сбора и передачи ПДн заказчику посредством сайта;

• Рассмотрение претензий клиентов;

• Подключение новых поставщиков и тестирование корректности работы;

• Организация курьерской службы;

• Розыгрыш призов;

• Проведение маркетинговых мероприятий;

• Проведение видеозаписи.

3.3. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по окончании срока хранения, достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

IV. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 Оператором обрабатываются персональные данные следующих категорий субъектов:

• Претенденты на должность;

• Физические лица, состоящие с Оператором в трудовых отношениях;

• Уволенные работники;

• Родственники работников;

• Посетители территории Оператора;

• Контрагенты-физические лица;

• Физические лица;

• Представители контрагентов;

• Заказчики туристского продукта – турист или иное лицо, заказывающее туристский продукт от имени туриста, в том числе законный представитель несовершеннолетнего туриста;

• Турист – физическое лицо, посещающее страну (место) временного пребывания в лечебно-оздоровительных, рекреационных, познавательных, физкультурно-спортивных, профессионально-деловых, религиозных и иных целях без занятия деятельностью, связанной с получением дохода от источников в стране (месте) временного пребывания, на период от 24 часов до 6 месяцев подряд или осуществляющее не менее одной ночевки в стране (месте) временного пребывания;

• Пассажир – физическое лицо, которому перевозчик, на основании документов, оформленных Оператором, обязался оказать услуги перевозки;

4.2. Персональные данные, обрабатываемые Оператором:

• персональные данные заказчиков и туристов, в объёме необходимом для бронирования туристских услуг, входящих в состав туристского продукта, реализуемого по договорам о реализации туристского продукта;

• персональные данные туристов, в объёме необходимом для оформления туристских документов, подтверждающих право туристов на получение туристских услуг, входящих в состав туристского продукта, реализуемого по договорам о реализации туристского продукта;

• данные, полученные в рамках исполнения обязательств по трудовым договорам;

• данные, полученные в целях отбора кандидатов на работу;

• данные, полученные при заключении гражданско-правовых договоров и использованные в рамках исполнения обязательств по заключённым договорам;

• данные уволенных работников;

• данные физических лиц (участники акций и розыгрышей)

• данные посетителей Оператора

• персональные данные контрагентов-физических лиц

4.3. Состав персональных данных, обрабатываемых Оператором:

• фамилия, имя, отчество;

• фотография;

• пол;

• дата рождения;

• место рождения;

• гражданство;

• реквизиты документа, удостоверяющего личность;

• номер телефона;

• электронная почта;

• место работы и занимаемая должность;

• доходы;

• сведения о банковских счетах;

• сведения об инвалидности;

• сведения о профессиональных навыках;

• номер рейса.

• табельный номер;

• ИНН;

• СНИЛС;

• адрес (информация о месте регистрации и места жительства);

• предыдущая трудовая деятельность;

• заработная плата;

• сведения об образование (квалификации, профессиональной подготовки и повышении квалификации);

• сведения о трудовой деятельности;

• сведения о семейном положении;

• сведения о наличии детей;

• сведения о воинском учете;

• социальное положение;

• в случае приема иностранного гражданина возможно дополнительное использование ряда необходимых документов (миграционная карта, разрешение на работу и т.п.);

• копия паспорта;

• копия СНИЛС,

• копия ИНН;

• копия военного билета (приписного свидетельства);

• копия свидетельств о рождении детей;

• копия свидетельства о браке;

• копия документов об образовании.

• регистрационный номер и модель автомобиля;

• данные бонусных карт;

• данные о заказах;

• статистические данные;

• номер визы;

• реквизиты, содержащиеся в копиях документов: справке медицинского учреждения, справке из медпункта аэропорта (сигнальный лист аэропорта), листке нетрудоспособности, выписке из истории болезни, выписном эпикризе больницы, выписке из журнала вызова скорой помощи;

• реквизиты свидетельства о смерти / реквизиты справки о смерти;

• реквизиты документа, подтверждающие родство;

• свидетельство о рождении;

• файлы cookie,

• тип и версия ОС;

• тип и версия браузера;

• тип устройства и разрешение его экрана;

• источник откуда пришел на сайт Пользователь, с какого сайта или по какой рекламе;

• язык ОС и браузера;

• какие действия совершает Пользователь на Сайте;

• ip-адрес.

