Утверждено
Приказом Генерального директора
ООО «Туристическое агентство«Радуга» Жолудевой О.Г.
От 09.01.2020
Положение
Об обработке и защите персональных данных
1. Общие положения.
1. Настоящее положение «Об обработке и защите персональных данных» разработано на основании Конституции Российской Федерации. Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»Федерального Закона 24.11.1996 г.№132-ФЗ «Об основах туристической деятельности в Российской Федерации и других нормативно -правовых актов Российской Федерации .
1.1 В соответствии с п.п 1.4 статьи 4 Федерального закона от 27.07.2006 г.№152 –ФЗ «О персональных данных»законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из Федерального закона от 27.07.2006 г.№152 –ФЗ «О персональных данных» и других определяющих случаи и особенности обработки персональных данных федеральных законов.
Если международным договором Российской Федерации установлены иные правила чем те ,которые предусмотрен Федерального закона от 27.07.2006 г.№152 –ФЗ «О персональных данных» ,применяются правила международного договора.
1.2 В целях обеспечения защиты персональных данных настоящее Положение определяет политику в отношении обработки персональных данных, устанавливает процедуры ,направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений в деятельности ООО «ТА «Радуга»(далее «Общество» «Оператор»)с использованием средств автоматизации ,в том числе в информационно-телекоммуникационных сетях или без использования таких средств соответствует характеру действий (операций),совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных зафиксированных на материальном носители ,и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и доступ к таким персональным данным .
1.3 Целью настоящего Положения является защита персональных данных субъектов персональных данных Общества от несанкционированного доступа и распространения ,неправомерного их использования или утраты .
ООО "Туристическое агентство "Радуга"(оператор) ставит соблюдение прав и свобод граждан одним из важнейших условий осуществления своей деятельности.
1.4 Политика Оператора в отношении обработки персональных данных (далее по тексту — Политика) применяется ко всей информации ,которую Оператор может получить о посетителях веб-сайта raduganvks.ru. Персональные данные обрабатывается в соответствии с ФЗ «О персональных данных» №152-ФЗ.
2. Основные понятия, используемые в Политике:
2.1 Веб-сайт - совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу raduganvks.ru;
2.2 Пользователь – любой посетитель веб-сайта raduganvks.ru;
2.3 Персональные данные – любая информация, относящаяся к Пользователю веб- сайта raduganvks.ru;
2.4 Обработка персональных данных - любое действие с персональными данными, совершаемые с использованием ЭВМ, равно как и без их использования;
2.5 Обезличивание персональных данных – действия, результатом которых является невозможность без использования дополнительной информации определить принадлежность персональных данных конкретному Пользователю или лицу;
2.6 Распространение персональных данных – любые действия, результатом которых является раскрытие персональных данных неопределенному кругу лиц;
2.7 Предоставление персональных данных – любые действия, результатом, которых является раскрытие персональных данных определенному кругу лиц;
2.8 Уничтожение персональных данных – любые действия, результатом которых является безвозвратное уничтожение персональных на ЭВМ или любых других носителях.
3. Оператор может обрабатывать следующие персональные данные Пользователя:
3.1 Список персональных данных, которые обрабатывает оператор: фамилия, имя, отчество, номер телефона, паспортные данные.
4. Цели обработки персональных данных
4.1 Персональные данные пользователя - фамилия, имя, отчество, номер
телефона, паспортные данные - обрабатываются со следующей целью:
предоставление услуг по организации путешествий; продажа туристических продуктов и услуг. Оператор имеет право направлять Пользователю уведомления.
Обработка персональных данных, ограничеватся достижением конкретных ,заранее определенных и законных целей .Не допускается обработка персональных данных ,несовместимая с целями сбора персональных данных.
4.1Целью обработки персональных данных является :
- осуществление возложенных на Общество законодательством Российской Федерации функций в рамках реализации прав и обязанностей ,вытекающих из корпоративных правоотношений ;
- организация учета работников Общества для обеспечения соблюдения законов и иных нормативно-правовых актов содействия в трудоустройстве , в обучении ,в соответствии с трудовым кодексом Российской Федерации .
