Положение об обработке персональных данных в TravelLine

Содержание

1. Область применения
2. Термины, определения и сокращения
3. Цели, принципы и условия обработки персональных данных
4. Правовое основание обработки персональных данных
5. Перечень субъектов, персональные данные которых обрабатываются в Обществе
6. Перечень персональных данных, обрабатываемых в Обществе
7. Порядок обработки персональных данных
8. Права и обязанности субъекта персональных данных
9. Условия обеспечения конфиденциальности информации
10. Меры по обеспечению безопасности персональных данных при их обработке
11. Порядок реагирования на обращения и запросы субъектов персональных данных, их законных представителей и запросы надзорных органов, осуществляющих контроль и надзор в области ПДн
12. Ответственность
13. Заключительные положения

1. Область применения

Настоящее Положение определяет порядок осуществления автоматизированной и неавтоматизированной обработки персональных данных и организации защиты персональных данных в ООО «ТРЭВЕЛ ЛАЙН СИСТЕМС».

Настоящее Положение разработано в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных в ООО «ТРЭВЕЛ ЛАЙН СИСТЕМС».

Настоящее Положение разработано с учетом требований:

• Конституции Российской Федерации;

• Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

• Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Трудового кодекса Российской Федерации;

• постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

• постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• иных нормативных правовых актов Российской Федерации, определяющих требования по обработке и защите персональных данных;

• локальных нормативных актов ООО «ТРЭВЕЛ ЛАЙН СИСТЕМС», регламентирующих вопросы обработки персональных данных.

Все работники ООО «ТРЭВЕЛ ЛАЙН СИСТЕМС» обязаны руководствоваться требованиями настоящего Положения при обработке персональных данных в части их должностных обязанностей.

Доступ к настоящему Положению неограничен, так как настоящее Положение является документом, определяющим политику Общества в отношении обработки персональных данных и реализуемые требования к защите персональных данных.

2. Термины, определения и сокращения

В настоящем Положении используются понятия, принятые в федеральных законах от 27.07.2006 № 152-ФЗ «О персональных данных» и от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также следующие термины и сокращения:

ПДн – персональные данные

ИСПДн – информационная система персональных данных

ФЗ о ПДн – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Общество – ООО «ТРЭВЕЛ ЛАЙН СИСТЕМС»

Работник Общества – физическое лицо, состоящее или состоявшее в трудовых отношениях с Обществом

Контрагент – юридическое лицо или индивидуальный предприниматель, оператор персональных данных, с которым у Общества имеются договорные отношения

Работник Контрагента – физическое лицо, состоящее или состоявшее в трудовых отношениях с Контрагентом

Партнер Общества – контрагент, которому Общество предоставляет услуги в соответствии с осуществлением своей хозяйственной деятельности

Средство размещения – помещение, используемое Партнером для предоставления услуг размещения

Онлайн-бронирование – бронирование (услуг) средств размещения Партнера в режиме реального времени через сеть Интернет

Технологический Партнер – контрагент, оператор персональных данных, с которым у Общества организован автоматизированный процесс обмена персональными данными

Клиент Партнера – физическое лицо, предоставившее Обществу через размещенный на сайте Партнера комплекс программных средств (сервис онлайн-бронирования т.д.) или с помощью автоматизированного обмена данными с Технологическим Партнером персональные данные

Ваучер – документ, подтверждающий право клиента Партнера на проживание в средстве размещения

Подрядчик – физическое лицо, в том числе индивидуальный предприниматель, с которым Обществом заключен договор гражданско-правового характера и которое не имеет трудовых отношений с Обществом

Посетитель Общества – физическое лицо, пропускаемое на территорию расположения Общества и не являющееся Работником

Другие лица – физические лица или законные представители физических лиц, не относящиеся к категории работников Общества, работников Контрагентов, клиентов Партнеров, Подрядчиков, персональные данные которых обрабатывает Общество:
- кандидаты на замещение вакантных должностей;
- граждане, обращающиеся с заявлениями, жалобами, предложениями;
- студенты учебных заведений, проходящие практику;
- посетители Общества.

Технические данные сетевых соединений – данные, которые собираются автоматически без участия пользователя: IP-адрес, часовой пояс, название и версия интернет-браузера, языковые настройки, название и версия операционной системы, характеристики и настройки устройства (в случае подключения со мобильного устройства), cookie-файлы.

Cookie-файл – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя в виде файла.

3. Цели, принципы и условия обработки персональных данных

Целями обработки ПДн субъектов ПДн являются:

• обеспечение соблюдения Конституции Российской Федерации, федеральных законов, иных нормативных правовых актов Российской Федерации;

• реализация уставных задач Общества;

• исполнение требований налогового и пенсионного законодательства;

• ведение бухгалтерского учета и кадрового делопроизводства;

• осуществление воинского учета;

• оказания материальной помощи работникам;

• обеспечение сохранности имущества и безопасности работников и посетителей Общества.