                                V. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Все персональные данные Оператор получает непосредственно от субъекта персональных данных, от его представителя либо от лица, поручившего Оператору обработку персональных данных, за исключением случаев, предусмотренных законодательством.

5.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством. Согласие может быть выражено в различных формах, позволяющих подтвердить факт его получения, в том числе в конклюдентных действиях, в письменном виде в форме отдельного документа, либо в составе какого-либо документа, подписываемого субъектом. Согласие может быть дано представителем субъекта, при предоставлении им доказательств своих полномочий.

5.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случаях, предусмотренных законодательством, обработка персональных данных может быть продолжена даже после отзыва субъектом согласия на обработку.

5.4. При принятии решений, затрагивающих интересы субъекта, Оператор никогда не основывается на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.

5.5. Персональные данные не используются в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

5.6. Доступ к персональным данным имеют работники Оператора, которым персональные данные необходимы в связи с исполнением ими должностных обязанностей.

5.7. Передача персональных данных работника Оператора третьим лицам, осуществляется только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством.

5.8. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.9. Оператор вправе создавать общедоступные источники персональных данных, в которые могут включаться персональные данные субъекта персональных данных с его письменного согласия.

5.10. Передача персональных данных субъекта в коммерческих целях без его письменного согласия не осуществляется.

5.11. В случае необходимости передачи Оператором персональных данных третьим лицам, она осуществляется только после подписания между Оператором и третьей стороной соглашения о неразглашении конфиденциальной информации, за исключением случаев, предусмотренных законодательством.

5.12. Обработка персональных данных осуществляется как с использованием средств вычислительной техники, так и без использования таковых средств.

5.13. Сроки обработки персональных данных Оператором в общем случае определяются в соответствии со сроками, установленными Федеральным законом № 152-ФЗ «О персональных данных»; сроком действия соответствующего договора; сроком исковой давности; сроком действия согласия, данного субъектом персональных данных на их обработку; а также иными требованиями законодательства Российской Федерации.

5.14. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).

5.15. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.

5.16. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.

5.17. При использовании типовых форм документов, заполняемых субъектом персональных данных собственноручно, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), соблюдаются следующие условия:

• типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

• типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации — при необходимости получения письменного согласия на обработку персональных данных;

• типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

• типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

5.18. Персональные данные подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в их достижении, по истечении срока хранения, при выявлении факта неправомерной обработки либо по требованию лица, поручившего обработку персональных данных в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, либо получения отзыва на их обработку. Уничтожение осуществляется в присутствии комиссии. По итогам составляется акт об уничтожении.

VI. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1 Оператор обеспечивает защиту персональных данных субъекта от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

6.2. Защита персональных данных обеспечивается Оператором в установленном действующим законодательством и локальными актами Оператора порядке, путем выполнения комплекса организационно—технических мероприятий, обеспечивающих их безопасность.

6.3. Все меры защиты при сборе, обработке, хранении и передаче персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

6.4. Оператором приняты следующие меры, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:

• назначен ответственный за организацию обработки персональных данных.

• разработаны и утверждены документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

• применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований, предъявляемых к 3-му уровню защищённости.

• применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации.

• осуществляется внутренний контроль и аудит соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам Оператора;

• осуществляется определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

• проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

• осуществляется учет машинных носителей персональных данных.

• приняты меры по обнаружению фактов несанкционированного доступа к персональным данным и принятие мер.

• обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

• установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных.

• осуществляется регистрация и учет всех действий, совершаемых с персональными данными в информационных системах персональных данных.

• ведется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

• осуществляется ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

VII. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Оператор имеет право внести, дополнить, изменить, блокировать или удалить персональные данные в соответствии с Федеральным законодательством Российской Федерации.

7.2. По запросу субъекта персональных данных Оператор обязан:

• предоставить сведения о наличии у оператора персональных данных субъекта;

• предоставить возможность ознакомления с персональными данными субъекта (исключение ФЗ-152 статья 14 часть 5);

• уточнить недостоверные или изменившиеся персональные данные;

• блокировать или уничтожить персональные данные в случае, если они являются незаконно полученными, не являются необходимыми для заявленной цели обработки или отозвано согласие субъекта.

7.3. Запрос субъекта персональных данных должен быть отправлен Оператору в бумажном виде и содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, и собственноручную подпись субъекта персональных данных или его законного представителя.

