УТВЕРЖДАЮ
Редакция №1 от 27.02.2023 г.
Генеральный директор ООО «ТУРСНАБЦЕНТР»
У.Н. Айдинов
ПОЛИТИКА ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ТУРСНАБЦЕНТР» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ЛОКАЛЬНЫЙ НОРМАТИВНЫЙ АКТ ООО «ТУРСНАБЦЕНТР»
принят в соответствии со статьей 8 Трудового кодекса РФ и во исполнение требований
статьи 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
опубликовано для неограниченного доступа 28.02.2023 г.
город Карачаевск 2023 год
1. Общие положения
1.1. Политика ООО «ТУРСНАБЦЕНТР» в отношении обработки персональных данных (далее – «Политика») утвержденный внутренний локальный нормативный акт для урегулирования отношений в сфере обработки персональных данных в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
1.2. Термины и определения имеют следующее значение:
Персональные данные (далее – ПДн) |
– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); |
Обработка персональных данных |
- любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования; |
Оператор персональных данных (далее - Оператор) |
Общество с ограниченной ответственностью «ТУРСНАБЦЕНТР», ИНН 0900006252 Место нахождения: 369200, Карачаево-Черкесская Республика, г. Карачаевск, ул. Мира, д. 1, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; |
Субъекты персональных данных |
- идентифицированное или не идентифицированное физическое лицо, в отношении которого проводится обработка персональных данных предоставившее согласие на Обработку Персональных данных; |
Распространение персональных данных |
- действия, направленные на раскрытие персональных данных неопределенному кругу лиц; |
Предоставление персональных данных |
- действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; |
Блокирование персональных данных |
- временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); |
Уничтожение персональных данных |
- действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; |
Обезличивание персональных данных |
- действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; |
Информационная система персональных данных |
- совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; |
Трансграничная передача персональных данных |
- передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу |
Сайт |
- означает веб-сайт Оператора в сети «Интернет», размещенный по адресу https://hotel-centr.ru/ |
Файлы cookie |
– это небольшие фрагменты текста, передаваемые в браузер с сайта, который вы открываете. |
Иные используемые в настоящей Политике понятия толкуются согласно их определению в Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».
1.3. Настоящая Политика определяет порядок Обработки Персональных данных и меры по обеспечению безопасности Персональных данных с целью защиты прав и свобод человека и гражданина при обработке его Персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
1.5. Действие Политики распространяется на все Персональные данные Субъектов Персональных данных, обрабатываемых Оператором с применением средств автоматизации и без применения таких средств.
1.6. Срок действия настоящей Политики – до последующего обновления настоящего локального акта после ее утверждения.
1.7. Политика опубликована для ознакомления каждым Субъектом Персональных данных во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных.
2. Цели сбора персональных данных
2.1. Оператор осуществляет Обработку следующих Персональных данных в ниже указанных целях:
1) Ведение кадрового и бухгалтерского учета;
2) Обеспечение соблюдения трудового законодательства РФ;
3) Обеспечение соблюдения налогового законодательства РФ;
4) Обеспечение соблюдения пенсионного законодательства РФ;
5) Продвижение товаров, работ, услуг на рынке;
6) Подготовка, заключение и исполнение гражданско-правового договора;
7) Обеспечение работы сайта.
3. Правовое основание обработки персональных данных
3.1. Оператор осуществляет обработку персональных данных только на законной и справедливой основе.
3.2. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных:
- Конституцией Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Налоговым кодексом Российской Федерации;
- Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Воздушным кодексом РФ;
- Уставом железнодорожного транспорта в РФ;
- Федеральным законом № 2300-1 от 07.02.1992 года «О защите прав потребителей»;
- Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральным законом от 16.07.1999 года № 165-ФЗ «Об основах обязательного социального страхования»;
- Федеральным законом № 14-ФЗ от 08.02.1998 года «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 24.11.1996 N 132-ФЗ «Об основах туристской деятельности в Российской Федерации»;
- Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства РФ от 23.09.2020 N 1527 «Об утверждении Правил организованной перевозки группы детей автобусами»;
- Приказ Минтранса России от 28.06.2007 N 82 «Об утверждении Федеральных авиационных правил «Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей»;
- Приказ Минтранса России от 08.11.2006 N 134 «Об установлении формы электронного пассажирского билета и багажной квитанции в гражданской авиации»;
- Постановление Правительства РФ от 18.11.2020 N 1853 «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации»;
- Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Для достижения целей указанных в п.2.1. Политики, Оператор осуществляет обработку персональных данных не являющихся специальными или биометрическими, в следующем объеме:
Цель |
Персональные данные |
1-4 |
Фамилия, имя, отчество, дата рождения, место рождения, семейное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа удостоверяющего личность, данные документа удостоверяющего личность за пределами РФ, место работы, почтовый адрес, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании |
5 |
Фамилия, имя, отчество, телефон, адрес электронной почты |
