Положение об обработке персональных данных
Политика обработки персональных данных Заказчиков (туристов) и Пользователей сайта https://globus-tripagency.ru/
ИП Третьякова М. Г.
г. Козьмодемьянск
1. Общие положения
1.1. Политика обработки персональных данных Заказчиков (туристов) и Пользователей сайта https://globus-tripagency.ru/ Индивидуальным предпринимателем Третьяковой Мариной Геннадьевной, ИНН 120202362055, ОГРНИП 322120000017281, адрес: 425350, г. Козьмодемьянск, ул. Гагарина, д. 23, (далее – Политика), разработанная в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», а также в соответствии с иными федеральными законами и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных и обеспечения безопасности и конфиденциальности такой информации (далее – «Законодательство в области персональных данных»), устанавливает основные принципы, цели, и правила обработки персональных данных субъектов персональных данных Заказчиков (туристов) и Пользователей сайта https://globus-tripagency.ru/ (далее – «Пользователь», «Пользователи»), категории и объем, обрабатываемых персональных данных, а также определяет основные меры по обеспечению их безопасности.
1.2. Политика разработана для реализации ИП Третьяковой М. Г. обеспечения защиты прав субъектов персональных данных, при обработке их персональных данных, исполнения требований законодательства Российской Федерации в области персональных данных.
1.3. Положения настоящей Политики являются основой для разработки локальных актов (далее – нормативных документов) Общества, регламентирующих процессы и порядок обработки персональных данных субъектов персональных данных.
1.4. Положения настоящей Политики обязательны для исполнения работниками Общества, имеющими доступ к персональным данным субъектов персональных данных.
1.5. В Политике используются термины (понятия), соответствующие терминам (понятиям), содержащимся в Федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных» и Федеральном Законе от 24.11.1996 г. № 132-ФЗ «Об основах туристской деятельности в Российской Федерации».
- «Персональные данные» – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- «Оператор» – юридическое лицо (индивидуальный предприниматель), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
- «Обработка персональных данных» – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- «Туроператор» – юридическое лицо, состоящее в Едином федеральном реестре туроператоров, осуществляющее деятельность по формированию, продвижению и реализации туристского продукта, на основании договоров, заключённых с Турагентом, Заказчиком (туристами) туристского продукта;
- «Турагент» (Оператор персональных данных) – юридическое лицо, состоящее в Едином федеральном реестре турагентов, осуществляющее деятельность по продвижению и реализации туристского продукта, на основании договоров, заключённых с Заказчиком (туристами) туристского продукта.
- «Турист» (Субъект персональных данных) – лицо, посещающее страну (место) временного пребывания в лечебно-оздоровительных, рекреационных, познавательных, физкультурно-спортивных, профессионально-деловых, религиозных и иных целях без занятия деятельностью, связанной с получением дохода от источников в стране (месте) временного пребывания, на период от 24 часов до 6 месяцев подряд или осуществляющее не менее одной ночевки в стране (месте) временного пребывания.
- «Заказчик» (Субъект персональных данных) – физическое лицо, заказывающее туристский продукт от имени туриста, в том числе законный представитель несовершеннолетнего туриста.
- «Пользователь» (Субъект персональных данных) – лицо, имеющее доступ и использующее сайт https://globus-tripagency.ru/ посредством сети Интернет, и предоставившее Оператору свои персональные данные при регистрации (создании учётной записи), заполнении форм обратной связи, оформлении заказов.
- «Автоматизированная обработка персональных данных» – обработка персональных данных с помощью средств вычислительной техники.
- «Распространение персональных данных» – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- «Предоставление персональных данных» – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- «Блокирование персональных данных» – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- «Уничтожение персональных данных» – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- «Обезличивание персональных данных» – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
- «Информационная система персональных данных» – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- «Трансграничная передача персональных данных» – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- «Файлы «cookie» – данные, которые передаются в процессе использования сайта с помощью установленного на устройстве субъекта персональных данных программного обеспечения, в том числе IP-адрес, информация о браузере (или иной программе, с помощью которой осуществляется доступ к сайту), технические характеристики оборудования и программного обеспечения, используемых субъектом персональных данных, дата и время доступа к сайту, дата и время акцепта размещенных на сайте оферт, сведения об истории покупок на сайте, а также адреса запрашиваемых страниц и иная подобная информация.