Принципами обработки Обществом ПДн субъектов ПДн являются:

• законность целей и способов обработки ПДн;

• соответствие целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Общества;

• соответствие объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;

• точность обрабатываемых ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки, недопустимость обработки Обществом ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;

• недопустимость объединения Обществом баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

Условия обработки ПДн:

1. Обработка ПДн осуществляется только должностными лицами Общества, непосредственно использующими их в служебных целях.
2. Лица, уполномоченные на обработку ПДн, Общества имеют право получать только те ПДн, которые необходимы им для выполнения своих должностных обязанностей. Все остальные работники Общества имеют право на полную информацию, касающуюся только собственных ПДн.
3. Обработка ПДн субъектов ПДн осуществляется Обществом в следующих случаях:

• обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;

• обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;

• обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

• обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

• обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

• обработка ПДн необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

• обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;

• обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;

• осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (ПДн, сделанные общедоступными субъектом ПДн);

• осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4. Специальные категории ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни Обществом не обрабатываются, но могут обрабатываться в следующих случаях:


• субъект ПДн дал согласие в письменной форме на обработку своих ПДн;

• ПДн сделаны общедоступными субъектом ПДн;

• обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

• обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;

• обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;

• обработка ПДн осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации.

5. Обществом может осуществляться обработка ПДн о судимости в случаях и в порядке, которые определяются в соответствии с законодательством Российской Федерации.
6. Обработка специальных категорий ПДн незамедлительно прекращается Обществом, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
7. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) Обществом не обрабатываются.
8. При принятии решений, затрагивающих интересы субъекта ПДн, Общество не имеет права основываться на ПДн, полученных исключительно в результате их автоматизированной обработки или электронного получения.

4. Правовое основание обработки персональных данных

Правовым основанием обработки ПДн являются требования:

• Конституции Российской Федерации;

• Трудового кодекса Российской Федерации;

• Гражданского кодекса Российской Федерации;

• Семейного кодекса Российской Федерации;

• Налогового кодекса Российской Федерации;

• Кодекса Российской Федерации об административных правонарушениях;

• Федерального закона от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;

• Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

• Федерального закона от 01 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

• Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федерального закона от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации»;

• Федерального закона от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

• Постановления Правительства Российской Федерации от 27 ноября 2006 г. № 719 «Об утверждении Положения о воинском учете»;

• Постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

• Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• Устава ООО «ТРЭВЕЛ ЛАЙН СИСТЕМС» от 20 апреля 2014 г.;

• других нормативных и правовых актов Российской Федерации;

• локально-правовых актов Общества по защите ПДн.

Правовое основание обработки ПДн каждой категории субъектов ПДн, а также сроки хранения документов, содержащих ПДн, определяются отдельным приказом генерального директора Общества.

5. Перечень субъектов, персональные данные которых обрабатываются в Обществе

В Обществе обрабатываются ПДн следующих категорий субъектов ПДн:

• работников Общества;

• работников Контрагентов;

• клиентов Партнеров;

• подрядчиков;

• других лиц.

6. Перечень персональных данных, обрабатываемых в Обществе

ПДн включают в себя:

• Фамилия, имя, отчество;

• Пол;

• Дата рождения (число/месяц/год);

• Место рождения;

• Адрес регистрации;

• Адрес места жительства;

• Контактная информация (номер телефона, электронный адрес);

• Гражданство;

• Состояние в браке;

• Состав семьи;

• Фотографическое изображение;

• Данные документа, удостоверяющего личность (вид документа, серия/номер, кем выдан, код подразделения, дата выдачи, дата регистрации по месту жительства, срок действия)

• Идентификационный номер налогоплательщика (ИНН);

• Страховой номер индивидуального лицевого счета застрахованного лица (СНИЛС);

• Профессия;

• Сведения о получении профессионального и дополнительного образования (уровень образования, наименование учебного заведения, год окончания, номер диплома, специальность по диплому, квалификация по диплому, данные о повышении квалификации, форма профессионального послевузовского образования, номер и дата выдачи удостоверения о дополнительном образовании, ученая степень, ученое звание, даты присвоения ученого звания/степени);

• Сведения о знании иностранного языка;

• Сведения о воинской обязанности (воинское звание, состав рода войск, данные военного билета, приписного свидетельства, сведения о постановке на воинский учет и прохождении службы в Вооруженных Силах);

• Сведения о стаже (общий трудовой стаж, страховой стаж для оплаты больничных листов);

• Сведения о предыдущих местах работы;

• Сведения о поощрениях, наградах, почетных званиях, знаках отличия;

• Сведения о социальных льготах;

• Сведения о взысканиях;

• Сведения о временной нетрудоспособности;

• Сведения о сроке испытания;

• Место работы;

• Должность;

• Структурное подразделение;

• Табельный номер;

• Сведения об инвалидности и степени ограничения способности к трудовой деятельности;

• Сведения о несчастных случаях;

• Данные свидетельства о смене фамилии (имени/отчества);

• Данные свидетельства о смерти (серия/номер/дата/кем выдано);

• Сведения о командировках;

• Сведения о выданных подотчетных суммах;

• Сведения о начисленных суммах;

• Сведения о суммах удержаний и перечислений из заработной платы согласно заявлению или исполнительному листу;

• Сведения по отпускам;

• Реквизиты лицевого счета;

• Сведения об оплате по заключенному договору;

• Сведения о прохождении практики;

• Данные документа, подтверждающего право на пребывание (проживание) в Российской Федерации (вид документа, серия/номер, дата выдачи, срок действия);

• Данные миграционной карты (серия/номер);

• Сведения о законных представителях;

• Сведения о заказе (дата заезда/ срок пребывания до, место пребывания);

Информация о ПДн может содержаться:

• на бумажных носителях;

• на электронных носителях;

• в информационных системах ПДн;

• в информационно-телекоммуникационных сетях и иных информационных системах.