6 |
Фамилия, имя, отчество, дата рождения, место рождения, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, данные документа удостоверяющего личность, данные документа удостоверяющего личность за пределами РФ, данные документа, содержащиеся в свидетельстве о рождении |
7 |
IP-адрес, данные о местоположении, файлы cookie |
4.2. Для достижения целей указанных в п.2.1. Политики, Оператор осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
Цель |
Категории субъектов |
1-4 |
Работники, Соискатели, Родственники работников, Уволенные работники |
5 |
Клиенты, Законные представители, Контрагенты |
6 |
Клиенты, Выгодоприобретатели по договорам, Законные представители, Субъект персональных данных, предоставивший согласие на трансграничную передачу персональных данных, Контрагенты |
7 |
Посетители сайта |
4.3. Оператор не осуществляет обработку специальных категорий Персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
4.4. Оператор не осуществляет обработку биометрических Персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
5. Порядок и условия обработки персональных данных
5.1. Оператор обрабатывает Персональные данные только при наличии хотя бы одного из следующих условий:
- Обработка Персональных данных осуществляется с согласия Субъекта Персональных данных на Обработку его Персональных данных;
- Обработка Персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
- Обработка Персональных данных необходима для исполнения договора, стороной которого или выгодоприобретателем по которому является Субъект Персональных данных, а также для заключения договора, стороной которого является Субъект Персональных данных или договора, по которому Субъект Персональных данных будет являться выгодоприобретателем.
5.2. Оператор и иные лица, получившие доступ к Персональным данным, обязаны не раскрывать третьим лицам и не распространять Персональные данные без предварительного согласия Субъекта Персональных данных, если иное не предусмотрено законодательством Российской Федерации.
5.3. В целях исполнения принятых на себя обязательств, Оператор вправе производить трансграничную (на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу Персональных данных.
5.4. При сборе Персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных Субъектов Персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
5.5. Субъект Персональных данных принимает решение о предоставлении его Персональных данных и даёт согласие на их Обработку свободно, своей волей и в своём интересе. Субъект Персональных данных предоставляет согласие на Обработку Персональных данных в целях, указанных в разделе 2 настоящей Политики.
5.6. Обязанность предоставить доказательство получения согласия Субъекта Персональных данных на Обработку его Персональных данных или доказательство наличия оснований, указанных в Законе о персональных данных, возлагается на Оператора.
5.7. Согласие Субъекта Персональных данных на Обработку его Персональных данных действует до момента истечения срока, указанного в таком согласии (если применимо), или до момента получения Оператором отзыва такого согласия в соответствии настоящей Политикой (в зависимости от того, какой момент наступил ранее).
5.8. Оператор вправе поручить Обработку Персональных данных Субъекта Персональных данных другому лицу, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора. Лицо, осуществляющее Обработку Персональных данных по поручению Оператора, обязано соблюдать принципы и правила Обработки Персональных данных, предусмотренные в Законе о персональных данных.
5.9. Субъект Персональных данных имеет право на получение информации, касающейся Обработки его Персональных данных, если такое право не ограничено в соответствии с законодательством Российской Федерации. Субъект Персональных данных вправе требовать от Оператора уточнения его Персональных данных, их Блокирования или Уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели Обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.
5.10. Субъект Персональных данных имеет право отозвать согласие на Обработку своих Персональных данных в целях, указанных в разделе 2 Политики, путем направления отзыва такого согласия на адрес электронной почты Оператора, указанный на его Сайте, c указанием своих фамилии, имени, отчества. В этом случае Оператор обязан прекратить Обработку Персональных данных и обеспечить Уничтожение Персональных данных в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва. Оператор обязан уведомить Субъекта персональных данных об Уничтожении Персональных данных.
5.11. Помимо направления отзыва согласия на Обработку Персональных данных, Субъект Персональных данных может ограничить или отменить Обработку файлов cookie путем изменения соответствующих настроек в браузере, используемом таким Субъектом Персональных данных. В случае ограничения или отмены Субъектом персональных данных Обработки функциональных файлов cookie (т.е. файлов cookie, позволяющих Субъекту Персональных данных осуществлять навигацию по Сайту, использовать его функции и получать доступ к его защищенным разделам), Оператор не несет ответственность за какие-либо ошибки и сбои функционирования Сайта.
5.12. Оператор не принимает на основании исключительно Автоматизированной обработки Персональных данных решений, порождающих юридические последствия в отношении Субъекта Персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством Российской Федерации, или при наличии согласия Субъекта Персональных данных.
5.13. Субъект Персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.14. Оператор принимает технические, организационные и правовые меры или обеспечивает их принятие для защиты Персональных данных Субъектов Персональных данных от неправомерного или случайного доступа, сбора, хранения, использования, передачи, блокирования или уничтожения, а также от иных неправомерных действий.
