Положение об обработке персональных данных

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ ООО ГРАНТУРИЗМО

 

ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1.Настоящим Положением об обработке и защите персональных данных Клиентов (далее - Положение) устанавливается порядок обработки персональных данных Клиентов, для которых ООО ГРАНТУРИЗМО (далее по тексту - Турагентство осуществляет бронирование и реализацию туристского продукта, сформированного туроператором (туроператор - юридическое лицо, состоящее в Едином федеральном реестре туроператоров, с которым Турагентство заключило письменный договор о реализации туристского продукта, и который формирует и предоставляет Турагентству туристский продукт, в интересах исполнения Турагентством обязательств по договору с Клиентом).

1.2. Цель данного Положения - обеспечение требований защиты прав Клиентов при обработке их персональных данных ООО ГРАНТУРИЗМО

1.3. Персональные данные не могут быть использованы Турагентством или его сотрудниками в целях причинения имущественного и морального вреда Клиентам, затруднения реализации их прав и свобод.

1.4. ООО ГРАНТУРИЗМО обязано осуществлять обработку персональных данных только на законной и справедливой основе. 

1.5. Обработка персональных данных Клиентов должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с Клиентами целей. Обработке подлежат только те персональные данные Клиентов, и только в том объеме, которые отвечают целям их обработки, определенным в договоре с Клиентами или законодательством Российской Федерации. 

1.6. Обрабатываемые персональные данные Клиентов подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации. 

1.7. Настоящее Положение является обязательным для исполнения всеми сотрудниками ООО ГРАНТУРИЗМО, имеющими доступ к персональным данным Клиентов. 

 

ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА 

 

2.1. Под Клиентами Турагентства в интересах настоящего Положения понимаются: физические лица (субъекты персональных данных), заключившие с Турагентством договор на реализацию туристского продукта, формируемого туроператором. В данных правоотношениях с Клиентами Турагентства по терминологии Федерального закона № 152-ФЗ от 27 июля 2006 года "О персональных данных" (далее по тексту - Закон "О персональных данных") выступает в качестве Оператора персональных данных; физические лица (субъекты персональных данных), от имени которых заказчик (который приобретал туристский продукт в том числе для лиц, интересы которых он представляет, при условии, что заказчик предоставил Оператору - Турагентству основания правомерности его действий в чужом интересе) туристского продукта заключил с Турагентством договор на реализацию туристского продукта, который формируется туроператором. В данных правоотношениях с Клиентами Турагентства по терминологии Закона "О персональных данных" выступает в качестве Оператора персональных данных. В правоотношениях, указанных в п.2.1. ст.2. настоящего Положения туроператор по терминологии Закона "О персональных данных" выступает в качестве третьего лица, которому Оператор персональных данных - Турагентва на договорной основе поручил обработку персональных данных Клиентов с их согласия и на основании договора, заключенного между Турагентством и Клиентом или заказчиком. 

2.2. Под персональными данными Клиента понимается любая информация о субъекте персональных данных, необходимая Турагентству в связи с исполнением им договорных обязательств перед Клиентом. 

2.3.Состав персональных данных Клиента, обработка которых осуществляется Турагентством, включает в себя в основном следующие документы и сведения: фамилия, имя, отчество; фамилия при рождении (либо другие фамилии, если были); фамилия, имя в латинской транскрипции, как они указаны в заграничном паспорте; год, месяц и число рождения; место рождения; гражданство при рождении; гражданство в настоящее время; пол; семейное положение; фамилия, имя отца; фамилия, имя матери; данные об общегражданском паспорте РФ (серия и номер общероссийского паспорта, дата его выдачи, наименование органа, выдавшего паспорт, срок действия общероссийского паспорта либо свидетельства о рождении); данные о заграничном паспорте РФ (серия и номер заграничного паспорта, дата его выдачи, наименование органа, выдавшего паспорт, срок действия); свидетельства о рождении (для несовершеннолетних граждан); адрес регистрации; адрес электронной почты; домашний и контактный (мобильный) телефоны; данные о работодателе и работе (наименование, адрес и телефон работодателя, должность в настоящее время, размер заработной платы); данные об учебном заведении - для школьников и студентов (наименование, адрес и телефон учебного заведения); изображение (фотография) Клиента(обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, с целью исполнению договорного поручения Клиента по получению для него визы для въезда в страну планируемого посещения (см. под п.5., п.1.; п.4. ст.6. Федерального закона "О персональных данных"); сведения о получении пенсии и о том, кто оплачивает поездку пенсионеру (для пенсионеров); даты прошлых выездов в страну планируемого посещения или в группу определенных стран; сведения о прошлых депортациях из страны планируемого посещения либо иных нарушений законодательства иностранных государств; копии претензий и исковых заявлений, относящиеся к Клиентам; копии ответов на претензии и копии возражений на исковые заявления, относящиеся к Клиентам; иные сведения о Клиенте, которые он сообщает о себе в связи с особенностями планируемого им путешествия, или в связи с требованиями, которые предъявляются к информации о Клиенте консульскими службами посольств стран планируемого посещения для рассмотрения вопроса о выдаче визы, либо страховыми компаниями в интересах заключения договора, выгодоприобретателем по которому является Клиент. 

