Турагентство "ДежаВю" - Положение об обработке персональных данных

Положение об обработке персональных данных

Политика в области обработки и защиты персональных данных

Назначением Политики Агентства ДежаВю ИП Трефилова Н.Б. (далее – Политика) в области обработки и защиты персональных данных своих работников (далее – Работники) и потребителей̆ туристских услуг (далее – Клиенты) является защита прав субъектов персональных данных при их обработке и распространении.
Обработка и защита персональных данных в Агентстве ДежаВю ИП Трефилова Н.Б. (далее по тексту – Компания) осуществляется в соответствии с федеральным законодательством – нормативными правовыми актами в области персональных данных в соответствии с Гражданским Кодексом РФ, Федеральным законом "Об основах туристской деятельности в Российской Федерации" N 132-ФЗ, Налоговым кодексом и Трудовым кодексом
Основные понятия, используемые в Политике Агентства ДежаВю ИП Трефилова Н.Б. в области обработки и защиты персональных данных:

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) – государственный̆ орган, муниципальный̆ орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных – любое действие (операция) или совокупность действий̆ (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной̆ техники;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной̆ системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной̆ информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Обработка и защита персональных данных в Компании осуществляется на основании разработанных внутренних нормативных документов, в том числе Правил обработки персональных данных в Агентстве ДежаВю ИП Трефилова Н.Б..
Степень возможного вреда субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» в Компании – НИЗКАЯ, а степень защиты прав и свобод Работников и Клиентов при обработке их персональных данных, в том числе прав на неприкосновенность частной̆ жизни, личную и семейную тайну – ДОСТАТОЧНАЯ, в связи с тем, что в Агентстве ДежаВю ИП Трефилова Н.Б. НЕ осуществляются следующие действия:

обработка сведений, которые характеризуют физические и биологические особенности человека;

обработка персональных данных, касающихся расовой̆ и национальной̆ принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной̆ жизни, сведений о судимости;

обработка персональных данных несовершеннолетних для исполнения договора, стороной̆ которого либо выгодоприобретателем или поручителем, по которому является несовершеннолетний;

обезличивание персональных данных, в том числе проведения оценочных (скоринговых) исследований;

поручение иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской̆ Федерации;

сбор персональных данных с использованием баз данных, находящихся за пределами Российской̆ Федерации;

распространение персональных данных на официальном сайте в информационно-телекоммуникационной сети "Интернет" Компании;

предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой̆ обработки персональных данных;

обработка персональных данных в дополнительных целях, отличных от первоначальной̆ цели сбора;

продвижение своих услуг путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной̆ оператор персональных данных;

получение согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети «Интернет» Компании;

обработка персональных данных, предполагающей̆ получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой̆;

ведение общедоступных источников персональных данных, формируемых в соответствии со ст. 8 Федерального закона «О персональных данных».

Агентство ДежаВю ИП Трефилова Н.Б. не осуществляет трансграничную передачу персональных данных.

В Компании в качестве ответственного за обработку персональных данных назначен штатный̆ сотрудник организации.

В Компании запрещена обработка персональных данных в дополнительных целях, отличных от первоначальной̆ цели сбора.

В Компании при ведении своего официального сайта (https://dejavunsk.ru ) не используются интернет-сервисы метрических программ (например, Яндекс. Метрика, Google. Analytics), использующих технологии «cookies», то есть Компания не занимается аналитикой пользовательской активности.

Согласно Акта классификации информационных систем обработки персональных данных и уровня их защищенности в Компании установлено, что информационные системы Компании являются информационными системами, обрабатывающими персональные данные работников Компании и данные субъектов персональных данных, не являющихся работниками Компании (Клиенты), менее чем 100000 субъектов персональных данных, для которых актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и программном обеспечении, используемом в информационных системах. Защищенность персональных данных при их обработке в информационных системах обеспечивается 4-ым уровнем защищенности.
Целями обработки персональных данных в Компании является выполнение задач Компании Агентство ДежаВю ИП Трефилова Н.Б., а именно:

обеспечение защиты прав и свобод Работников и Клиентов при обработке их персональных данных, в том числе прав на неприкосновенность частной̆ жизни, личную и семейную тайну;

обеспечение соблюдения трудового законодательства;

ведение кадрового и бухгалтерского учета;

обеспечение соблюдения налогового законодательства РФ;

обеспечение соблюдения пенсионного законодательства РФ;

оказание услуг или выполнение работ по договорам с клиентами (контрагентами).

