1. Введение
1.1. Политика обработки персональных данных (далее — Политика) подготовлена в соответствии с требованиями Конституции РФ, Гражданского кодекса РФ, Трудового кодекса РФ, Федерального закона № 152-ФЗ «О персональных данных», Федерального закона № 132 «Об основах туристской деятельности в РФ», подзаконных актов и т.д. и определяет позицию Общества с ограниченной ответственностью «ИНТУРИСТ» (далее — Общество) в области обработки и защиты персональных данных. Данная Политика распространяется на персональные данные, получаемые Обществом, через офисы продаж, через партнёров, а также через туристические агентства, либо получаемые через веб-сайты: https://intourist.ru, https://intourist.com и исполняется всеми работниками Общества.
2. Определения
2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (Субъекту Персональных данных). К такой информации, в частности, можно отнести: ФИО, год, месяц, дату и место рождения, адрес, данные документов, удостоверяющих личность, сведения о семейном, имущественном положении, сведения об образовании, профессии, доходах, а также другую информацию.
2.2. Субъект Персональных данных — любое физическое лицо, которому принадлежат Персональные данные и которого по ним можно определить.
2.3. Обработка Персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
2.4. Трансграничная передача Персональных данных — передача Персональных данных на территорию иностранных государств органам власти иностранного государства, иным иностранным физическим или юридическим лицам.
2.5. Информационная система Персональных данных —это совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Правовые основания и цели Обработки Персональных данных
3.1. Общество осуществляет Обработку Персональных данных в соответствии с требованиями законодательства Российской Федерации.
3.2 Общество осуществляет Обработку Персональных данных субъектов в следующих целях:
3.2.1. Физических лиц, с которыми Обществом заключаются договоры гражданско-правового характера, в целях заключения и исполнения договора гражданско-правового характера, одной из сторон которого является физическое лицо и рассмотрения возможностей дальнейшего сотрудничества.
3.2.2. Клиентов Общества (лиц, пользующихся услугами Общества, и чьи Персональные данные обрабатываются Обществом по договору о реализации туристического продукта и/или дополнительных услуг) в целях заключения и исполнения обязательств по договорам о реализации туристического продукта и/или дополнительных услуг; предоставления информации по услугам, проходящим акциям и специальным предложениям; информирования о статусе услуги.
3.2.3. Представителей юридических лиц — контрагентов Общества в целях ведения переговоров, заключения и исполнения договоров, по которым предоставляются Персональные данные субъектов для целей исполнения договора по различным направлениям хозяйственной деятельности Общества.
3.2.4. Работников Общества и членов их семьи (кандидатов на вакантные должности) в целях соблюдения трудового, налогового и пенсионного законодательства Российской Федерации (в том числе для расчёта и начисления заработной платы; организации деловых поездок (командировок) работников; оформления доверенностей; обеспечения личной безопасности работников; контроля количества и качества выполняемой работы; обеспечения сохранности имущества; предоставления различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, а также Уставом и локальными актами Общества).
4. Принципы и правила Обработки Персональных данных
4.1. При Обработке Персональных данных Общество придерживается следующих принципов:
— Обработка Персональных данных осуществляется на законной и справедливой основе и ограничивается только достижением конкретных, заранее определённых и законных целей;
— данные не раскрываются третьим лицам и не распространяются без согласия Субъекта Персональных данных (если иное не предусмотрено законодательством Российской Федерации);
— уничтожение либо обезличивание Персональных данных по достижении целей обработки или в случае утраты необходимости в достижении целей, если иное не предусмотрено договором или иным соглашением между Обществом и субъектом Персональных данных или если Общество не вправе осуществлять Обработку Персональных данных без согласия Субъекта Персональных данных на основаниях, предусмотренных действующим законодательством.
4.2. Общество не осуществляет Обработку Персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах. Общество обрабатывает Персональные данные о состоянии здоровья только в объеме, необходимом в целях соблюдения действующего законодательства.
4.3. В случаях, установленных действующим законодательством, Общество вправе осуществлять передачу Персональных данных с соблюдением требований законодательства Российской Федерации в части обработки и защиты Персональных данных.
4.4. Общество вправе поручить Обработку Персональных данных Субъектов Персональных данных третьим лицам с согласия Субъекта Персональных данных, на основании заключаемого с этими лицами договора.
4.5. Лица, осуществляющие Обработку Персональных данных на основании договора, заключаемого Обществом (поручения оператора), обязуются соблюдать принципы и правила обработки и защиты Персональных данных, предусмотренные действующим законодательством. Для каждого третьего лица в договоре определяются перечень действий (операций) с Персональными данными, которые будут совершаться третьим лицом, осуществляющим Обработку Персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность Персональных данных при их обработке, указываются требования к защите обрабатываемых Персональных данных в соответствии с действующим законодательством.