2.4.Турагентство получает персональные данные Клиента:

- лично от субъекта персональных данных - Клиента, на основании заключения с Клиентом письменного договора о реализации туристского продукта; от заказчика туристского продукта (субъекта персональных данных), выступающего также на законном основании представителем других субъектов персональных данных - Клиентов, указанных в договоре о реализации туристского продукта, и являющихся выгодоприобретателями по договору между Турагентством и заказчиком;

- через сайт anextour54.ru

 

КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ 

 

3.1. Документы и сведения, перечисленные в статье 2 Положения, и содержащие информацию о персональных данных Клиентов, являются конфиденциальными. Турагентство обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия Клиентов, либо наличия иного законного основания. 

3.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации. 

3.3. Если Турагентство с согласия Клиента поручает обработку персональных данных Клиента третьему лицу, то Турагентство обязано на договорной основе обременить это третье лицо обязанностью соблюдения конфиденциальности персональных данных Клиента. 

 

ПРАВА И ОБЯЗАННОСТИ КЛИЕНТА 

 

4.1. Клиент обязан передавать Турагентству достаточные, достоверные, документированные персональные данные, полный состав которых установлен в договорах на реализацию туристского продукта, заключенных между Клиентом и Турагентством. 

4.2. Клиент должен без неоправданной задержки сообщать Турагентству об изменении своих персональных данных. 

4.3. Клиент имеет право на получение сведений об туроператоре, о месте его нахождения, о наличии у Турагентства персональных данных, относящихся к Клиенту, а также на ознакомление с такими персональными данными. 

4.4. Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 

подтверждение факта обработки персональных данных Турагентством; 

правовые основания и цели обработки персональных данных; цели и применяемые Оператором способы обработки персональных данных; 

сроки обработки персональных данных, в том числе сроки их хранения; 

информацию об осуществленной или о предполагаемой трансграничной передаче данных; 

наименование третьего лица или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по договору с Турагентством; 

иные сведения, предусмотренные федеральными законами. 

4.5. Клиент вправе требовать от Турагентства уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 

4.6. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. 

4.7. Доступ к своим персональным данным предоставляется Клиенту или его законному представителю Турагентства при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством РФ. 

4.8. Согласие на обработку персональных данных может быть отозвано Клиентом. 

4.9. Если Клиент считает, что Турагентство осуществляет обработку его персональных данных с нарушением требований Закона "О персональных данных" или иным образом нарушает его права и свободы, Клиент вправе обжаловать действия или бездействие Турагентства в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. 

4.10. Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке. 

 

ОБЯЗАННОСТИ ТУРАГЕНТСТВА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 

 

5.1. Турагентство осуществляет обработку персональных данных Клиентов, указанных в п. 2.1. статьи 2 настоящего Положения, только по ниже следующим основаниям: 

обработка персональных данных Клиентов необходима для осуществления и выполнения возложенных Федеральным законом № 132-ФЗ от 24.11.1996 года "Об основах туристской деятельности в Российской Федерации" на ООО ГРАНТУРИЗМО как на турагенттство, функций, полномочий и обязанностей; 

обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем; 

обработка персональных данных Клиента необходима для осуществления прав и законных интересов Турагентства или иных третьих лиц при соблюдении условия, что при этом не нарушаются права и свободы Клиента; 

осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен самим Клиентом либо по его просьбе. 