В целях обеспечения защиты прав и свобод Работников и Клиентов при обработке их персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну в Компании на основании Федерального закона от 27.07.2006 No 152-ФЗ персональные данные можно получить у субъекта лишь вместе с письменным согласием субъекта на обработку его персональных данных или без такового, в предусмотренных законодательством РФ случаях, а при распространении персональных данных Работников в информационно-коммуникационной сети «Интернет» на официальном сайте Компании – согласия на распространение персональных данных на основе приказа Роскомнадзора от 24.02.2021г. No 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

Оба согласия (на обработку персональных данных и на распространение персональных данных) предоставляются субъектами в адрес Компании в письменной форме.

Персональными данными Работников при обработке персональных данных в целях обеспечения соблюдения трудового законодательства являются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; профессия. Действиями с персональными данными являются: сбор; запись; хранение; извлечение; использование; удаление; уничтожение.

Персональными данными Работников (родственников работников, уволенных работников) при обработке персональных данных в целях ведения кадрового и бухгалтерского учета являются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; номер лицевого счета; профессия; отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; номер банковской карточки. Действиями с персональными данными являются: сбор; запись; систематизация; накопление; хранение; извлечение; использование; удаление; уничтожение.

Персональными данными Работников при обработке персональных данных в целях обеспечения соблюдения налогового законодательства РФ являются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес места жительства; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; должность. Действиями с персональными данными являются: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение.

Персональными данными Работников при обработке персональных данных в целях обеспечения соблюдения пенсионного законодательства РФ являются: фамилия, имя, отчество; дата рождения; место рождения; доходы; пол; адрес места жительства; СНИЛС; ИНН; гражданство; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации). Действиями с персональными данными являются: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

Персональными данными Контрагентов, представители контрагентов, клиентов, а так же посетители сайта https://dejavunsk.ru в целях оказания услуг или выполнение работ по договорам с клиентами (контрагентами) являются: фамилия, имя, отчество; пол; дата рождения, гражданство, адрес места жительства; номер телефона; адрес электронной почты, данные документа, удостоверяющего личность; номер расчетного счета; должность. Действиями с персональными данными являются: сбор; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; уничтожение.

Во всех случаях способом обработки персональных данных является смешанная обработке, без передачи по внутренней сети юридического лица, с передачей по сети Интернет.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных в Компании;

правовые основания и цели обработки персональных данных в Компании;

цели и применяемые Компанией способы обработки персональных данных;

наименование и место обработки персональных данных в Компании;

сведения о лицах (за исключением Работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией в лице директора Агентства ДежаВю ИП Трефилова Н.Б., или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27 июля 2006 г. No 152-ФЗ «О персональных данных»;

сроки обработки персональных данных, в том числе сроки их хранения;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании в лице директора Агентства ДежаВю ИП Трефилова Н.Б., если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные настоящим Федеральным законом от 27 июля 2006 г. No 152-ФЗ «О персональных данных» или другими федеральными законами.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Уполномоченные работники Компании обязуются прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 10 (десяти) дней с даты получения указанного отзыва, за исключением персональных данных, подлежащих хранению в Компании в целях соблюдения законодательства Российской Федерации.

В Компании выполняются меры, направленные на выполнение требований ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных»:

разработаны локальные акты, по вопросам обработки персональных данных;

лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

составлен перечень лиц, имеющих доступ к персональным данным в Компании. Лицами, имеющими доступ к персональным данным в Компании, подписаны и исполняются обязательства о неразглашении персональных данных;

назначен ответственный за организацию обработки персональных данных;

на сайте Агентство ДежаВю ИП Трефилова Н.Б. (https://dejavunsk.ru ) размещен документ, определяющий политику в отношении обработкт персональных данных, и сведения о реализуемых требованиях к защите персональных, данных;

обеспечивается учет машинных носителей персональных данных;

обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним:

разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;

осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ No 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам;

исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными;

обеспечена сохранность носителей персональных данных и средств защиты информации.

Для обеспечения безопасности персональных данных применяются программно-технические средства, в том числе электронная цифровая подпись, антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных.

В соответствии с постановлением Правительства от 01.11.2012 No 1119 для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; назначено должностное лицо, ответственный за обеспечение безопасности персональных данных в информационной системе.
В соответствии с постановлением Правительства от 15.09.2008 No 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц, осуществляющих обработку персональных данных.
Срок хранения персональных данных Клиентов заканчивается с достижением целей их обработки, если иное не установлено законодательством или договором с субъектом персональных данных.

При определении сроков хранения документов Работников учитывается приказ Росархива от 20.12.2019 No236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».

Срок хранения договоров с Контрагентами составляет срок исковой давности по имущественным спорам.

Уничтожение персональных данных в Компании осуществляется на основании приказа Роскомнадзора от 28.10.2022г. No 179 "Об утверждении Требований к подтверждению уничтожения персональных данных", то есть посредством составления актов уничтожения персональных данных. Уничтожение персональных данных по окончании срока их обработки на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации. Уничтожение персональных данных по окончании срока их обработки на бумажных носителях производится путем физического уничтожения (сжигание).