- Обработка персональных данных заказчиков (туристов) – субъектов персональных данных
- Обработка персональных данных заказчиков (туристов) осуществляется Оператором исключительно для достижения целей, определенных письменными договорами о реализации туристского продукта, заключаемого между заказчиком (туристом) и Оператором (Турагентом или Туроператором), иных договоров, предусмотренных законодательством РФ.
- Обработка персональных данных Оператором в интересах заказчиков (туристов) заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных заказчиков (туристов).
- Обработка персональных данных заказчиков (туристов) ведется смешанным методом (в том числе автоматизированной) обработки.
- К обработке персональных данных заказчиков (туристов) могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными заказчиков (туристов).
- Согласие на обработку персональных данных может быть отозвано заказчиком (туристом). В случае отзыва заказчиком (туристом) согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия заказчиков (туристов) при наличии следующих оснований
- обработка персональных данных необходима для осуществления и выполнения возложенных на Оператора Федеральным законом №132-ФЗ «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 года функций, полномочий и обязанностей
- обработка персональных данных заказчиков (туристов) необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является заказчик (турист), а также для заключения договора по инициативе заказчика (туриста) или договора, по которому заказчик (турист) будет являться выгодоприобретателем или поручителем;
-обработка персональных данных заказчиков (туристов) необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы заказчиков (туристов).
- В случае отзыва заказчиком (туристом) согласия на обработку его персональных данных, Оператор обязан прекратить их обработку и обеспечить прекращение такой обработки другими лицами, в частности Туроператором или непосредственными исполнителями туристских услуг, действующим по поручению Оператора, а также уничтожить или обезличить персональные данные заказчика (туриста) и обеспечить их уничтожение или обезличивание другим лицом, действующим по поручению Оператора.
- Передача персональных данных заказчиков (туристов) – субъектов персональных данных
- Передача персональных данных заказчиков (туристов) осуществляется Оператором исключительно для достижения целей, определенных письменными договорами о реализации туристского продукта, заключаемого между заказчиком (туристом) и Оператором (Турагентом или Туроператором), иных договоров, предусмотренных законодательством РФ.
- Передача персональных данных заказчиков (туристов) третьим лицам осуществляется Оператором только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных заказчиков (туристов) и безопасности персональных данных при их обработке.
- Операторв договоре с заказчиком (туристом) обуславливает право третьих лиц, которым Оператор передает персональные данные заказчиков (туристов), осуществлять трансграничную передачу персональных данных заказчиков (туристов) на территории иностранных государств, которые он планирует посетить, в том числе и на территории государств, не обеспечивающих адекватную защиту персональных данных.
- Хранение и уничтожение персональных данных заказчиков (туристов) – субъектов персональных данных
- Персональные данные заказчиков (туристов) могут храниться, как на бумажных носителях, так и в электронном виде.
- Персональные данные заказчиков (туристов) хранятся:
- в подразделении Оператора, который принимает заявки заказчиков (туристов) на бронирование туристского продукта и осуществляет работу непосредственно с заказчиком (туристом);
-в бухгалтерии Оператора (при наличии соответствующего подразделения);
-в юридическом отделе Оператора (при наличии соответствующего подразделения).
- Персональные данные заказчиков (туристов) содержатся в следующих группах документов:
- письменные заявки (Листы бронирования) заказчиков (туристов) на бронирование туристского продукта;
- письменные договора с заказчиками (туристами) на реализацию им туристского продукта;
- приложения к письменным договорам с заказчиками (туристами) на реализацию им туристского продукта;
-письменные договора с заказчиками (туристами) об оказании услуг;
-бухгалтерские документы, которыми оформляются сделки между заказчиками (туристами) и Оператором, Турагентом и Туроператором, а также бухгалтерские документы, оформленные с непосредственными исполнителями услуг;
-письменные претензии заказчиков (туристов), направленные в адрес Оператора;
-письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по искам заказчиков (туристов) к Оператору или к иным лицам, стороной дела в которых является Оператор.