5.2. Турагентство вправе поручить обработку персональных данных третьему лицу с согласия Клиента, на основании заключенного с этим третьим лицом договора. В этом случае Турагентство должно на договорной основе обязать третье лицо, осуществляющее обработку персональных данных по поручению Турагентства, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом "О персональных данных" и настоящим Положением. 

5.3. В договоре Турагентство с третьим лицом должны быть определены: 

перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных Клиента; 

цели обработки персональных данных Клиента; 

обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке; 

требования к защите обрабатываемых персональных данных в соответствии с Законом "О персональных данных". 

5.4. Если Турагентство поручает обработку персональных данных Клиента третьему лицу, то ответственность перед Клиентом за действия указанного лица несет непосредственно Турагентство. 

5.5. При определении объема и содержания персональных данных Клиента, подлежащих обработке, Турагентство обязан руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года "О персональных данных", Федеральным законом № 132-ФЗ от 24.11.1996 года "Об основах туристской деятельности в Российской Федерации", договорными обязательствами, взятыми на себя сторонами по договору между Клиентом - Турагентством. Турагентство получает персональные данные Клиентов только в объеме, необходимом для достижения целей, указанных в договоре с Клиентом. 

5.6. Заключая с Клиентом договор о реализации турпродукта Турагентство должно письменно уведомлять Клиента о передаче его персональных данных для обработки туроператору. (см.под п.1, п.4.ст.18. Закона "О персональных данных"; см. ст.ст.10., 10.1. ФЗ № 132-ФЗ от 24.11.1996 года "Об основах туристской деятельности в Российской Федерации"). 

5.7. Турагентство не имеет права получать и обрабатывать персональные данные Клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни. 

5.8. Турагентство не должен получать и обрабатывать персональные данные Клиента о его членстве в общественных объединениях или его профсоюзной деятельности, если только эти данные не связаны с задачами и требованиями Клиента по организации его путешествия. 

5.9. Турагентство получает по инициативе Клиента персональные данные Клиента о его членстве в общественных объединениях или его профсоюзной деятельности только на бумажных носителях, и ведет их обработку без использования средств автоматизации. 

5.10. Турагентство не должно запрашивать информацию о состоянии здоровья Клиента, за исключением тех сведений, которые относятся к вопросу организации безопасного отдыха для Клиента либо заключения от имени Клиента договоров страхования. 

5.11. Турагентство получает по инициативе Клиента персональные данные Клиента о состоянии его здоровья только на бумажных носителях, и ведет их обработку без использования средств автоматизации. 

5.12. Турагентство не имеет права собирать и обрабатывать биометрические персональные данные Клиентов. 

5.13. Турагентство получает от Клиента по его инициативе фотографии Клиента для получения въездных виз и ведет их обработку только на бумажных носителях без использования средств автоматизации. 

5.14. Фотографии, которые Турагентство получает от Клиента, не удовлетворяют требованиям ГОСТ РИСО/МЭК 19794-5-2006, и их следует считать не биометрическими персональными данными Клиента, а "Изображением гражданина". Обработка "Изображений гражданина" должна осуществляться согласно нормам статьи 152.1 ГК РФ. 

 

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ 

 

6.1. Защите подлежат следующие объекты персональные данные Клиентов, если только с них на законном основании не снят режим конфиденциальности: документы, содержащие персональные данные Клиента; бумажные носители, содержащие персональные данные Клиентов; информация, содержащая персональные данные Клиентов, размещенная на электронных носителях. 

6.2. Турагентство в интересах обеспечения выполнения обязанностей, возложенных на него Законом "О персональных данных" и другими нормативными актами, регламентирующими деятельность юридических лиц по обработке персональных данных, принимает меры, предусмотренные настоящим Положением, Положение об обработке и защите персональных данных Работников и Положением о мерах по организации защиты информационных систем персональных данных. 