2. Правовые основания обработки персональных данных
2.1. Правовыми основаниями обработки персональных данных являются:
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных;
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный Закон от 24.11.1996 г. № 132-ФЗ «Об основах туристской деятельности в Российской Федерации»;
- Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Устав Общества;
- Договоры и (или) соглашения с субъектами персональных данных на оказание услуг, включая договоры о реализации туристского продукта/туристических услуг;
- Согласие на обработку персональных данных субъектов персональных данных.
3. Цели обработки персональных данных
3.1. Обработка персональных данных Заказчиков (туристов) осуществляется исключительно в целях обеспечения исполнения Оператором (Турагентом), Туроператором и (или) иными поставщиками услуг обязательств по договорам о реализации туристических услуг (турпродукта/туруслуг), включая передачу персональных данных Заказчика (туриста):
- туроператору с целью формирования всех необходимых документов и предоставления Заказчикам (туристам) турпродукта/туруслуги по Заявке на бронирование, а также в целях внесения данных, определенных нормативными актами Российской Федерации, в Единую информационную систему электронных путевок;
- туроператору выездного туризма, расположенного на территории иностранного государства, с целью формирования всех необходимых документов и предоставления Заказчикам (туристам) турпродукта/туруслуги по Заявке на бронирование;
- страховщику с целью оформления Заказчиком (туристами) страхового медицинского полиса, в случаях, когда законодательством страны (места) временного пребывания установлены требования наличия гарантий оплаты медицинской помощи лицам, которые временно находятся на данной территории, и (или) договора (полиса) страхования иных рисков (медицинская страховка, страхование утери багажа, невозможности совершения поездки и.т.п.), в том числе возникающих при совершении путешествий, представляющих повышенную опасность для жизни и здоровья человека;
- перевозчику в целях заключения договора на перевозку и оформления Заказчиком (туристами) проездных документов (авиа, ж/д. билетов и т.д.) в случае оформления Заказчиком (турисками) услуги по подбору и приобретению авиа, ж/д. билетов и т.д.;
- консульству иностранного государства и (или) визовому центру в целях получения въездной/выездной визы;
- объекту размещения с целью бронирования гостиницы, размещения Заказчика (туристов) в отеле;
- принимающей стороне Туроператора в стране отдыха Заказчика (туристов) в целях контроля и решения вопросов, возникающих у Туристов во время их пребывания и оказания экскурсионных услуг;
3.2. Обработка персональных данных Пользователей, осуществляется исключительно в целях регистрации (создания учетной записи) и предоставления доступа к ресурсам сайта https://globus-tripagency.ru/, включая:
- направление сообщений рекламного и информационного характера об услугах, о событиях в деятельности Оператора, а также товарах, работах Оператора и (или) о товарах, работах, услугах Туроператора и (или) иных поставщиков услуг;
- проведение Оператором опросов и исследований через сайт и клиентские службы Оператора, маркетинговых кампаний, исследований (опросов);
- проведение статистических и иных исследований на основе обезличенных данных, формирование статистической отчетности;
- предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием сайта https://globus-tripagency.ru/;
- продвижение и контроль качества оказываемых услуг, предоставляемых на сайте https://globus-tripagency.ru/, удобства их использования;
- обеспечение связи с субъектом персональных данных, в том числе установление с Пользователем обратной связи, включая направление уведомлений, сообщений, запросов и информации, касающихся использования сайта https://globus-tripagency.ru/ и связанных с ним сайтов, оказания Услуг и (или) использования Сервисов, исполнения соглашений и договоров с Пользователем, обработка запросов и заказов от Пользователя;
- использование технологии «cookies» для создания статистической отчетности, стандартных журналов учета веб-сервера для подсчета количества посетителей и оценки технических возможностей сайта https://globus-tripagency.ru/.
