ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
Политика в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных турагентства «БАЛТИК ЛАЙНС ТУР», (далее – Политика) составлена в соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и действует в отношении всех персональных данных, которые турагентство «БАЛТИК ЛАЙНС ТУР» (далее Оператор, Турагентство) может получить от субъектов персональных данных.
1.2. Политика Турагентствоа в области обработки персональных данных определяется в соответствии с Конституцией РФ, Трудовым кодексом РФ,
Гражданским кодексом РФ, Налоговым кодексом РФ, Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке персональных данных», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»,
Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации», Федеральным законом № 2300-1 от 07.02.1992 года «О защите прав потребителей», Федеральным законом от 29.11.2010 № 326- ФЗ «Об обязательном медицинском страховании в Российской Федерации», Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», Федеральным законом от 16.07.1999 года № 165-ФЗ «Об основах обязательного социального страхования»,
Федеральным законом № 14-ФЗ от 08.02.1998 года «Об обществах с ограниченной ответственностью», Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.3. Основные понятия:
— персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4. Принципы обработки персональных данных Обработка персональных данных в организации основана на следующих принципах:
— осуществления на законной и справедливой основе;
— соответствия целей обработки персональных данных полномочиям организации;
— соответствия содержания и объема обрабатываемых персональных данных целям обработки персональных данных;
— достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
— недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
— ограничения обработки персональных данных при достижении конкретных и законных целей, запретом обработки персональных данных, несовместимых с целями сбора персональных данных;
— осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим
законодательством.
1.5. В соответствии с принципами обработки персональных данных определены цели обработки персональных данных:
— для исполнения условий договоров о реализации туристского продукта, договоров реализации отдельных туристских услуг, договоров с туристскими агентствами и иных договоров, заключаемых Оператором;
— для исполнения условий трудовых договоров, осуществления прав и обязанностей в соответствии с трудовым законодательством, бухгалтерского учета, содействия в обучении сотрудников, для осуществления медицинского страхования и предоставления сотрудникам льгот и компенсаций;
— в целях однократного пропуска субъекта персональных данных на территорию, на которой находится Турагентство.
1.6. Срок хранения персональных данных субъекта персональных данных определяется в соответствии с действующим законодательством.
2. Особенности обработки персональных данных и их передачи третьим лицам
2.1. При обработке персональных данных Турагентство «БАЛТИК ЛАЙНС ТУР» руководствуется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативно-правовыми актами и локальными документами.
2.2 Турагентство «БАЛТИК ЛАЙНС ТУР» вправе передавать персональные данные третьим лицам в следующих случаях:
— субъект персональных данных выразил свое согласие на такие действия в любой позволяющей подтвердить факт его получения форме;
— передача предусмотрена федеральным законодательством в рамках установленной процедуры;
— обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— и иных случаях, предусмотренных законодательством.
Передача персональных данных осуществляется Оператором исключительно для достижения целей, заявленных в п. 1.5. настоящей Политики.
2.3. Субъект персональных данных обладает правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
3. Меры, применяемые для защиты персональных данных
3.1. Турагентство «БАЛТИК ЛАЙНС ТУР» принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных. К таким мерам, в частности, относятся:
— разработка локальных документов по вопросам обработки персональных данных;
— применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
— осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных»;
— утверждения перечня лиц, осуществляющих в Обществе обработку персональных данных либо имеющих к ним доступ.
— ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, требованиями к защите персональных данных и иными документами по вопросам обработки персональных данных;
— определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— применение средств защиты информации, позволяющих обеспечить защиту персональных данных от выявленных угроз;
— осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
— осуществление учета машинных носителей персональных данных;
— установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
— осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
— выполнение требований, вытекающих из внутренних технических регламентов.
4. Заключительные положения
4.1. Настоящая Политика является общедоступным документом. Для обеспечения неограниченного доступа к документу, текст настоящей Политики размещен на общедоступном неопределенному кругу лиц сайте: http://bltur.ru/
4.2. Настоящая Политика утверждается Директором Турагентства. Контроль соблюдения Политики в осуществляет лицо, ответственное за организацию обработки персональных данных.
4.3. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных, но не реже одного раза в два года.
4.4. Ответственность работников Оператора, осуществляющих обработку персональных данных и имеющих право доступа к ним, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством РФ и локальными документами Оператора.