ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ТУРИСТОВ И ИНЫХ ЗАКАЗЧИКОВ ТУРИСТСКОГО ПРОДУКТА
1.Термины и определения.
В настоящем Положении используются следующие основные понятия:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор – юридическое лицо (индивидуальный предприниматель), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Турагент (Оператор персональных данных) — юридическое лицо или индивидуальный предприниматель, осуществляющий деятельность по продвижению и реализации туристского продукта;
Туроператор (Оператор персональных данных) — юридическое лицо, состоящее в Едином федеральном реестре туроператоров, осуществляющее деятельность по формированию, продвижению и реализации туристского продукта, на основании договоров, заключённых с Турагентом, туристом или иным заказчиком туристского продукта;
Турист (субъект персональных данных) — лицо, посещающее страну (место) временного пребывания в лечебно-оздоровительных, рекреационных, познавательных, физкультурно-спортивных, профессионально-деловых, религиозных и иных целях без занятия деятельностью, связанной с получением дохода от источников в стране (месте) временного пребывания, на период от 24 часов до 6 месяцев подряд или осуществляющее не менее одной ночевки в стране (месте) временного пребывания;
Заказчик — физическое лицо (субъект персональных данных), заказывающее туристский продукт от имени туриста, в том числе законный представитель несовершеннолетнего туриста;
Туристская деятельность — туроператорская и турагентская деятельность, а также иная деятельность по организации путешествий;
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Настоящим Положением определяется порядок обработки персональных данных туристов (субъектов персональных данных), являющихся клиентами Оператора, в рамках исполнения Оператором обязательств по договорам о реализации туристского продукта.
Обработка персональных данных туристов (субъектов персональных данных) осуществляется исключительно в целях обеспечения исполнения Турагентом и Туроператором обязательств в рамках договоров о реализации туристского продукта, соблюдения законов и иных нормативных правовых актов, регламентирующих туристскую деятельность и деятельность по защите персональных данных туристов (субъектов персональных данных).
В правоотношениях с заказчиками/туристами (субъектами персональных данных) в качестве Оператора персональных данных выступает Турагент, заключивший с заказчиком или туристом договор о реализации туристского продукта, а Туроператор выступает в качестве третьего лица, которому Оператор персональных данных – Турагент – на договорной основе поручил обработку персональных данных Туристов с их согласия и на основании договора, заключенного между Турагентом и заказчиком или туристом.
Цель данного Положения – определение порядка обработки и защиты персональных данных всех заказчиков (туристов), являющихся клиентами ООО «ТверьТурСервис», данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Персональные данные заказчиков (туристов) не могут быть использованы Турагентом или его сотрудниками в целях причинения имущественного и морального вреда заказчикам (туристам), затруднения реализации их прав и свобод.
Обработка персональных данных заказчиков (туристов) должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с заказчиком (туристом) целей. Обработке подлежат только те персональные данные заказчиков (туристов) и только в том объеме, которые отвечают целям их обработки, определенным в договоре с заказчиком (туристом) или законодательством Российской Федерации.
Обрабатываемые персональные данные заказчиков (туристов) подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
Настоящее Положение и изменения к нему утверждаются Генеральным директором ООО «ТверьТурСервис» и вводятся приказом. Все сотрудники ООО «ТверьТурСервис» должны быть ознакомлены под подпись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками ООО «ТверьТурСервис», имеющими доступ к персональным данным заказчиков (туристов).
ООО «ТверьТурСервис», с целью обеспечения неограниченного доступа к настоящему Положению, определяющему политику ООО «ТверьТурСервис» в отношении обработки персональных данных заказчиков (туристов) и в сфере реализуемых мер по защите персональных данных, размещает текст настоящего Положения на официальном сайте ООО «ТверьТурСервис » (https://tverturservis.ru/), а также в «Уголке потребителя», который оборудован в офисе ООО «ТверьТурСервис».
ООО «ТверьТурСервис»» оставляет за собой право вносить необходимые изменения в Положение при изменении действующего законодательства РФ и условий своей деятельности.
