Политика в отношении обработки персональных данных и реализации требований по защите персональных данных
УТВЕРЖДЕНО приказом Генерального директора ООО «Ривер Тревел» № 1 от «31» августа 2022 г.
Общие положения и термины
- Настоящий документ определяет Политику Общества с ограниченной ответственностью «Ривер Тревел» (далее – «Общество») в отношении обработки персональных данных и реализации требований к защите персональных данных (далее – «Политика») в соответствии с требованиями ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- В настоящей Политике используются следующие основные понятия:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- субъект персональных данных – физическое лицо, к которому прямо или косвенно относятся персональные данные.
Принципы обработки персональных данных
- Обработка персональных данных осуществляется на законной и справедливой основе;
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- Обработке подлежат только персональные данные, которые отвечают целям их обработки;
- Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;
- При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных или неточных данных;
- Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.
- При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использование баз данных, находящихся на территории Российской Федерации.
Правовые основания обработки персональных данных
Обработка персональных данных в Обществе осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», ст. 53 Федерального закона РФ от 07.07.2003 г. №126-ФЗ «О связи», Трудовым кодексом Российской Федерации, Постановлением Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иными нормативно-правовыми актами в области защиты персональных данных.
Категории, состав и цели обработки персональных данных
- Общество собирает, хранит и обрабатывает только те персональные данные, которые необходимы для оказания услуг и для осуществления своей деятельности, а также для обеспечения прав и законных интересов третьих лиц при условии, что при этом не нарушаются права субъекта персональных данных.
- Персональные данные субъекта персональных данных могут быть обработаны Обществом в следующих целях:
- Для идентификации субъекта персональных данных;
- Для связи с субъектом персональных данных в случае необходимости, в том числе для направления уведомлений, запросов и информации, связанной с оказанием услуг, а также для обработки запросов и заявок от субъектов персональных данных;
- Для проведения статистических и иных исследований на основе обезличенных данных.
- Общество не обрабатывает специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья, а также биометрические персональные данные.
Персональные данные работника Общества
- Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций. Общество для этой цели запрашивает у работника общие персональные данные: фамилию, имя, отчество, дату, месяц и год рождения, место рождения, адрес, семейное положение, образование, профессию; специальные категории персональных данных: состояние здоровья, сведения о судимости; биометрические персональные данные: фото в бумажном и электронном виде.
- Персональные данные, представленные работником, обрабатываются автоматизированным и без использования средств автоматизации способами. Общество не принимает, не снимает и не хранит копии личных документов работников. Документы, которые работник предъявляет Обществу для хранения в оригинале (справки, медицинские заключения и т. д.), хранятся в личном деле работника в течение 50 лет после расторжения с работником трудового договора.
- После истечения срока нормативного хранения документов, которые содержат персональные данные работника, документы подлежат уничтожению. Для этого Общество создает экспертную комиссию и проводит экспертизу ценности документов. В ходе проведения экспертизы комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению дел, не подлежащих хранению. После чего документы измельчаются в шредере. Персональные данные работников в электронном виде стираются с информационных носителей, либо физически уничтожаются сами носители, на которых хранится информация.
Персональные данные субъекта персональных данных – контрагента по договору гражданско-правового характера
- Персональные данные субъекта персональных данных – контрагента по договору гражданско-правового характера используются для целей, связанных с оформлением, изменением, расторжением и исполнением договора гражданско-правового характера с данным субъектом персональных данных. Общество для этой цели запрашивает у субъекта персональные данные: фамилию, имя, отчество, адрес, образование, профессию, место работы.
- Персональные данные обрабатываются автоматизированным и без использования средств автоматизации способами. Общество не принимает, не снимает и не хранит копии личных документов субъекта персональных данных. Документы, содержащие персональные данные субъекта, хранятся в Обществе в течение нормативного срока хранения документов, определенного применимыми нормативными актами.
- После истечения срока нормативного хранения документов, которые содержат персональные данные субъекта персональных данных – контрагента по договору гражданско-правового характера, документы подлежат уничтожению. Для этого Общество создает экспертную комиссию и проводит экспертизу ценности документов. В ходе проведения экспертизы комиссия отбирает документы с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению документов, не подлежащих хранению. После чего документы измельчаются в шредере. Персональные данные субъекта персональных данных – контрагента по договору гражданско-правового характера в электронном виде стираются с информационных носителей, либо физически уничтожаются сами носители, на которых хранится информация.