6.3. Защита информационных систем ООО ГРАНТУРИЗМО в которых обрабатываются персональные данные Клиентов, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" 

 6.4. Доступ к персональным данным Клиента имеют сотрудники Турагентства, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей. 

6.5. Сотрудник Турагентства, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц

6.6.Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях. 

6.7. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Турагентства, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента. 

 

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ 

 

7.1. Обработка персональных данных Клиента осуществляется Турагентством исключительно для достижения целей, определенных письменными договорами между Клиентом - Турагентством, в частности для оказания услуг Клиенту по подбору, бронированию и предоставлению ему туристского продукта. 

7.2. Обработка персональных данных Турагентством в интересах Клиента заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов. 

7.3. Обработка персональных данных Клиентов ведется смешанным методом (в том числе автоматизированной) обработки. 

7.4. К обработке персональных данных Клиента могут иметь доступ только сотрудники Турагентства, допущенные к работе с персональными данными Клиента. 

7.5. Согласие на обработку персональных данных может быть отозвано Клиентом. В случае отзыва Клиентом согласия на обработку персональных данных Турагентство вправе продолжить обработку персональных данных без согласия Клиента при наличии следующих оснований: обработка персональных данных необходима для осуществления и выполнения возложенных на Турагентство Федеральным законом № 132-ФЗ от 24.11.1996 года "Об основах туристской деятельности в Российской Федерации" функций, полномочий и обязанностей; обработка персональных данных Клиента необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем; обработка персональных данных Клиента необходима для осуществления прав и законных интересов Турагентства или третьих лиц при условии, что при этом не нарушаются права и свободы Клиента. 

7.6. В случае отзыва Клиентом согласия на обработку его персональных данных, и если сохранение персональных данных более не требуется для целей обработки персональных данных Турагентство обязано прекратить их обработку и обеспечить прекращение такой обработки другим лицом, в частности Туроператором, действующим по поручению Турагентства, а также уничтожить персональные данные Клиента и обеспечить их уничтожение другим лицом, действующим по поручению Турагентства. 

7.7. Турагентство уничтожает персональные данные Клиента, и обеспечивает их уничтожение другими лицами, действующими по поручению Турагентства, в следующие сроки: хранящиеся на электронных носителях в течение тридцати дней со дня окончания установленного законодательством претензионного срока обращения Клиента с жалобой на качество предоставленных ему туристских услуг; хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока исковой давности по договору Клиент-Турагентство; хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока их хранения, установленного нормами законодательства РФ. 

 

ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ 

 

8.1. Передача персональных данных Клиента осуществляется Турагентством исключительно для достижения целей, определенных письменными договорами между Клиентом - Турагентством, в частности для оказания услуг Клиенту по подбору, бронированию и предоставлению ему туристского продукта. 

8.2. Передача персональных данных Клиента третьим лицам осуществляется Турагентством только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Клиента и безопасности персональных данных при их обработке. 

8.3. Турагентство в договоре с Клиентом обуславливает право третьих лиц, которым Турагентство передает персональные данные Клиента, осуществлять трансграничную передачу персональных данных Клиента на территории иностранных государств, которые он планирует посетить, в том числе и на территории государств, не обеспечивающих адекватную защиту персональных данных. 

 

ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ 

 

9.1. Персональные данные Клиентов могут храниться, как на бумажных носителях, так и в электронном виде. 

9.2. После достижения цели обработки персональных данных Турагентством обязан прекратить обработку персональных данных Клиентов и уничтожить их персональные данные. 

9.3. Обработка персональных данных, содержащихся на электронных носителях информации, прекращается, а сами персональные данные уничтожаются в течение тридцати дней со дня окончания установленного законодательством претензионного срока обращения Клиента с жалобой на качество предоставленных ему туристских услуг. 

 

ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТА 

 

10.1.Турагентство несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Клиента. Турагентство закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности. 

10.2. ООО ГРАНТУРИЗМО несет ответственность за соблюдение сотрудниками норм, регламентирующих получение, обработку и защиту персональных данных Клиента. 

10.3. Каждый сотрудник Турагентства, получающий для работы документ, содержащий персональные данные Клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации. 

10.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами. 

10.5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Клиентов Турагентство вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания. 

10.6. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Клиентов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.