Общество самостоятельно устанавливает способы обработки ПДн в зависимости от целей такой обработки и материально-технических возможностей Общества.
При обработке ПДн с использованием средств вычислительной техники должностные лица Общества, осуществляющие такую обработку (пользователи объектов вычислительной техники), должны быть ознакомлены под роспись с основными локальными нормативными актами Общества.
ПДн работников Общества содержатся в следующих документах (копиях указанных документов):

• обращения (заявления, жалобы, предложения, служебные записки);

• личные карточки работника (форма Т-2);

• документы, удостоверяющие личность;

• свидетельства о заключении/расторжении брака;

• свидетельства о смени фамилии (имени/отчества);

• свидетельство о смерти;

• страховое свидетельство обязательного пенсионного страхования;

• свидетельство о постановке на учет в налоговом органе;

• личные листки по учёту кадров;

• трудовые договоры (в том числе дополнительные соглашения к трудовым договорам, журнал регистрации трудовых договоров);

• трудовые книжки (в том числе книга учета движения трудовых книжек, приходно-расходная книга по учету бланков трудовых книжек и вкладышей к ним);

• обязательства о неразглашении сведений конфиденциального характера;

• согласия работника на обработку ПДн;

• приказы по Обществу (в том числе журнал регистрации приказов по личному составу);

• доверенности;

• графики отпусков (в том числе журналы учета приказов по отпускам);

• табели учета рабочего времени;

• листки нетрудоспособности;

• расчетные листки;

• документы, содержащие реквизиты лицевых счетов;

• документы о воинском учете;

• авансовые отчеты;

• документы по награждению работников (характеристики, ходатайства);

• журнал регистрации заявлений и выдачи справок;

• расходно-кассовые и приходно-кассовые ордеры;

• реестры сведений о начисленных и уплаченных страховых взносах на обязательное пенсионное страхование застрахованных лиц;

• справки о трудовом стаже;

• справки о сумме заработной платы;

• справки о доходах физического лица (форма 2-НДФЛ);

• справки о сумме заработной иных выплат и вознаграждений, на которую были начислены страховые взносы на обязательное социальное страхование на случай временной нетрудоспособности и в связи с материнством, за два календарных года, предшествующих году прекращения работы (службы, иной деятельности) или году обращения за справкой, и текущий календарный год;

• другие документы, содержащие ПДн.

ПДн работников Контрагентов могут содержаться в следующих документах (копиях указанных документов):

• документы, удостоверяющие личность;

• доверенности;

• договоры, соглашения, акты;

• уведомление о прибытии иностранного гражданина или лица без гражданства в место пребывания;

• другие документы, содержащие ПДн.

ПДн клиентов Партнеров могут содержаться в следующих документах (копиях указанных документов):

• ваучеры;

• документы, подтверждающие право на пребывание (проживание) в Российской Федерации;

• миграционная карта;

• уведомление о прибытии иностранного гражданина или лица без гражданства в место пребывания;

• другие документы, содержащие ПДн.

ПДн подрядчиков могут содержаться в следующих документах (копиях указанных документов):

• документы, удостоверяющие личность;

• доверенности;

• договоры, соглашения, акты;

• другие документы, содержащие ПДн.

ПДн других лиц могут содержаться в следующих документах (копиях указанных документов):

• обращения (заявления, жалобы, предложения) физических лиц;

• анкеты, резюме кандидатов на замещение вакантных должностей;

• документы, удостоверяющие личность;

• свидетельства о рождении;

• свидетельства о заключении/расторжении брака;

• свидетельства о смени фамилии (имени/отчества);

• доверенности;

• договоры, соглашения;

• документы об образовании;

• справки о трудовом стаже;

• трудовые книжки;

• документы об инвалидности;

• согласия субъекта ПДн на обработку ПДн;

• другие документы, содержащие ПДн.

7. Порядок обработки персональных данных

Обществом совершаются следующие действия (операции) или совокупность действий (операций) с персональными данными субъектов ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Общество использует следующие способы обработки ПДн:

• с использованием средств вычислительной техники (автоматизированная обработка);

• без использования средств вычислительной техники (неавтоматизированная обработка).

Общество не распространяет ПДн работников, клиентов и других лиц, то есть не осуществляет действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Обработка ПДн в целях продвижения товаров, работ, услуг Обществом не осуществляется.

7.1. Сбор персональных данных

Документы, в том числе и в электронном виде, содержащие ПДн, создаются путём:

• получения оригиналов необходимых документов;

• копирования оригиналов документов;

• внесения сведений в учётные формы (на бумажных и электронных носителях).

Общество получает ПДн субъектов ПДн:

• непосредственно от самих субъектов ПДн;

• от третьих лиц (например, федеральных органов исполнительной власти, муниципальных органов, судов общей юрисдикции; органов, осуществляющих контрольные функции по взысканию денежных средств; органов уголовно-исполнительной системы).

При сборе ПДн Общество предоставляет субъекту ПДн по его просьбе следующую информацию:

• подтверждение факта обработки ПДн Обществом;

• правовые основания и цели обработки ПДн;

• цели и применяемые Обществом способы обработки ПДн;

• наименование и местонахождение Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании федерального закона;

• обрабатываемые ПДн, относящиеся к субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

• сроки обработки ПДн, в том числе сроки их хранения;

• порядок осуществления субъектом ПДн прав, предусмотренных ФЗ о ПДн;

• информацию об осуществленной или о предполагаемой трансграничной передаче данных;

• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;

• иные сведения, предусмотренные федеральными законами Российской Федерации.