Персональные данные субъекта персональных данных – клиента Общества
- Персональные данные субъекта персональных данных – клиента Общества – информация, необходимая Обществу для выполнения своих обязательств в рамках договорных отношений с субъектом персональных данных (клиентом Общества) и для выполнения требований законодательства Российской Федерации в области защиты персональных данных. Общество для этой цели запрашивает у субъекта персональные данные: фамилию, имя, отчество, адрес.
- Персональные данные обрабатываются автоматизированным и без использования средств автоматизации способами. Общество не принимает, не снимает и не хранит копии личных документов субъекта персональных данных. Документы, содержащие персональные данные субъекта, хранятся в Обществе в течение нормативного срока хранения документов, определенного применимыми нормативными актами.
- После истечения срока нормативного хранения документов, которые содержат персональные данные субъекта персональных данных – клиента Общества, документы подлежат уничтожению. Для этого Общество создает экспертную комиссию и проводит экспертизу ценности документов. В ходе проведения экспертизы комиссия отбирает документы с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению документов, не подлежащих хранению. После чего документы измельчаются в шредере. Персональные данные субъекта персональных данных – клиента Общества в электронном виде стираются с информационных носителей, либо физически уничтожаются сами носители, на которых хранится информация.
Обработка персональных данных
- Обработка персональных данных субъектов персональных данных Общества осуществляется с целью обеспечения соблюдения законов и иных нормативных правовых актов РФ, обучения субъектов персональных данных-работников Общества, обеспечения личной безопасности субъектов персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Общества.
- Обработка персональных данных осуществляется Обществом с согласия субъектов персональных данных, как с использованием средств автоматизации, так и без использования таких средств.
- Общество не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных действующим законодательством РФ в области защиты персональных данных.
- По мотивированному запросу уполномоченного органа и исключительно в рамках выполнения действующего законодательства персональные данные субъекта без его согласия могут быть переданы:
- в судебные органы в связи с осуществлением правосудия;
- органы федеральной службы безопасности;
- в органы прокуратуры;
- в органы полиции;
- в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
- В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.
- В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в действующем законодательстве.
- Правовое регулирование порядка и сроков хранения документов, содержащих персональные данные субъектов персональных данных, осуществляется на основе «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденного Приказом Минкультуры России от 25.08.2010 г. № 558.
- Уничтожение документов, содержащих персональные данные, производится способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста.
Конфиденциальность персональных данных
- Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, выполнения положений договора гражданско-правового характера, стороной которого является субъект персональных данных, и в связи с оказанием Обществом услуг, является конфиденциальной информацией и охраняется действующим законодательством РФ.
- Лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области защиты персональных данных.
- Лица, получившие доступ к обрабатываемым персональным данным, не имеют права сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия такого субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством РФ.
- Лица, получившие доступ к персональным данным, обязуются не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
Права субъектов персональных данных
- Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Обществом;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Обществом способы обработки персональных данных;
- наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Общества или на основании федерального закона РФ;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом РФ;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами РФ.
- Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Если субъект персональных данных считает, что Общества осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.
- Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- Иные права, определенные главой 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Меры по обеспечению безопасности и защиты персональных данных при их обработке
- Применяются предусмотренные соответствующими нормативными правовыми актами правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Общества.
- При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- Производится ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных.
- Общество определяет тип угроз безопасности и уровень защищенности персональных данных, которые хранятся в информационных системах, и предпринимает меры по защите информации.
- Угрозы защищенности персональных данных
- Угрозы 1-го типа. В системном программном обеспечении информационной системы есть функциональные возможности программного обеспечения, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель. И это потенциально может привести к неправомерному использованию персональных данных.
- Угрозы 2-го типа. Потенциальные проблемы с прикладным программным обеспечением — внешними программами, которые установлены на компьютерах работников.
- Угрозы 3-го типа. Потенциальной опасности ни от системного, ни от программного обеспечения нет.
- Уровни защищенности персональных данных
- 4-й уровень защищенности. Если при 3-м типе угрозы Общество обрабатывает только общие персональные данные работников или менее чем 100 тысяч физических лиц. При 4-м уровне защищенности персональных данных Общество:
- обеспечивает режим безопасности помещений, в которых размещаете информационную систему;
- обеспечивает сохранность носителей информации;
- утверждает перечень работников, допущенных до персональных данных;
- использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.