5. Трансграничная передача Персональных данных
5.1. Общество в ходе своей деятельности в соответствии с требованиями действующего законодательства осуществляет Трансграничную передачу Персональных данных. Обеспечение защиты прав Субъектов Персональных данных и их безопасности при Трансграничной передаче Персональных данных реализуется в соответствии с требованиями действующего законодательства и действующими международными договорами (соглашениями) Российской Федерации.
5.2. Трансграничная передача Персональных данных Обществом на территории иностранных государств, не обеспечивающих защиты прав Субъектов Персональных данных, может осуществляться только в случаях, предусмотренных действующим законодательством.
6. Способы Обработки Персональных данных
6.1. В целях исполнения требований действующего законодательства и своих договорных обязательств Обработка Персональных данных в Обществе осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
7. Сроки хранения Персональных данных
7.1. Сроки обработки (хранения) Персональных данных определяются исходя из целей Обработки Персональных данных, в соответствии со сроком действия договора с Субъектом Персональных данных и требованиями действующего законодательства.
8. Обязанности Общества
8.1. Предоставить Субъекту Персональных данных по его просьбе информацию, предусмотренную действующим законодательством, с учётом ограничений, установленных действующим законодательством.
8.2. Разъяснить Субъекту Персональных данных юридические последствия отказа предоставить Персональные данные, если предоставление Персональных данных является обязательным в соответствии с действующим законодательством.
8.3. До начала Обработки Персональных данных (если Персональные данные получены не от Субъекта Персональных данных) предоставить Субъекту Персональных данных следующую информацию (за исключением случаев, предусмотренных действующим законодательством):
— наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
— цель Обработки Персональных данных и её правовое основание;
— предполагаемые пользователи Персональных данных;
— установленные действующим законодательством права Субъектов Персональных данных;
— источник получения Персональных данных.
8.4. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных.
8.5. Опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет документ, определяющий политику в отношении Обработки Персональных данных, и сведения о реализуемых требованиях к защите Персональных данных.
8.6. Предоставить по запросу Субъектам Персональных данных и/или их представителям безвозмездно возможность ознакомления с Персональными данными.
8.7. Осуществить блокирование неправомерно обрабатываемых Персональных данных, относящихся к Субъекту Персональных данных, или обеспечить их блокирование (если Обработка Персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента обращения или получения соответствующего запроса на период проверки.
8.8. Уточнить Персональные данные либо обеспечить их уточнение (если Обработка Персональных данных осуществляется другим лицом, действующим по поручению Общества) со дня представления сведений и снять блокирование Персональных данных в случае подтверждения факта неточности Персональных данных на основании сведений, представленных Субъектом Персональных данных или его представителем.
8.9. Прекратить неправомерную Обработку Персональных данных или обеспечить прекращение неправомерной Обработки Персональных данных лицом, действующим по поручению Общества, в случае выявления неправомерной Обработки Персональных данных, осуществляемой Обществом или лицом, действующим на основании договора с Обществом.
8.10. Прекратить Обработку Персональных данных или обеспечить её прекращение (если Обработка Персональных данных осуществляется другим лицом, действующим по договору с Обществом) и уничтожить Персональных данных или обеспечить их уничтожение (если Обработка Персональных данных осуществляется другим лицом, действующим по договору с Обществом) в случае достижения цели Обработки Персональных данных.
8.11. Прекратить Обработку Персональных данных или обеспечить её прекращение и уничтожить Персональных данных или обеспечить их уничтожение в случае отзыва Субъектом Персональных данных согласия на Обработку Персональных данных, если Общество не вправе осуществлять Обработку Персональных данных без согласия Субъекта Персональных данных.
9. Права Субъекта Персональных данных
9.1. Получать от Общества:
— подтверждение факта Обработки Персональных данных и сведения о наличии Персональных данных, относящихся к соответствующему Субъекту Персональных данных;
— сведения о правовых основаниях и целях Обработки Персональных данных, о применяемых Обществом способах Обработки Персональных данных;
— о наименовании и местонахождении Общества, о лицах (за исключением работников Общества), которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Обществом или на основании действующего законодательство (в том числе наименование (фамилию, имя, отчество) и адрес лица, осуществляющего Обработку Персональным данным), о сроках Обработки Персональных данных, в том числе о сроках их хранения;
— перечень обрабатываемых Персональных данных, относящихся к Субъекту Персональных данных, и информацию об источнике их получения, если иной порядок предоставления таких Персональных данных не предусмотрен действующим законодательством;
— информацию об осуществляемой или о предполагаемой Трансграничной передаче Персональных данных;
— иные сведения, предусмотренные действующим законодательством.