Общество вправе ограничить право субъекта ПДн на доступ к его ПДн в соответствии с федеральными законами, в том числе, если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
Если ПДн получены не от субъекта ПДн, Общество, до начала обработки таких ПДн предоставляет субъекту ПДн следующую информацию:

• наименование и адрес Общества;

• цель обработки ПДн и ее правовое основание;

• предполагаемые пользователи ПДн;

• права субъекта ПДн;

• источник получения ПДн.

Общество освобождается от обязанности предоставить субъекту ПДн указанные сведения в случаях, если:

• субъект ПДн уведомлен об осуществлении обработки его ПДн Обществом;

• ПДн получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;

• ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;

• Общество осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;

• предоставление субъекту ПДн сведений нарушает права и законные интересы третьих лиц.

7.2. Систематизация, накопление, уточнение и использование персональных данных

Систематизация, накопление, уточнение, использование ПДн могут осуществляться любыми законными способами в соответствии с правилами, инструкциями, руководствами, регламентами и иными документами, определяющими технологический процесс обработки информации.

В Обществе могут быть установлены особенности учета ПДн в ИСПДн, в том числе использование различных способов обозначения принадлежности ПДн, содержащихся в соответствующей информационной системе ПДн, конкретному субъекту ПДн.

Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки ПДн или обозначения принадлежности ПДн, содержащихся в ИСПДн, конкретному субъекту ПДн.

Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности ПДн, содержащихся в ИСПДн, конкретному субъекту ПДн данных.

Использование ПДн должно осуществляться исключительно в заявленных целях. Использование ПДн в заранее не определенных и не оформленных установленным образом целях категорически не допускается.

Уточнение ПДн должно производиться только на основании законно полученной в установленном порядке информации.

В случае выявления работником неточных ПДн или изменения его ПДн работник отправляет запрос на уточнение (обновление, изменение) ПДн в департамент по работе с персоналом, которое организует и осуществляет внесение необходимых изменений в ПДн в течение срока, не превышающего 7 (семи) рабочих дней с даты представления сведений о неточности ПДн.

Об изменении своих ПДн работники Общества должны информировать Общество в течение срока, не превышающего 10 (десяти) рабочих дней с даты регистрации изменений с приложением копий документов, подтверждающих произошедшие изменения.

Обо всех внесенных изменениях ПДн необходимо уведомить субъекта ПДн и третьих лиц, которым были переданы ПДн этого субъекта ПДн.

В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Общество осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

В случае подтверждения факта неточности ПДн Общество на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование ПДн.

7.3. Запись и извлечение персональных данных

Запись ПДн в ИСПДн Общества может осуществляться с любых носителей информации или из других ИСПДн.

Извлечение ПДн из ИСПДн может осуществляться с целью:

• вывода ПДн на бумажный или иной носитель информации, не предназначенный для его обработки средствами вычислительной техники;

• вывода ПДн на носители информации, предназначенные для их обработки средствами вычислительной техники.

7.4. Передача (предоставление, доступ) персональных данных

В Обществе приняты следующие способы передачи ПДн субъектов ПДн:

- передача ПДн на электронных и бумажных носителях информации;
- передача ПДн по каналам связи.
Перед осуществлением передачи ПДн проверяется основание на осуществление такой передачи и наличие согласия на передачу ПДн в согласии субъекта ПДн на обработку ПДн или наличие иных законных оснований.
Передача ПДн должна осуществляться на основании:
- договора с третьей стороной, которой осуществляется передача ПДн;
- запроса, полученного от третьей стороны, которой осуществляется передача ПДн;
- исполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.

Передача ПДн без согласия субъекта ПДн или иных законных оснований категорически запрещается.

Субъект ПДн, о котором запрашиваются сведения, относящиеся к ПДн, должен быть уведомлён о передаче его ПДн другим лицам и третьим лицам.

Общество предоставляет ПДн субъектов ПДн:

• непосредственно самим субъектам ПДн;

• кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы; предоставление ПДн субъектов в кредитные организации осуществляется только при наличии письменного согласия субъекта на передачу его ПДн в банковское учреждение;

• партнерам Общества для оформления услуг бронирования, с соблюдением требований закона и договорных требований к конфиденциальности информации;

• третьим лицам (например, в инспекцию ФНС России, Управление ПФ РФ, военный комиссариат, другие контролирующие органы).

В целях информационного обеспечения Общество может включать ПДн работников (фамилию, имя, отчество, должность, контактные телефоны, фотографическое изображение) в справочники и списки Общества только с письменного согласия работников.

При передаче ПДн работники Общества обязаны:

1) исключать несанкционированный доступ к ПДн в процессе их передачи;
2) обеспечивать конфиденциальность передаваемых ПДн;
3) не сообщать ПДн третьим лицам без письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации и иными федеральными законами;
4) не сообщать ПДн субъекта ПДн в коммерческих целях без его письменного согласия;
5) предупреждать лиц, получающих ПДн субъектов ПДн, о том, что полученные ПДн могут быть использованы исключительно в целях, для которых они сообщены, и требовать подтверждения лицами соблюдения данного правила;
6) передавать ПДн представителям субъектов ПДн в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивать передаваемые ПДн только теми ПДн, которые необходимы для выполнения представителями субъектов ПДн их функций.