4. Принципы и правила обработки персональных данных
4.1. Обработка персональных данных Заказчиков (туристов) осуществляется с соблюдением следующих принципов и правил:
- обработка осуществляется на справедливой и законной основе;
- обработка ограничивается достижением конкретных, заранее определенных и законных целей;
- обработке подлежат персональные данные, отвечающие целям обработки, при обязательном соответствии их объема и содержания заявленным целям обработки;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- при обработке обеспечиваются точность и достаточность персональных данных и, при необходимости, актуальность по отношению к целям обработки с принятием мер по удалению или уточнению неполных или неточных данных либо обеспечением принятия таких мер;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
4.2. Обработка персональных данных Заказчиков (туристов) и Пользователей осуществляется Обществом с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
4.3. При обработке персональных данных Общество соблюдает их конфиденциальность.
5. Категории и объем обрабатываемых персональных данных
5.1. Категории и объем персональных данных Заказчиков (туристов), обрабатываемых Оператором персональных данных (Турагентом), Туроператором и (или) иными поставщиками услуг:
5.1.1. Персональные данные, предоставляемые Заказчиком (туристами) Оператору персональных данных (Турагенту) и необходимые для исполнения обязательств, связанных с реализацией туристского продукта и предоставлением туристских услуг, входящих в состав туристского продукта:
- фамилия, имя, отчество (при наличии) заказчика (туриста) на русском языке;
- фамилия, имя в латинской транскрипции, как они указаны в заграничном паспорте;
- пол;
- дата рождения;
- место рождения;
- гражданство в настоящее время (при необходимости – гражданство при рождении);
- данные об общегражданском паспорте Российской Федерации (серия и номер общероссийского паспорта, дата его выдачи, наименование органа, выдавшего паспорт, срок действия общероссийского паспорта либо свидетельства о рождении);
- данные о заграничном паспорте Российской Федерации (серия и номер заграничного паспорта, дата его выдачи, наименование органа, выдавшего паспорт, срок действия);
- данные свидетельства о рождении (для несовершеннолетних граждан);
- адрес регистрации;
- фактический адрес проживания;
- номер телефона;
- адрес электронной почты.
5.1.2. Дополнительная информация, запрашиваемая иными поставщиками услуг, может включать:
- фамилию, имя отца;
- фамилию, имя матери;
- данные о работодателе и работе (наименование, адрес и телефон работодателя, должность в настоящее время, размер заработной платы);
- данные об учебном заведении – для школьников и студентов (наименование, адрес и телефон учебного заведения);
- изображение (фотография) туриста;
- сведения о получении пенсии и о том, кто оплачивает поездку пенсионеру (для пенсионеров);
- даты прошлых выездов в страну планируемого посещения или в группу определенных стран;
- сведения о прошлых депортациях из страны планируемого посещения либо иных нарушений законодательства иностранных государств;
- копии претензий и исковых заявлений, относящиеся к туристам;
- другие требуемые сведения, определяемые консульскими службами посольства страны планируемого посещения.
5.1.3. Категории и объем персональных данных Пользователей, обрабатываемых Оператором персональных данных:
- фамилия, имя, отчество (при наличии);
- номер телефона;
- адрес электронной почты.
6. Права и обязанности субъекта персональных данных
6.1. Субъект персональных данных обязан передавать Оператору достаточные, достоверные, документированные персональные данные, полный состав, которых установлен в Политике, Cоглашениях о предоставлении персональных данных, а также в договорах на реализацию туристского продукта/туристических услуг, заключенных между Заказчиком (туристом) и Оператором (Турагентом).
6.2. Заказчик подтверждает, что им получено письменное согласие на обработку персональных данных всех туристов, являющихся выгодоприобретателями по Договору о реализации туристического продукта/туристических услуг, а также предоставить их персональные данные Туроператору, Турагенту и иным поставщиком.
6.3. Субъект персональных данных должен без неоправданной задержки сообщать Оператору об изменении своих персональных данных.
6.4. Субъект персональных данных имеет право:
- получать полную информацию, касающуюся обработки Обществом своих персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- требовать уточнения, блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них изменениях;
- отозвать согласие на обработку своих персональных данных;
- обжаловать действия или бездействие Общества при обработке его персональных данных в соответствии с законодательством Российской Федерации;
- реализовывать иные права, предусмотренные законодательством Российской Федерации.