- Персональные данные заказчиков (туристов) на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных шкафах в закрывающихся помещениях.
- Ключи от помещений хранятся у сотрудников Оператора, допущенных к работе с персональными данными заказчиков (туристов).
- Персональные данные заказчиков (туристов) также хранятся в электронном виде: на машинных носителях, в электронных папках и файлах в ПК сотрудников Оператора, допущенных к работе с персональными данными заказчиков (туристов).
- После достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных заказчиков (туристов) и уничтожить их персональные данные.
- Оператор уничтожает персональные данные заказчиков (туристов), и обеспечивает их уничтожение другими лицами, действующими по поручению Оператора, в следующие сроки:
- хранящиеся на электронных носителях в течение трех дней со дня окончания установленного законодательством срока исковой давности по искам связанным с предоставлением услуг, входящих в состав туристского продукта;
- хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех дней со дня окончания срока исковой давности по договору заказчика (туриста), заключённому с Оператором;
- хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение трех дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
- Доступ к персональным данным заказчиков (туристов) – субъектов персональных данных
- Право доступа к персональным данным заказчиков (туристов) имеют:
-генеральный директор Оператора;
- сотрудники Оператор, допущенные к обработке персональных данных заказчиков (туристов) в соответствии с Перечнем сотрудников Оператор, имеющих доступ к персональным данным заказчиков (туристов);
- другие сотрудники Оператора при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения генерального директора;
- заказчик (турист), как субъект персональных данных, или его законный представитель.
- Перечень сотрудников Оператора, имеющих доступ к персональным данным заказчиков (туристов), определяется приказом генерального директора Оператора.
- Доступ заказчиков (туристов) к своим персональным данным предоставляется при обращении либо при получении письменного запроса заказчика (туриста). При получении соответствующего письменного запроса, Оператор обязан в течение десяти дней с даты получения запроса сообщить заказчику (туристов) информацию о наличии персональных данных о нем, и при необходимости предоставить возможность ознакомления с ними, либо в течение этого же срока дать мотивированный отказ в предоставлении информации.
- Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
- При передаче персональных данных заказчиков (туристов) Оператор должен соблюдать следующие требования:
- не сообщать персональные данные заказчиков (туристов) третьей стороне без письменного согласия заказчиков (туристов), за исключением случаев, установленных федеральным законом;
-предупредить лиц, получающих персональные данные заказчиков (туристов), о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
-разрешать доступ к персональным данным заказчиков (туристов) только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные заказчиков (туристов), которые необходимы для выполнения конкретных функций.
- Согласия заказчиков (туристов) на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью заказчиков (туристов), и когда третьи лица оказывают услуги Оператору на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
- Оператор обеспечивает ведение журнала учета выданных персональных данных заказчиков (туристов), в котором фиксируются сведения о лице, которому передавались персональные данные заказчиков (туристов), дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.
- Ответственность за разглашение информации, содержащей сведения о персональных данных заказчиков (туристов) – субъектов персональных данных
- Оператор несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных заказчиков (туристов). Оператор закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.
- Генеральный директор Оператора несет ответственность за соблюдение сотрудниками норм, регламентирующих получение, обработку и защиту персональных данных заказчиков (туристов).
- Каждый сотрудник Оператора, получающий для работы документ, содержащий персональные данные заказчиков (туристов), несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
- Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных заказчиков (туристов), несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
- За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных заказчиков (туристов) Оператор вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
- Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные заказчиков (туристов), либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
Законы и нормативные акты, на основании которых разработано настоящее Положение
Федеральный закон №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции).
Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации»
Федеральный закон №132-ФЗ «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 года (в действующей редакции).
Постановление Правительства РФ №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г.
Постановление Правительства РФ №1119. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г.
Указ Президента Российской Федерации №188 «Об утверждении Перечня сведений конфиденциального характера» от 6 марта 1997 года.
Приказ ФСТЭЛ №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от «18» февраля 2013 г.;
Приказ ФСБ России №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации...» от «10» июля 2014 г.