Трансграничная передача обрабатываемых ПДн субъектов ПДн, Обществом не осуществляется.

Доступ к ПДн в Обществе определяется Разрешительной системой допуска должностей работников Общества, допущенных к обработке ПДн работников и иных лиц с использованием средства автоматизации и без использования таких средств, утверждаемой генеральным директором Общества. Работники используют эти данные в целях и объемах, которые необходимы для выполнения своих должностных обязанностей

Доступ к обрабатываемым Обществом ПДн разрешается другим лицам и третьим лицам только при наличии официального заявления запросившего лица с указанием перечня необходимой информации, целей для которых она будет использована, с согласия субъекта ПДн, ПДн которого затребованы.

7.5. Блокирование персональных данных

Блокирование ПДн конкретного субъекта ПДн должно осуществляться во всех ИСПДн Общества, включая архивы баз данных, содержащих такие ПДн.

Блокирование ПДн в Обществе осуществляется:

• в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн с момента такого обращения или получения указанного запроса на период проверки;

• в случае отсутствия возможности уничтожения ПДн в установленные сроки до их уничтожения.

После устранения выявленной неправомерной обработки ПДн Общество осуществляет снятие блокирования ПДн.

Решение о блокировании и снятии блокирования ПДн субъекта ПДн принимается ответственным за организацию обработки ПДн в Обществе.

7.6. Обезличивание персональных данных

Обезличивание ПДн в Общества при обработке ПДн с использованием средств автоматизации осуществляется на основании нормативных правовых актов, правил, инструкций, руководств, регламентов и иных документов для достижения заранее определенных и заявленных целей.

Допускается обезличивание ПДн при обработке ПДн без использования средств автоматизации производить способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

7.7. Хранение персональных данных

Хранение ПДн в Обществе осуществляется:

• на бумажных носителях (в том числе личных делах, в карточках, в журналах, реестрах и в др. документах);

• на электронных носителях;

• в ИСПДн.

Защита от несанкционированного доступа к ПДн при хранении материальных носителей обеспечивается:

1) раздельным хранением материальных носителей, содержащих ПДн, обработка которых осуществляется в различных целях;
2) хранением материальных носителей в запирающихся шкафах, сейфах, тумбах;
3) хранением дубликатов ключей от указанных шкафов, сейфов у руководителей структурных подразделений, обрабатывающих ПДн

При работе с материальными носителями, содержащими ПДн, работникам запрещается оставлять указанные носители без присмотра. При выходе из кабинета материальные носители, содержащие ПДн, необходимо запирать в сейф или закрываемый на замок шкаф (ящик письменного стола).

Контроль за хранением и использованием материальных носителей, содержащих ПДн, осуществляют руководители структурных подразделений, в которых обрабатываются ПДн.

Работники, обладающие правом доступа к ПДн, персонально отвечают за хранение материальных носителей, содержащих ПДн, на своих рабочих местах.

Хранение ПДн в ИСПДн Общества осуществляется только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного: доступа к ним; их уничтожения; изменения; блокирования; копирования; предоставления; распространения.

Общество осуществляет хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн.

Сроки хранения ПДн Обществом определяются в соответствии с Приказом Министерства Культуры Российской Федерации от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», на основании номенклатуры дел Общества, с учетом сроков исковой давности, требований действующих нормативных и правовых актов Российской Федерации и локальных документов Общества.

7.8. Уничтожение и удаление персональных данных

Уничтожение ПДн - это действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Уничтожение ПДн в Обществе производится только в следующих случаях:

• обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом;

• ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

• в случае выявления неправомерной обработки ПДн, если обеспечить правомерность обработки ПДн невозможно;

• достижения целей обработки ПДн или утраты необходимости в их достижении;

• в случае отзыва субъектом ПДн согласия на обработку его ПДн, за исключением случаев, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ о ПДн;

По факту уничтожения ПДн обязательно проверяется необходимость уведомления об этом и в случае наличия такого требования осуществляется уведомление указанных в таком требовании лиц.

При уничтожении ПДн необходимо:

1) убедиться в необходимости уничтожения ПДн;
2) убедиться в том, что уничтожаются те ПДн, которые предназначены для уничтожения;
3) уничтожить ПДн подходящим способом в соответствии с настоящим Положением или способом, указанным в соответствующем требовании или распорядительном документе;
4) проверить необходимость уведомления об уничтожении ПДн;
5) при необходимости уведомить об уничтожении ПДн требуемых лиц.

При уничтожении ПДн применяются следующие способы:

• измельчение бумажных носителей в уничтожителе бумаги (шредере) до степени, исключающей возможность прочтения или восстановления информации;

• тщательное вымарывание (с проверкой тщательности вымарывания) (для сохранения возможности обработки иных данных, зафиксированных на материальном носителе, содержавшем ПДн);

• физическое уничтожение частей носителей информации, разрушение или сильная деформация, для носителей информации на жестком магнитном диске (уничтожению подлежат внутренние диски и микросхемы); CD (DVD)-дисках, USB- и Flash-носителях (уничтожению подлежат модули и микросхемы долговременной памяти);

• стирание с помощью средств гарантированного удаления остаточной информации (для записей в базах данных и отдельных документов на машинном носителе).

При уничтожении ПДн необходимо учитывать их наличие в архивных базах данных и производить уничтожение во всех копиях базы данных, если иное не установлено действующим законодательством Российской Федерации.