3.1 Состав персональных данных заказчиков (туристов), обрабатываемых Оператором (турагентом) и туроператором:
3.1.1 Основная информация, предоставляемая заказчиком (туристом) Оператору и необходимая для исполнения обязательств, связанных с реализацией туристского продукта и предоставлением туристских услуг, входящих в состав туристского продукта:
— фамилия, имя, отчество (при наличии) заказчика (туриста) на русском языке;
— фамилия, имя в латинской транскрипции, как они указаны в заграничном паспорте;
— год, месяц и число рождения туриста;
— место рождения;
— гражданство в настоящее время (при необходимости – гражданство при рождении);
— пол;
— данные об общегражданском паспорте РФ (серия и номер общероссийского паспорта, дата его выдачи, наименование органа, выдавшего паспорт, срок действия общероссийского паспорта либо свидетельства о рождении);
— данные о заграничном паспорте РФ (серия и номер заграничного паспорта, дата его выдачи, наименование органа, выдавшего паспорт, срок действия);
— данные свидетельства о рождении (для несовершеннолетних граждан);
— адрес регистрации;
— фактический адрес проживания;
— адрес электронной почты;
— домашний и контактный (мобильный) телефоны.
3.1.2 Дополнительные сведения, запрашиваемые консульскими службами посольства страны планируемого посещения при необходимости получения в интересах туриста визы в посольстве страны планируемого пребывания (под. п.5., п.1.; п.4. ст.6. Федерального закона «О персональных данных»), либо страховыми компаниями в интересах заключения договора, выгодоприобретателем по которому является заказчик (турист), которые могут включать:
— фамилию, имя отца; фамилию, имя матери;
— данные о работодателе и работе (наименование, адрес и телефон работодателя, должность в настоящее время, размер заработной платы);
— данные об учебном заведении – для школьников и студентов (наименование, адрес и телефон учебного заведения);
— изображение (фотография) туриста;
— сведения о получении пенсии и о том, кто оплачивает поездку пенсионеру (для пенсионеров);
— даты прошлых выездов в страну планируемого посещения или в группу определенных стран;
— сведения о прошлых депортациях из страны планируемого посещения либо иных нарушений законодательства иностранных государств; копии претензий и исковых заявлений, относящиеся к туристам;
— другие требуемые сведения, определяемые консульскими службами посольства страны планируемого посещения.
3.2 Оператор получает персональные данные заказчиков (туристов):
— от субъекта персональных данных – туристов, на основании заключения Турагентом с туристом письменного договора о реализации туристского продукта;
— от заказчика туристского продукта (субъекта персональных данных), выступающего также на законном основании представителем других субъектов персональных данных – туристов, указанных в договоре о реализации туристского продукта, и являющихся выгодоприобретателями по договору между Турагентом и заказчиком.
Персональные данные заказчиков (туристов), перечисленные в главе 3 настоящего Положения, являются конфиденциальными. Оператор обеспечивает конфиденциальность персональных данных заказчиков (туристов), и обязан не допускать их распространения без согласия заказчиков (туристов), либо наличия иного законного основания.
Все меры конфиденциальности при сборе, обработке и хранении персональных данных заказчиков (туристов) распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
Заказчик (турист) обязан передавать Оператору достаточные, достоверные, документированные персональные данные, полный состав которых установлен в договорах на реализацию туристского продукта, заключенных между заказчиком (туристом) и Турагентом.
Заказчик (турист) должен без неоправданной задержки сообщать Турагенту об изменении своих персональных данных.
Заказчик (турист) имеет право на получение сведений о Туроператоре, о месте его нахождения, о наличии у Турагента персональных данных, относящихся к заказчику (туристу), а также на ознакомление с такими персональными данными.
Заказчик (турист) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных Турагентом и Туроператором;
— правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных;
— сроки обработки персональных данных, в том числе сроки их хранения;
— информацию о предполагаемой трансграничной передаче персональных данных;
— наименование третьего лица или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по договору с Оператором;
— иные сведения, предусмотренные федеральными законами.
Заказчик (турист) вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения о наличии персональных данных должны быть предоставлены заказчику (туристу) в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Доступ к своим персональным данным предоставляется заказчику (туристу) или его законному представителю Оператором при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность заказчика (туриста) или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись заказчика (туриста) или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством РФ.
Согласие на обработку персональных данных может быть отозвано заказчиком (туристом), путём направления письменного уведомление в адрес Оператора. Уведомление должно содержать номер основного документа, удостоверяющего личность заказчика (туриста) или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись заказчика (туриста) или его законного представителя. Уведомление может быть направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством РФ.
Если заказчик (турист) считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции) или иным образом нарушает его права и свободы, заказчик (турист) вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Заказчик (турист) имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
Оператор осуществляет обработку персональных заказчиков (туристов), только по ниже следующим основаниям:
— обработка персональных данных заказчиков (туристов) выполняется Оператором в соответствии с требованиями, возложенными на Оператора Федеральным законом №132-ФЗ «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 года (в действующей редакции);
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является заказчик (турист), а также для заключения договора по инициативе заказчика (туриста), или договора, по которому заказчик (турист) будет являться выгодоприобретателем или поручителем;
— обработка персональных данных заказчиков (туристов) необходима для осуществления прав и законных интересов Оператора или иных третьих лиц при соблюдении условия, что при этом не нарушаются права и свободы заказчиков (туристов);
— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен самим заказчиком (туристом), либо по его поручению.