- 3-й уровень защищенности. Если при 2-м типе угрозы Общество обрабатывает общие персональные данные работников или менее чем 100 тысяч физических лиц или при 3-м типе угрозы Общество обрабатывает специальные категории персональных данных работников или менее чем 100 тысяч физических лиц или при 3-м типе угрозы Общество обрабатывает биометрические персональные данные или при 3-м типе угрозы Общество обрабатывает общие персональные данные более чем 100 тысяч физических лиц. При 3-м уровне защищенности персональных данных Общество:
- обеспечивает режим безопасности помещений, в которых размещаете информационную систему;
- обеспечивает сохранность носителей информации;
- утверждает перечень работников, допущенных до персональных данных;
- использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.
- назначает ответственного за обеспечение безопасности персональных данных в информационной системе.
- 2-й уровень защищенности. Если тип угрозы 2-й и Общество обрабатывает специальные категории персональных данных работников вне зависимости от их количества или специальные категории персональных данных менее чем 100 тысяч физических лиц или любые другие категории персональных данных более чем 100 тысяч физических лиц или при 3-м типе угрозы Общество обрабатывает специальные категории данных более чем 100 тысяч физических лиц. При 2-м уровне защищенности персональных данных Общество:
- обеспечивает режим безопасности помещений, в которых размещаете информационную систему;
- обеспечивает сохранность носителей информации;
- утверждает перечень работников, допущенных до персональных данных;
- использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.
- назначает ответственного за обеспечение безопасности персональных данных в информационной системе.
- ограничивает доступ к электронному журналу сообщений, за исключением работников, которым такие сведения необходимы для работы.
- 1-й уровень защищенности. Если Общество отнесет информационную систему к 1-му типу угрозы или если тип угрозы 2-й, но Общество обрабатывает специальные категории персональных данных более 100 тысяч физических лиц без учета работников. При 1-м уровне защищенности персональных данных Общество:
- обеспечивает режим безопасности помещений, в которых размещаете информационную систему;
- обеспечивает сохранность носителей информации;
- утверждает перечень работников, допущенных до персональных данных;
- использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.
- назначает ответственного за обеспечение безопасности персональных данных в информационной системе.
- ограничивает доступ к электронному журналу сообщений, за исключением работников, которым такие сведения необходимы для работы.
- обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий работников по допуску к персональным данным в системе;
- создает отдел, ответственный за безопасность персональных данных в системе, либо возлагает такую обязанность на один из существующих отделов Общества.
- В целях защиты персональных данных на бумажных носителях Общество:
- приказом назначает ответственного за обработку персональных данных;
- ограничивает допуск в помещения, где хранятся документы, которые содержат персональные данные работников;
- хранит документы, содержащие персональные данные работников в шкафах, запирающихся на ключ;
- хранит трудовые книжки работников в сейфе в отделе кадров.
- В целях обеспечения конфиденциальности документы, содержащие персональные данные работников, оформляются, ведутся и хранятся только работниками отдела кадров, бухгалтерии и службы охраны труда Общества.
- Работники отдела кадров, бухгалтерии и службы охраны труда Общества, допущенные к персональным данным работников, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных работников не допускаются.
- Допуск к документам, содержащим персональные данные работников, внутри организации осуществляется на основании Регламента допуска работников к обработке персональных данных.
- Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством Российской Федерации, допускается исключительно с согласия работника на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.
- Передача информации, содержащей сведения о персональных данных работников, по телефону, в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
- 4-й уровень защищенности. Если при 3-м типе угрозы Общество обрабатывает только общие персональные данные работников или менее чем 100 тысяч физических лиц. При 4-м уровне защищенности персональных данных Общество:
Заключительные положения
- Общество несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.
- Для обеспечения неограниченного доступа к Политике Общества в отношении обработки персональных данных и сведениям о реализованных мерах по защите персональных данных текст настоящей Политики опубликован на официальном сайте Общества https://river-travel.ru/policy/
Порядок и условия обработки персональных данных, опубликованных на настоящем Интернет-сайте, разрешенных субъектом персональных данных для распространения (ст. 10.1. ФЗ «О Персональных данных» № 152-ФЗ)
На данном Интернет-сайте могут быть опубликованы персональные данные, в отношении которых ООО «Ривер Тревел» получено согласие субъекта персональных данных на распространение. К таким данным относятся, например: фамилия, имя, отчество субъекта персональных данных, фотография, профессия, образование, место работы, должность, номер телефона, адрес электронной почты и др.
Настоящим уведомляем, что дальнейшее распространение таких персональных данных допускается исключительно с письменного согласия соответствующего субъекта персональных данных, предоставленного конкретному оператору персональных данных, намеревающемуся осуществить такое распространение.