При необходимости уничтожения части ПДн допускается уничтожать материальный носитель одним из указанных в настоящем Положении способов, с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению.

Отбор (выделение к уничтожению) и принятие решения об уничтожении ПДн осуществляет комиссия, создаваемая по инициативе лица, ответственного за организацию обработки ПДн,

По факту уничтожения ПДн составляется акт об уничтожении ПДн, который подписывается лицами, производившими уничтожение и/или присутствовавшим при уничтожении, и утверждается генеральный директором Общества. Акты уничтожения ПДн хранятся в структурных подразделениях, обрабатывающих ПДн, по месту уничтожения.

Хранение актов об уничтожении ПДн осуществляется в течение срока исковой давности, если иное не установлено нормативными правовыми актами Российской Федерации.

7.9. Сроки обработки персональных данных

Общий срок обработки ПДн определяется периодом времени, в течение которого Общество осуществляет действия (операции) в отношении ПДн, обусловленные заявленными целями их обработки, в том числе хранение ПДн.

Обработка ПДн начинается с момента их получения Обществом и заканчивается:

• по достижении конкретных, заранее определенных и законных целей;

• в случае отзыва согласия на обработку ПДн;

• по факту утраты необходимости в достижении заранее заявленных целей обработки.

По достижения цели обработки ПДн Общество прекращает обработку ПДн или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных действующим законодательством в области ПДн.

В случае отзыва субъектом ПДн согласия на обработку его ПДн Общество прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных действующим законодательством в области ПДн.

В случае отсутствия возможности своевременного уничтожения ПДн, осуществляется блокирование таких ПДн и обеспечивается уничтожение ПДн в срок не более 6 (шести) месяцев, если иной срок не установлен федеральными законами.

7.10. Согласие субъекта персональных данных на обработку его персональных данных

Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие Обществу на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Обществом.

Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн, Общество вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии соответствующих оснований, предусмотренных действующим законодательством в области ПДн.

Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, предусмотренных действующим законодательством в области ПДн, возлагается на Общество.

Обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать в себя, в частности:

• фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

• фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);

• наименование и адрес Общества, получающего согласие субъекта ПДн;

• цель обработки ПДн;

• перечень ПДн, на обработку которых дается согласие субъекта ПДн;

• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка будет поручена такому лицу;

• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Обществом способов обработки ПДн;

• срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва;

• подпись субъекта ПДн.

В тех случаях, когда субъекты ПДн используют возможности сервиса онлайн-бронирования, субъект ПДн дает конклюдентное согласие на обработку своих ПДн (и/или ПДн субъектов ПДн, законным представителем которых он является), предоставленных при заполнении электронной формы бронирования.

В соответствии со статьей 158 Гражданского кодекса Российской Федерации конклюдентное или подразумеваемое согласие - это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении.

В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.

В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.

ПДн могут быть получены Обществом от лица, не являющегося субъектом ПДн, при условии предоставления Обществом подтверждения наличия соответствующих оснований, предусмотренных действующим законодательством в области ПДн.

7.11. Порядок устранения нарушений, допущенных при обработке персональных данных.

В случае поступления официальных обращений от субъектов ПДн, их представителей или уполномоченного органа по защите прав субъектов ПДн о выявлении неточных ПДн или неправомерной обработки ПДн запрос передается лицу, ответственному за организацию обработки ПДн, которое:

1) инициирует блокирование ПДн, относящихся к этому субъекту ПДн, с момента поступления обращения до устранения нарушений (уточнения ПДн – в случае выявление неточности ПДн) или уничтожения ПДн в установленном порядке;
2) обеспечивает прекращение неправомерной обработки ПДн в срок, не превышающий 3 (трех) рабочих дней с даты выявления неправомерной обработки ПДн;
3) организует учет данных обращений.

В случае если обеспечить правомерность обработки ПДн невозможно, ПДн должны быть уничтожены в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн в соответствии с порядком уничтожения ПДн.

Об устранении допущенных нарушений или об уничтожении ПДн требуется уведомить субъекта ПДн или его представителя либо уполномоченный орган по защите прав субъектов ПДн в случае, если соответствующий запрос был получен от указанного органа.

Лицо, ответственное за организацию обработки ПДн, организует работу по каждому обращению, с фиксированием в журнале учета обращений субъектов ПДн.

Лицо, ответственное за организацию обработки ПДн, направляет запросы на блокирование ПДн в структурные подразделения, обрабатывающие ПДн, а также оформляет заявку на блокирование ПДн в ИСПДн. На основании указанной заявки структурные подразделения, ответственные за администрирование ИСПДн, осуществляют блокирование ПДн в соответствующих ИСПДн до устранения нарушений или уничтожения ПДн в установленном порядке. В случае устранения нарушения снятие блокирования ПДн в ИСПДн проводится на основании соответствующей заявки.

8. Права и обязанности субъекта персональных данных

Субъекты ПДн, ПДн которых обрабатываются в Обществе, имеют право на получение следующей информации, касающейся обработки их ПДн:

1) подтверждение факта обработки ПДн в Обществе;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые в Обществе способы обработки ПДн;
4) наименование и место нахождения Общества, сведения о лицах (за исключением работников), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или федеральных законов;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами;
6) сроки обработки ПДн, в том числе сроки их хранения в Обществе;
7) порядок осуществления субъектом ПДн прав, предусмотренных законодательством Российской Федерации в области ПДн;
8) наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такой организации или лицу;
9) иные сведения, предусмотренные законодательством Российской Федерации в области ПДн.

Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если доступ к ПДн нарушает права и законные интересы третьих лиц.

Субъекты ПДн также имеют право:

• требовать от Общества осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества);

• требовать от Общества, в случае достижения цели обработки ПДн, прекращения обработки ПДн;

• требовать от Общества, в случае отзыва согласия на обработку ПДн, прекращения их обработки или обеспечения прекращения такой обработки;

• обжаловать в уполномоченный орган по защите прав субъектов ПДн или в суд любые неправомерные действия или бездействие Общества при обработке его ПДн.

• требовать от Общества уточнения (обновления, изменения) их ПДн в случае, если ПДн являются неполными, устаревшими, неточными, их блокирования или уничтожения в случае, если ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Субъекты ПДн обязаны:

• передавать Обществу или его представителю достоверные ПДн.

• представление работником Общества подложных документов при заключении трудового договора является основанием для расторжения трудового договора в соответствии с пунктом 11 части первой статьи 81 Трудового кодекса Российской Федерации;

• сообщать Обществу об изменении своих ПДн с представлением копий документов, подтверждающих произошедшие изменения.

9. Условия обеспечения конфиденциальности информации

Должностные лица Общества, имеющие в силу исполнения ими своих должностных обязанностей доступ к ПДн, при их обработке должны обеспечивать конфиденциальность этих данных.

Обеспечение конфиденциальности сведений, содержащих ПДн, Обществом осуществляется в соответствии с Инструкцией о порядке обеспечения конфиденциальности при обработке персональных данных в ООО «ТРЭВЕЛ ЛАЙН СИСТЕМС», и иными локальными нормативными актами Общества.

Обеспечение конфиденциальности ПДн не требуется:

• в случае обезличивания ПДн;

• для общедоступных ПДн, то есть данных включенных в целях информационного обеспечения в общедоступные источники ПДн (в том числе справочники, адресные книги и т.п.) с письменного согласия субъекта ПДн.

В общедоступные источники ПДн могут включаться его фамилия, имя, отчество, год, контактная информация, должность, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.

10. Меры по обеспечению безопасности персональных данных при их обработке

Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных действующим законодательством в области ПДн.

Общество при обработке ПДн принимает следующие меры необходимые и достаточные для обеспечения выполнения своих обязанностей, предусмотренных действующим законодательством в области ПДн:

• назначение ответственного лица за организацию обработки ПДн;

• издание документов, определяющих политику Общества в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

• применение правовых, организационных и технических мер по обеспечению безопасности ПДн;

• осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн действующему законодательству в области ПДн, требованиям к защите ПДн, политике Общества в отношении обработки ПДн, локальным актам Общества;

• оценка вреда, который может быть причинен субъектам ПДн в случае нарушения действующего законодательства в области ПДн, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения своих обязанностей;

• ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.

• проведение мероприятий, направленных на обучение и повышение квалификации персонала в области информационной безопасности;

• обеспечение неограниченного доступа к Политике безопасности ПДн, обрабатываемых в ИСПДн Общества;

• учет обращений субъектов ПДн в журнале учета обращений субъектов ПДн;

• осуществление обработки ПДн в соответствии с принципами и условиями, установленными в Политике безопасности ПДн, обрабатываемых в ИСПДн Общества;

• обеспечение конфиденциальности сведений, содержащих ПДн, в соответствии с Инструкцией о порядке обеспечения конфиденциальности при обработке персональных данных в ООО «ТРЭВЕЛ ЛАЙН СИСТЕМС,

Общество при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

10.1. Внутренняя защита персональных данных

ПДн, содержащиеся на бумажных носителях, хранятся в запираемых кабинетах, металлических сейфах, шкафах, тумбах.

Выдача ключей от сейфов производится руководителем структурного подразделения Общества, а на период его временного отсутствия – болезнь, отпуск и т.п. – лицом, исполняющим его обязанности. Сдача ключа осуществляется лично руководителю.

ПДн, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения.

ПДн, содержащиеся на электронных носителях информации, хранятся в памяти персональных компьютеров пользователей. Доступ к указанным персональным компьютерам строго ограничен кругом лиц, ответственных за обработку ПДн.

Информация, хранящаяся в ИСПДн, защищена паролем доступа, в соответствии с требованиями Инструкции по организации парольной защиты на объектах вычислительной техники в ООО «ТРЭВЕЛ ЛАЙН СИСТЕМС».

Мероприятия по обеспечению безопасности ПДн при их обработке в информационных системах включают в себя:

• определение угроз безопасности ПДн при их обработке, формирование на их основе модели угроз;

• разработку на основе модели угроз системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса информационных систем;

• проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

• установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

• обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

• учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПДн;

• учет лиц, допущенных к работе с персональными данными в ИСПДн, и разделение их полномочий;

• контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

• анализ фактов несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, составление заключений по данным фактам, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

• описание системы защиты ПДн.

10.2. Внешняя защита персональных данных

ПДн в зависимости от способа их фиксации (бумажный носитель, электронный носитель, ИСПДн) подлежат обработке таким образом, чтобы исключить возможность ознакомления с содержанием указанной информации сторонними лицами.