9.2. Требовать от Общества уточнения своих Персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
9.3. Отозвать своё согласие на Обработку Персональных данных.
9.4. Требовать устранения неправомерных действий Общества в отношении его Персональных данных.
9.5. Обжаловать действия или бездействие Общества в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если Субъект Персональных данных считает, что Общество осуществляет обработку его Персональных данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы.
10. Сведения о реализуемых требованиях к защите Персональных данных
10.1. Общество при обработке Персональных данных принимает необходимые правовые, организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных.
10.2. К мерам защиты Персональных данных относятся:
10.2.1. Назначение лица, ответственного за организацию Обработки Персональных данных.
10.2.2. Разработка и утверждение локальных актов по вопросам обработки и защиты Персональных данных.
10.2.3. Применение правовых, организационных и технических мер по обеспечению безопасности Персональных данных.
10.2.4. Определение угроз безопасности Персональных данных при их обработке в Информационных системах Персональных данных.
10.2.5. Применение организационных и технических мер по обеспечению безопасности Персональных данных при их обработке в Информационных системах Персональных данных, необходимых для выполнения требований к защите Персональных данных, исполнение которых обеспечивает уровни защищённости Персональных данных в соответствии с действующим законодательством.
10.2.6. Оценка эффективности принимаемых мер по обеспечению безопасности защиты Персональных данных до ввода в эксплуатацию Информационной системы Персональных данных.
10.2.7. Учёт машинных носителей Персональных данных.
10.2.8. Обнаружение фактов несанкционированного доступа к Персональным данным и принятие мер по недопущению подобных инцидентов в будущем.
10.2.9. Восстановление Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
10.2.10. Установление правил доступа к Персональным данным, обрабатываемым в Информационной системе Персональных данных, а также обеспечение регистрации и учёта всех действий, совершаемых с Персональным данным в Информационной системе Персональных данных.
10.2.11. Контроль за принимаемыми мерами по обеспечению безопасности Персональных данных и уровнем защищённости Персональных данных, обрабатываемых в Информационных системах Персональных данных.
10.2.12. Оценка вреда, который может быть причинен Субъектам Персональных данных в случае нарушения требований действующего законодательства, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством.
10.2.13. Соблюдение условий, исключающих несанкционированный доступ к материальным носителям Персональных данных и обеспечивающих сохранность Персональных данных.
10.2.14. Ознакомление работников Общества, непосредственно осуществляющих обработку Персональных данных, с положениями действующего законодательства о Персональных данных, в том числе с требованиями к защите Персональных данных, локальными актами по вопросам обработки и защиты Персональных данных, и обучение работников Общества.
11. Обработка Персональных данных, полученных Обществом через веб-сайты
11.1. Общество обрабатывает и обеспечивает безопасность и конфиденциальность Персональных данных, получаемые через веб-сайты: https://intourist.ru, https://intourist.com.
11.2. Персональные данные (в том числе фамилия, имя, дата рождения, паспортные данные, должность, контактный телефон, адрес электронной почты, адрес местожительства и др.) предоставляются Субъектами Персональных данных путём заполнения соответствующих форм на веб-сайтах.
11.3. Общество может поручать Обработку Персональных данных, получаемых через веб-сайты, третьим лицам и (или) передаваться третьим лицам в качестве ответа на правомерные запросы государственных органов в соответствии с действующим законодательством, решениями суда и т.д. Персональные данные не могут передаваться третьим лицам для маркетинговых, коммерческих и иных аналогичных целей, за исключением случаев получения предварительного согласия Субъекта Персональных данных.
11.4. Субъект Персональных данных вправе в любое время отозвать своё согласие на обработку Персональных данных, направив письменное заявление по адресу: 115162,
г. Москва, ул. Шаболовка, 31Г. После получения заявления Обработка Персональных данных будет прекращена, а Персональные данные будут удалены, за исключением случаев, когда Обработка может быть продолжена в соответствии с требованиями действующего законодательства или договора.
12. Заключительные положения
12.1. Политика является общедоступной размещается на официальном веб-сайты Общества в информационно-телекоммуникационной сети Интернет https://intourist.ru, https://intourist.com.
12.2. В случае нарушений положений Политики Общество несут ответственность в соответствии с действующим законодательством.
12.3. Контроль исполнения положений Политики осуществляется лицом, ответственным за организацию обработки Персональных данных Обществом.