5. Обработка персональных данных.
5.1Общество получает сведения о персональных данных субъектов персональных данных из следующих документов:
паспорт или иной документ удостоверяющий личность ;
трудовая книжка;
-страховое свидетельство государственного пенсионного страхования ;
-свидетельство о постановке на учет в налоговом органе ,содержащее сведения об идентификационном номере налогоплательщика ;
-документ об образовании ,о квалификации или наличия профессиональных знаний, содержащих сведения об образовании ;
-анкета, заполняемая при приеме на работу ;
-заявка на бронирование тура;
- письменный договор о реализации туристического продукта /туристического услуги
- приложения к письмам договорам о реализации туристического продукта /туристической услуги
-письменные претензии по качеству предоставления туристического продукта /туристической услуги
- письменные документы( судебные иски, возражение на иски, решение судебных инстанций и тому подобное)
5.2 Персональные данные субъектов могут храниться как на бумажных носителях, так в электронном виде.
Персональные данные на бумажных носителей, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведённых шкафах. Персональные данные субъектов персональных данных также хранятся в электронном виде: в локальной компьютерной сети общества в электронных папках и файлах персональных компьютерах генерального директора, работников Общества, допущенных к обработке персональных данных.
5.4 Общество проверяет достоверность предоставленных сведений о персональных данных в порядке, не противоречащем законодательству Российской Федерации.
5.5 Обработка персональных данных субъекта персональных данных может осуществляться в целях определённых действующим законодательством и настоящим Положением.
5.6 При определении объема и содержание обрабатываемых персональных данных Общество руководствуется Конституцией Российской Федерации; Трудовым кодексом Российской Федерации; законодательством Российской Федерации об обработке и защите персональных данных, включая,но не ограничиваясь Федеральным законом от 27.07.2006 №152 –ФЗ «О персональных данных»законодательством Российской Федерации в сфере туризма ,в том числе Федеральным законом «Об основах туристической деятельности в Российской Федерации от 24.11.1996 г №132 –ФЗ; иными федеральными законами.
5.7 Если персональные данные субъекта персональных данных Общество получает непосредственно у указанных субъектов, то сотрудники( работники) Общества, ответственные за документационное обеспечение кадровой деятельности и деятельности, связанной с исполнением гражданско-правовых договоров Общества проверяет полноту и правильность указанных сведений.
Сотрудники (работники) Общества ,ответственные за обработку персональных данных, в целях исполнения гражданско-правового договора Общества ,одной из сторон которого является субъект персональных данных, все персональные данные субъекта персональных данных получают непосредственно у указанных субъектов или третьих лиц, действующих в порядке, определённом законом или договором.
Перечень лиц допущенных к работе с документами, содержащими персональные данные субъектов определяется приказами генерального директора Общества.
Лицо ответственное за организацию обработки персональных данных назначаются приказом генерального директора общества.
Лица ответственные за организацию обработки персональных данных обязано:
Осуществлять внутренний контроль за соблюдением общества и его работниками законодательства Российской Федерации о персональных данных, в том числе требования к защите персональных данных:
Доводить до сведения работников общества положения законодательства Российской Федерации о персональных данных локальных актов по вопросам обработки персональных данных, требованиях к защите персональных данных
Организовывать прием и обработку обращений и вопросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.
Ответственный за организацию обработки и обеспечение безопасности персональных данных в обществе обеспечивает правовую поддержку путём рассмотрения и согласования проектов документов общества в области обработки защиты персональных данных.
Организация обеспечения техническими средствами обработки серверами и их исправной работы организуется ответственным в организации обработки и обеспечение безопасности персональных данных в Обществе.
Прием посетителей осуществляется только в те часы которые ежедневно выделяется для этой цели. В другое время в соответствующем помещении не могут находиться посторонние лица ,в том числе сотрудники Общества.