11. Порядок реагирования на обращения и запросы субъектов персональных данных, их законных представителей и запросы надзорных органов, осуществляющих контроль и надзор в области ПДн

Общество предоставляет субъекту ПДн, ПДн которого обрабатываются, или его представителю информацию, касающуюся обработки ПДн соответствующего субъекта, в том числе содержащую:

• подтверждение факта обработки Обществом ПДн;

• правовые основания и цели обработки ПДн;

• цели и применяемые Обществом способы обработки ПДн;

• наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании федерального закона;

• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

• сроки обработки ПДн, в том числе сроки их хранения;

• порядок осуществления субъектом ПДн прав, предусмотренных ФЗ о ПДн;

• информацию об осуществленной или о предполагаемой трансграничной передаче данных;

• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;

• иные сведения, предусмотренные ФЗ о ПДн или другими федеральными законами.

Информация, касающаяся обработки ПДн, предоставляется Обществом субъекту ПДн или его законному представителю при обращении указанных лиц либо получении от них запроса. Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дату заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Сведения, касающиеся обработки ПДн, предоставляются Обществом субъекту ПДн (его представителю) в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Общество сообщает субъекту ПДн (его представителю) информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставляет возможность бесплатного ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя.

Общество вправе отказать субъекту ПДн в доступе к его ПДн в случае, когда:

• обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма,

• доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц,

• в иных случаях, установленных ФЗ о ПДн.

В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя, Общество дает в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 ФЗ о ПДн или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя.

По требованию субъекта ПДн Общество уточняет его ПДн, блокирует или уничтожает их в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Общество вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество уничтожает такие ПДн. Общество обязано уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

Обязанности по организации приема и обработки обращений и запросов субъектов ПДн или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов возлагаются на ответственного за организацию обработки ПДн в Обществе.

По запросу Уполномоченного органа по защите прав субъектов ПДн Общество представляет информацию, необходимую для реализации Уполномоченным органом своих полномочий, в том числе документы и локальные акты по вопросам обработки ПДн, и (или) иным образом подтверждает принятие мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ о ПДн и принятыми в соответствии с ним нормативными правовыми актами.

Поступившие Обществу запросы Уполномоченного органа по защите прав субъектов ПДн и иных надзорных органов, осуществляющих контроль и надзор в области ПДн, передаются для рассмотрения и подготовки проекта ответа генеральному директору Общества. В случае, если для подготовки проекта ответа требуется участие иных структурных подразделений Общества, ответственный за организацию обработки ПДн Общества вправе привлекать к работе по составлению указанного документа специалистов соответствующих подразделений. Ответ на запрос с соответствующими обосновывающими материалами подписывается генеральным директором Общества. Ответ на запрос Уполномоченного органа по защите прав субъектов ПДн (иного надзорного органа) направляется в течение тридцати дней с даты получения запроса.

В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо Уполномоченного органа по защите прав субъектов ПДн Общество обязано осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу Уполномоченного органа по защите прав субъектов ПДн Общество обязано осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

В случае подтверждения факта неточности ПДн, Общество, на основании сведений, представленных субъектом ПДн или его представителем либо Уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязано уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.

12. Ответственность

Лицо, ответственное за организацию обработки ПДн, отвечает за организацию, проведение и контроль процедур, направленных на выявление, устранение и предотвращение нарушений законодательства Российской Федерации в области ПДн, в том числе за:

• организацию и контроль правовых, организационных и технических мер для обеспечения защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, представления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

• организацию и осуществление внутреннего контроля за соблюдением структурными подразделениями законодательства Российской Федерации и ЛНА в области ПДн, в том числе требований к защите ПДн;

• организацию разработки локальных нормативных актов в области ПДн;

• доведение до сведения работников положений законодательства Российской Федерации и ЛНА в области ПДн, в том числе требований к защите ПДн;

• проведение анализа, оценки и прогноза рисков, связанных с обработкой ПДн в Обществе;

• организацию приема и обработку обращений и запросов субъектов ПДн или их представителей, а также осуществление контроля за приемом и обработкой таких обращений и запросов;

• организацию своевременного блокирования ПДн и устранения нарушений в установленном порядке в случае выявления неправомерной обработки ПДн;

• организацию своевременного уничтожения ПДн и контроль за ним в соответствии с требованиями настоящего Положения, ЛНА и нормативных правовых актов Российской Федерации.

Ответственные лица за обработку ПДн в Обществе несут персональную ответственность:

• контроль допуска работников к ПДн и принятие мер по обоснованному ограничению количества лиц, имеющих доступ к информационным системам;

• контроль и определение документов временного хранения, содержащих ПДн, с истекшими сроками хранения, а также организацию их своевременного уничтожения в соответствии с установленным в Обществе порядком.

Работники Общества, обрабатывающие ПДн, в соответствии со своими должностными обязанностями, несут персональную ответственность за:

• соблюдение конфиденциальности информации, содержащей ПДн, при их обработке, исключающее их утрату или неправомерное использование, контроль за хранением и использованием материальных носителей, содержащих ПДн;

• неправомерный отказ субъекту ПДн в предоставлении собранных в установленном порядке ПДн либо предоставление неполной или заведомо ложной информации.

Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

13. Заключительные положения

Настоящее Положение вступает в силу с момента его утверждения генеральным директором Общества и действует бессрочно, до замены его новым Положением.

Настоящее Положение действует в отношении всех субъектов ПДн, чьи ПДн обрабатывает Общество.

Скачать документ