Оператор вправе поручить обработку персональных данных третьему лицу с согласия заказчика (туриста), на основании заключенного с этим третьим лицом договора. В этом случае Оператор должен, на договорной основе, обязать третье лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции) и настоящим Положением.
При определении объема и содержания персональных данных заказчика (туриста), подлежащих обработке, Оператор обязан руководствоваться Федеральным законом №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции), Федеральным законом №132-ФЗ «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 года (в действующей редакции), договорными обязательствами, взятыми на себя сторонами по договору между заказчиком (туристом) и Турагентом. Оператор получает персональные данные заказчиков (туристов) только в объеме, необходимом для достижения целей, указанных в договоре с заказчиком (туристом).
Заключая с заказчиком (туристом) договор о реализации турпродукта Турагент должен письменно уведомлять заказчика (туриста) о юридических последствиях отказа предоставить его персональные данные и (или) дать согласие на их обработку (ч.2 ст. 18 Федеральным законом №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции).
Заключая с заказчиком (туристом) договор о реализации турпродукта Турагент должен письменно уведомлять заказчика (туриста) о передаче его персональных данных для обработки Туроператору и/или непосредственным исполнителям туристских услуг. Основание: п.1, п.4.ст.18. Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции); ст.ст.10., 10.1. Федерального закона №132-ФЗ «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 года, п. 19 «Правил оказания услуг по реализации туристского продукта», утверждённых Постановлением Правительства РФ № 1852 от 18.11.2020 г.
Оператор (турагент и туроператор) не имеет права получать и обрабатывать персональные данные заказчика (туриста) о его судимости, политических, религиозных и иных убеждениях и частной жизни.
Оператор (турагент и туроператор) не должен получать и обрабатывать персональные данные заказчика (туриста) о его членстве в общественных объединениях или его профсоюзной деятельности, если только эти данные не связаны с задачами и требованиями заказчика (туриста) по организации его путешествия.
Оператор (турагент и туроператор) не должен запрашивать информацию о состоянии здоровья заказчика (туриста), за исключением тех сведений, которые относятся к вопросу организации безопасного отдыха для заказчика (туриста), и необходимы для выполнения обязательств по обеспечению предоставления туристских услуг, входящих в состав туристского продукта, заключения от имени заказчика (туриста) договоров страхования.
Защите подлежат следующие материальные объекты, содержащие персональные данные заказчиков (туристов), если только с них на законном основании не снят режим конфиденциальности:
— документы, содержащие персональные данные заказчиков (туристов);
— бумажные носители, содержащие персональные данные заказчиков (туристов);
— информация, содержащая персональные данные заказчиков (туристов), размещенная на электронных носителях.
Организацию защиты персональных данных заказчиков (туристов) осуществляет Оператор.
Оператор обеспечивает: ознакомление сотрудников под роспись с настоящим Положением; истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных заказчиков (туристов) и соблюдении правил их обработки; ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных Оператором.
Защита информационных систем Оператора, в которых обрабатываются персональные данные заказчиков (туристов), от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Приказом ФСТЭК России №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 г.
Доступ к персональным данным заказчиков (туристов) имеют сотрудники Оператора, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей, утверждаемого приказом генерального директора.
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Генерального директора, доступ к персональным данным заказчиков (туристов) может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным заказчиков (туристов), и которым они необходимы в связи с исполнением трудовых обязанностей.
Процедура оформления доступа к персональным данным заказчиков (туристов) включает в себя: ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных заказчиков (туристов), с данными актами также производится ознакомление под роспись; истребование с сотрудника (за исключением генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных заказчиков (туристов) и соблюдении правил их обработки.
Сотрудник Оператора, имеющий доступ к персональным данным заказчиков (туристов) в связи с исполнением трудовых обязанностей: обеспечивает хранение информации, содержащей персональные данные заказчиков (туристов), исключающее доступ к ним третьих лиц; в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные заказчиков (туристов); при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные заказчиков (туристов) лицу, на которое приказом генерального директора Оператора будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные заказчиков (туристов), передаются другому сотруднику, имеющему доступ к персональным данным заказчиков (туристов) по указанию генерального директора Оператора.
При увольнении сотрудника, имеющего доступ к персональным данным заказчиков (туристов), документы и иные носители, содержащие персональные данные заказчиков (туристов), передаются другому сотруднику, имеющему доступ к персональным данным заказчиков (туристов) по указанию генерального директора Оператора.