7. Права и обязанности Оператора персональных данных
7.1. Оператор осуществляет обработку персональных субъектов персональных данных, при наличии одного хотя бы одного из следующих условий:
- обработка персональных данных осуществляется с письменного согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, в том числе для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Заказчик (турист), а также для заключения договора по инициативе Заказчика (туриста) или договора, по которому заказчик (турист) будет являться выгодоприобретателем или поручителем
- обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных.
7.2. Оператор вправе поручить обработку персональных данных третьему лицу с письменного согласия субъекта персональных данных, на основании заключенного с этим третьим лицом договора. В этом случае Оператор должен, на договорной основе, обязать третье лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и настоящим Положением.
7.3. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его судимости, политических, религиозных и иных убеждениях и частной жизни. Оператор не должен получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, если только эти данные не связаны с задачами и требованиями Заказчика (туристов) по организации его путешествия. Оператор не должен запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу организации безопасного отдыха для Заказчика (туристов) и (или) необходимы для выполнения обязательств по обеспечению предоставления туристских услуг, входящих в состав туристского продукта, заключения от имени Заказчика (туристов) договоров страхования.
8. Организация сбора, хранения, передачи и других видов обработки персональных данных
8.1. В целях реализации прав субъектов персональных данных Общество при обработке их персональных данных:
- разъясняет субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;
- принимает необходимые меры для выполнения обязанностей, предусмотренных законодательством Российской Федерации;
- уведомляет субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
- осуществляет блокирование, уточнение и уничтожение неправомерно обрабатываемых персональных данных, а также прекращение их неправомерной обработки;
- предоставляет по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации, а также нормативными документами Общества.
8.2. В целях эффективной организации процессов обработки персональных данных назначается ответственный за организацию обработки персональных данных в Обществе, который в соответствии с установленными полномочиями обеспечивает:
- принятие правовых, организационных и технических мер для защиты персональных данных, в том числе обрабатываемых в информационных системах, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- разработку и актуализацию нормативных документов Обществе по вопросам обработки и защиты персональных данных;
- доведение до сведения работников Общества положений законодательства Российской Федерации, нормативных документов Общества по вопросам обработки персональных данных, а также требований по защите персональных данных;
- внутренний контроль за соблюдением в Обществе требований законодательства Российской Федерации и нормативных документов Обществе в области персональных данных, в том числе требований по защите персональных данных;
- контроль за обработкой обращений и запросов субъектов персональных данных или их представителей по фактам нарушений законодательства в области персональных данных, допущенных работниками Общества;
- взаимодействие с государственными органами по вопросам защиты персональных данных.
8.3. Обработка персональных данных в Обществе осуществляется с помощью средств электронно-вычислительных машин (автоматизированная обработка) либо при непосредственном участии человека без использования средств электронно-вычислительных машин (неавтоматизированная обработка).
8.4. К обработке персональных данных допускаются руководители Общества, наделенные этим правом работодателем, и только те работники Общества, в должностные обязанности которых входит обработка персональных данных.
Указанные руководители и работники имеют право обрабатывать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
8.5. Передача персональных данных в государственные органы осуществляется в соответствии с требованиями законодательства Российской Федерации.
8.6. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, а также на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в порядке, предусмотренном законодательством Российской Федерации.
8.7. При получении или сборе персональных данных, в том числе с использованием сети Интернет, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.
8.8. Сроки хранения персональных данных в Обществе определяются в соответствии с законодательством Российской Федерации и нормативными документами Общества.
8.9. Обеспечение безопасности персональных данных, в том числе при их обработке в информационных системах, осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.
8.10. В соответствии с нормативными документами, регулирующими туристскую деятельность Общество обязано осуществлять передачу установленных нормативными документами персональных данных Заказчиков (туристов) в Единую информационную систему электронных путевок.
9. Заключительные положения
9.1. Ответственность за нарушение требований законодательства Российской Федерации и нормативных документов Общества в области персональных данных определяется в соответствии с законодательством Российской Федерации.
9.2. Оператор имеет право вносить изменения в Политику без уведомления субъектов персональных данных, в частности Пользователей. Положения Политики подлежат актуализации в случае изменения законодательства Российской Федерации о персональных данных. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.
9.3. Политика действует бессрочно до ее замены новой редакцией. Политика является общедоступным документом и подлежит размещению на официальном сайте: https://globus-tripagency.ru/pod
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР Третьякова М. Г.