7.4. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации на электронную почту: (указать почту).

7.5. При поступлении запроса обращения субъектов, ответственный работник Оператора обязан зарегистрировать такой запрос в журнале регистрации обращений субъектов.

7.6. Ответ, либо мотивированный отказ, должны быть отправлены в течение 10 дней с даты получения запроса от субъекта персональных данных. Ответ должен содержать конкретную и исчерпывающую информацию, касающуюся сути вопроса.

7.7. В случае отзыва субъектом персональных данных согласия на их обработку Оператор вправе продолжить обработку этих персональных данных, если:

• иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

7.9. оператор вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;

7.10. иное предусмотрено иным соглашением между оператором и субъектом персональных данных.

VIII. СВЕДЕНИЯ О ТРЕТЬИХ ЛИЦАХ, УЧАСТВУЮЩИХ В ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Трансграничная передача персональных данных осуществляется с учётом требований, установленных ст.12 Федерального закона №152-ФЗ «О персональных данных».

Для достижения целей обработки персональных данных и с согласия клиентов туристических агентств Оператор предоставляет персональные данные или поручает их обработку следующим лицам:

• Туроператоры и турагентства;

• Непосредственные исполнители туристских услуг, входящих в состав туристского продукта, или предоставляющие отдельные туристские услуги (объекты размещения, перевозчики, страховые компании, консульства и посольства иностранных государств, осуществляющие оформление виз, экскурсионные бюро и т.п.).

8.2. Третьи лица, которым передаются персональные данные в рамках исполнения обязательств, связанных с трудовыми отношениями:

• Пенсионный фонд РФ для учета (на законных основаниях);

• Налоговые органы РФ (на законных основаниях);

• Фонд социального страхования РФ (на законных основаниях);

• Территориальный фонд обязательного медицинского страхования (на законных основаниях);

• Страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);

• Банки для начисления заработной платы (на основании договора);

• Органы МВД России в случаях, установленных законодательством.

IX. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1 Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.

9.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

X. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ «cookie»

10.1. На официальных ресурсах Оператора в информационно-телекоммуникационной сети Интернет (далее – официальные сайты Оператора) используются службы веб-аналитики, которые используют файлы «cookie», чтобы отслеживать состояния сеанса доступа пользователя, ведение статистики о пользователе. Файлы «cookie» — это фрагменты данных, которые веб-сайты сохраняет на жестком диске пользователя. Файлы «cookie», устанавливаемые официальными сайтами Оператора, используются для обеспечения технической возможности предоставления сервиса пользователям, а также для улучшения пользовательского опыта путем сбора и анализа статистики использования официальных сайтов Общества.

Сбор статистики использования официальных сайтов Оператора может производиться с использованием предназначенных для этого сторонних веб-сервисов (например, Яндекс-метрика).

Файлы «cookie», устанавливаемые официальными сайтами Оператора, не содержат информацию, позволяющую однозначно идентифицировать личность пользователя, тем не менее данные, хранимые на официальных сайтах Общества, могут быть привязаны к информации, сохраненной в файлах «cookie» и полученной из них.

10.2. Посетитель официальных сайтов Оператора может отказаться от использования файлов «cookie», выбрав соответствующий пункт на странице запроса согласия, либо совершив соответствующие настройки в своем браузере. В таком случае доступ к функциональным возможностям официальных сайтов Общества может быть ограничен. Используя официальные сайты Общества, его посетители соглашаются на обработку файлов cookie вышеописанным способом и для вышеуказанной цели.

10.3. Официальные сайты Оператора могут содержать ссылки на сторонние веб-сайты, а также сведения о них. Оператор не контролирует политику и процедуры соблюдения конфиденциальности третьими лицами и не несет ответственности за их действия.

XI. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1. Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.

11.2. Настоящая Политика подлежит поддержанию ее в актуальном состоянии по отношению к действующему законодательству Российской Федерации. В случае вступления в силу изменений в законодательство Российской Федерации, затрагивающих текст настоящей Политики, она подлежит пересмотру;

11.3. Оператор при необходимости вносит в настоящую Политику соответствующие изменения в установленном порядке и в сроки, установленные действующим законодательством и внутренними документами Общества;

11.4. Оператор оставляет за собой право в одностороннем порядке вносить необходимые изменения в настоящую Политику