Допуск к персональным данным заказчиков (туристов) других сотрудников Оператора, не имеющих надлежащим образом оформленного доступа, запрещается.
Документы, содержащие персональные данные заказчиков (туристов), хранятся в запирающихся помещениях в шкафах, обеспечивающих защиту от несанкционированного доступа, куда они помещаются в конце рабочего дня.
Защита доступа к электронным носителям, содержащим персональные данные заказчиков (туристов), обеспечивается, в том числе: организацией контроля доступа в помещения информационной системы посторонних лиц; использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным; разграничением прав доступа с использованием учетной записи; использованием паролей; установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; учетом машинных носителей персональных данных; обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер; контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.
Ответы на письменные запросы других организаций и учреждений о персональных данных заказчиков (туристов) даются только с письменного согласия самого заказчиков (туристов) или уполномоченного лица заказчиков (туристов), если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Оператора, и в том объеме, который позволяет не разглашать излишний объем персональных данных заказчиков (туристов).
Обработка персональных данных заказчиков (туристов) осуществляется Оператором исключительно для достижения целей, определенных письменными договорами о реализации туристского продукта, заключаемого между заказчиком (туристом) и Оператором (Турагентом или Туроператором), иных договоров, предусмотренных законодательством РФ.
Обработка персональных данных Оператором в интересах заказчиков (туристов) заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных заказчиков (туристов).
Обработка персональных данных заказчиков (туристов) ведется смешанным методом (в том числе автоматизированной) обработки.
К обработке персональных данных заказчиков (туристов) могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными заказчиков (туристов).
Согласие на обработку персональных данных может быть отозвано заказчиком (туристом). В случае отзыва заказчиком (туристом) согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия заказчиков (туристов) при наличии следующих оснований:
— обработка персональных данных необходима для осуществления и выполнения возложенных на Оператора Федеральным законом №132-ФЗ «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 года функций и п. 19 «Правил оказания услуг по реализации туристского продукта», утверждённых Постановлением Правительства РФ № 1852 от 18.11.2020 г., полномочий и обязанностей;
— обработка персональных данных заказчиков (туристов) необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является заказчик (турист), а также для заключения договора по инициативе заказчика (туриста) или договора, по которому заказчик (турист) будет являться выгодоприобретателем или поручителем;
— обработка персональных данных заказчиков (туристов) необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы заказчиков (туристов).
В случае отзыва заказчиком (туристом) согласия на обработку его персональных данных, Оператор обязан прекратить их обработку и обеспечить прекращение такой обработки другими лицами, в частности Туроператором или непосредственными исполнителями туристских услуг, действующим по поручению Оператора, а также уничтожить или обезличить персональные данные заказчика (туриста) и обеспечить их уничтожение или обезличивание другим лицом, действующим по поручению Оператора.
В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора.
Передача персональных данных заказчиков (туристов) осуществляется Оператором исключительно для достижения целей, определенных письменными договорами о реализации туристского продукта, заключаемого между заказчиком (туристом) и Оператором (Турагентом или Туроператором), иных договоров, предусмотренных законодательством РФ.
Передача персональных данных заказчиков (туристов) третьим лицам осуществляется Оператором только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных заказчиков (туристов) и безопасности персональных данных при их обработке.
Оператор в договоре с заказчиком (туристом) обуславливает право третьих лиц, которым Оператор передает персональные данные заказчиков (туристов), осуществлять трансграничную передачу персональных данных заказчиков (туристов) на территории иностранных государств, которые он планирует посетить, в том числе и на территории государств, не обеспечивающих адекватную защиту персональных данных.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Заказчика (Туриста), Оператор обязан в установленные законом сроки уведомить уполномоченный орган по защите прав субъектов персональных данных.
Персональные данные заказчиков (туристов) могут храниться, как на бумажных носителях, так и в электронном виде.
Персональные данные заказчиков (туристов) хранятся:
— в подразделении Оператора, который принимает заявки заказчиков (туристов) на бронирование туристского продукта и осуществляет работу непосредственно с заказчиком (туристом);
— в бухгалтерии Оператора (при наличии соответствующего подразделения);
— в юридическом отделе Оператора (при наличии соответствующего подразделения).