5.15. Для целенаправленного создания неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к Персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий, Оператором применяются следующие организационно-технические меры:
- назначение должностных лиц, ответственных за организацию Обработки и защиты ПДн;
- ограничение и регламентация состава работников Оператора, имеющих доступ к ПДн;
- ознакомление работников Оператора с требованиями законодательства РФ и нормативных документов по обработке и защите ПДн;
- обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
- определение угроз безопасности ПДн при их Обработке, формирование на их основе моделей угроз;
- разработка на основе модели угроз системы защиты ПДн для соответствующего класса информационных систем;
- проверка готовности и эффективности использования средств защиты информации;
- реализация разрешительной системы доступа к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
- регистрация и учёт действий пользователей Информационных систем ПДн;
- парольная защита доступа пользователей к Информационной системе ПДн;
- применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съёмным машинным носителям и внешним накопителям информации;
- осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
- обнаружение вторжений в корпоративную сеть Оператора, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;
- централизованное управление системой защиты ПДн;
- обучение работников, использующих средства защиты информации, применяемые в Информационных системах ПДн, правилам работы с ними;
- учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;
- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности ПДн.
5.16. Персональные данные Субъектов Персональных данных хранятся в течение периода, необходимого для целей, в которых такие данные были предоставлены, или в течение периода, предусмотренного законодательством.
5.17. По достижению целей/истечения периода для обработки персональных данных Персональные данные Субъектов Персональных данных уничтожаются.
ПРИЛОЖЕНИЕ 1
Форма согласия субъекта на обработку персональных данных
СОГЛАСИЕ СУБЪЕКТА НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я, (далее – «Субъект»), в соответствии с п. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляю Согласие на обработку персональных данных (далее — «Согласие») на условиях, изложенных далее.
Предоставлением Согласия является проставление мной символа ☑ напротив надписи «С Условиями ознакомился и Политику конфиденциальности принимаю» под формой отправки заявки на Интернет-сайте Оператора https://hotel-centr.ru/ (далее – Сайт).
Действуя свободно, в соответствии со своей волей и в своем интересе, а также подтверждая свою дееспособность, Субъект даёт согласие ООО «ТУРСНАБЦЕНТР», ИНН 0900006252 , Место нахождения: 369200, Карачаево-Черкесская Республика, г. Карачаевск, ул. Мира, д. 1 (далее – «Оператор») на обработку своих персональных данных в соответствии с Политикой конфиденциальности Оператора, в том числе, со следующими условиями:
1. Согласие дается на обработку, то есть на совершение действий, предусмотренных п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», следующих персональных данных Субъекта, не являющихся специальными или биометрическими: фамилия, имя, отчество; адрес электронной почты; контактный телефон; иная предоставленная Оператору информация, предоставляемая о Субъекте в связи с обращением по поводу обратной связи с Оператором; файлы cookies.
2. Под обработкой персональных данных Оператором понимается действие (операция) или совокупность действий (операций) с персональными данными, включая сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (в том числе и трансграничная) (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3. Субъект дает Оператору согласие на обработку персональных данных для следующих целей: Продвижение товаров, работ, услуг на рынке; Подготовка, заключение и исполнение гражданско-правового договора; Обеспечение работы Сайта.
4. Субъект персональных данных вправе направить Оператору запрос на уточнение его персональных данных, требование о блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными.
5. Субъект дает согласие на передачу Оператором своих персональных данных третьим лицам для предоставления информации Субъекту в соответствии с его запросом на сайте Оператора, либо иного аналогичного исполнения соглашения между Субъектом и Оператором.
6. Персональные данные Субъектов Персональных данных хранятся в течение периода, необходимого для целей, в которых такие данные были предоставлены или в течение периода, предусмотренного законодательством.
7. По достижению целей/истечения периода для обработки персональных данных Персональные данные Субъектов Персональных данных уничтожаются.
8. Оператор обрабатывает персональные данные Субъекта в соответствии с действующим законодательством Российской Федерации, иными нормативными правовыми актами и Политикой в отношении обработки персональных данных Оператора, размещенной на Сайте.
9. Оператор принимает все необходимые и достаточные организационные и технические меры для защиты персональной информации Субъекта от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
10. Субъект Персональных данных имеет право отозвать согласие на Обработку своих Персональных данных в целях, указанных в п. 4 Политики в отношении обработки персональных данных Оператора, размещенной на сайте путем направления отзыва такого согласия на адрес электронной почты указанный на Сайте c указанием своих фамилии, имени, отчества. В этом случае Оператор обязан прекратить Обработку Персональных данных и обеспечить Уничтожение Персональных данных в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва. Оператор обязан уведомить Субъекта персональных данных об Уничтожении Персональных данных.
12. Настоящим Согласием Субъект подтверждает, что достиг возраста 18 лет.
13. Настоящее Согласие действует все время до момента прекращения обработки персональных данных, указанных в пунктах 7 и 8 данного Согласия.