Персональные данные заказчиков (туристов) содержатся в следующих группах документов:
— письменные заявки (Листы бронирования) заказчиков (туристов) на бронирование туристского продукта;
— письменные договоры с заказчиками (туристами) на реализацию им туристского продукта;
— приложения к письменным договорам с заказчиками (туристами) на реализацию им туристского продукта;
— письменные договоры с заказчиками (туристами) об оказании услуг;
— бухгалтерские документы, которыми оформляются сделки между заказчиками (туристами) и Оператором, Турагентом и Туроператором, а также бухгалтерские документы, оформленные с непосредственными исполнителями услуг;
— письменные претензии заказчиков (туристов), направленные в адрес Оператора;
— письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по искам заказчиков (туристов) к Оператору или к иным лицам, стороной дела в которых является Оператор.
Персональные данные заказчиков (туристов) на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных шкафах в закрывающихся помещениях.
Ключи от помещений хранятся у сотрудников Оператора, допущенных к работе с персональными данными заказчиков (туристов).
Персональные данные заказчиков (туристов) также хранятся в электронном виде: на машинных носителях, в электронных папках и файлах в ПК сотрудников Оператора, допущенных к работе с персональными данными заказчиков (туристов).
После достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных заказчиков (туристов) и уничтожить их персональные данные.
Оператор уничтожает персональные данные заказчиков (туристов), и обеспечивает их уничтожение другими лицами, действующими по поручению Оператора, в следующие сроки:
— хранящиеся на электронных носителях — в течение трех дней со дня окончания установленного законодательством срока исковой давности по искам, связанным с предоставлением услуг, входящих в состав туристского продукта;
— хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ — в течение трех дней со дня окончания срока исковой давности по договору заказчика (туриста), заключённому с Оператором;
— хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ — в течение трех дней со дня окончания срока их хранения, установленного нормами законодательства РФ;
— в случае отзыва заказчиком (туристом) согласия на обработку его персональных данных, хранящихся на любых носителях – в течение тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором или иным соглашением между Оператором и заказчиком (туристом).
В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в настоящем пункте, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Право доступа к персональным данным заказчиков (туристов) имеют:
— генеральный директор Оператора;
— сотрудники Оператора, допущенные к обработке персональных данных заказчиков (туристов) в соответствии с Перечнем сотрудников Оператор, имеющих доступ к персональным данным заказчиков (туристов);
— другие сотрудники Оператора при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения генерального директора;
— заказчик (турист), как субъект персональных данных, или его законный представитель.
Перечень сотрудников Оператора, имеющих доступ к персональным данным заказчиков (туристов), определяется приказом генерального директора Оператора.
Доступ заказчиков (туристов) к своим персональным данным предоставляется при обращении либо при получении письменного запроса заказчика (туриста). При получении соответствующего письменного запроса Оператор обязан в течение десяти дней с даты получения запроса сообщить заказчику (туристов) информацию о наличии персональных данных о нем, и при необходимости предоставить возможность ознакомления с ними, либо в течение этого же срока дать мотивированный отказ в предоставлении информации.
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
При передаче персональных данных заказчиков (туристов) Оператор должен соблюдать следующие требования:
— не сообщать персональные данные заказчиков (туристов) третьей стороне без письменного согласия заказчиков (туристов), за исключением случаев, установленных федеральным законом;
— предупредить лиц, получающих персональные данные заказчиков (туристов), о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
— разрешать доступ к персональным данным заказчиков (туристов) только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные заказчиков (туристов), которые необходимы для выполнения конкретных функций.
Согласия заказчиков (туристов) на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью заказчиков (туристов), и когда третьи лица оказывают услуги Оператору на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
Оператор несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных заказчиков (туристов). Оператор закрепляет персональную ответственность сотрудников за соблюдение установленного в организации режима конфиденциальности.
Генеральный директор Оператора несет ответственность за соблюдение сотрудниками норм, регламентирующих получение, обработку и защиту персональных данных заказчиков (туристов).
Каждый сотрудник Оператора, получающий для работы документ, содержащий персональные данные заказчиков (туристов), несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных заказчиков (туристов), несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных заказчиков (туристов) Оператор вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные заказчиков (туристов), либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
Федеральный закон №152-ФЗ «О персональных данных» от 27 июля 2006 г. (в действующей редакции).
Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. (в действующей редакции)
Федеральный закон №132-ФЗ «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 года (в действующей редакции).
«Правила оказания услуг по реализации туристского продукта», утверждённые Постановлением Правительства РФ № 1852 от 18.11.2020 г.
Постановление Правительства РФ №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г.
Постановление Правительства РФ №1119. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г.
Указ Президента Российской Федерации №188 «Об утверждении Перечня сведений конфиденциального характера» от 6 марта 1997 года.
Приказ ФСТЭК №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от «18» февраля 2013 г.;
Приказ ФСБ России №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации…» от «10» июля 2014 г.