В часы приема посетителей работники общества не должны выполнять функции не связанные с приемом ввести служебные личные переговоры по телефону. На столе работника ведущего приема не должно быть никаких документов ,кроме тех которые касается данного посетителя.
Не допускается отвечать на вопросы связанные с передачей персональных данных по телефону. Ответы на письменные запросы других учреждений и организаций даются в письменной форме на бланке общества в том объеме,который позволяет не разглашать излишний объем персональных данных.
При выдаче справки с места работы необходимо удостовериться в личности работника, которому эта справка выдается. Не разрешается выдавать её родственникам или сослуживцам лицам, которому требуется справка. За полученные справки работник общества расписывается в журнале учёта выдачи справок.
Дела картотеки учёные журналы и книги учёта хранятся в рабочее и нерабочее время в металлических запирающихся шкафах. Работникам общества не разрешается при выходе из помещений оставлять какие-либо документы на рабочем столе или оставлять шкафы незапертыми. У каждого работника общества должен быть свой шкаф для хранения закреплённых за ним дел и картотек. На рабочем столе работника должен всегда находиться только тот массив документов и учётных карточек, с которым настоящий момент он работает другие документы, дела, карточки, журналы должны находиться в запертом шкафу. Исполняемые документы не разрешается хранить в россыпи. Их следует помещать в папке на которых указывается вид производимых ними действий ,подшивка личные дела, отправки и прочее.
11 . В конце рабочего дня все документы, дела ,листы бумаги и блокноты с рабочими записями инструктивные и справочные материалы должны быть убраны в шкафы или сейфы. Черновики редакции документов, и испорченные бланки, листы со служебными записями в конце рабочего дня уничтожаются.
12. Материалы связанные с анкетированием, тестированием, проведением собеседования с кандидатами на должность сотрудника общества, помещается не в личное дело принятого сотрудника, а в специальное дело имеющие гриф строго конфиденциально. Материалы с результатами тестирования работ работающих работников, материалы их аттестации формируются в другое дело, также имеющиеся гриф строгой конфиденциальности .
13. Личное дело должно обязательно иметь опись документов, включённых в дело. Листы делаются в процессе формирования дела.
14. Личные дела могут выдаваться генеральному директору Общества на рабочее место под подпись контрольной карточки. При этом передаче личных дел через секретарей или референтов не допускается. Другие руководители общества могут ознакомиться с личными делами подчинённых им сотрудников присутствии работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется в контрольной карточке личного дела. Сотрудник Общества имеет право знакомиться только со своим личным делом и трудовой книжкой, учётными карточками, отражающими его персональные данные.
6. Сроки обработки персональных данных и порядок уничтожения .
В случае достижения цели обработки персональных данных
Общество обязано прекратить обработку персональных данных или обеспечить её прекращение ,(если обработка персональных данных осуществляется другим лицом действующим по поручению Общества) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом действующим по поручению Общества) в срок не превышающей 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которым является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основании, предусмотренных Федеральным Законом о персональных данных или другим Федеральными Законами.
Персональные данные, содержащие на электронных носителях информации, уничтожаются в течение трёх рабочих дней со дня окончания срока исковое давности по договору(по общему правилу три года с момента, когда узнало или должно было узнать о нарушении своего права)
2. Персональный данные субъекты персональных данных ,содержащих на бумажных носителях, уничтожаются по акту вследующие сроки :
-хранящиеся на бумажных носителей и отнесённые к разряду первичных бухгалтерских документов или иных документов подлежащих хранению по законодательству РФ течение трёх рабочих дней со дня окончания срока исковой давности по гражданско-правовому договору;
- хранящиеся на бумажных носителях и отнесённых к разряду первичных бухгалтерских документов либо документов подлежащих хранению, по законодательству РФ в течение трёх рабочих дней со дня окончания срока и хранения установленного нормами законодательства РФ
3. Об уничтожение персональных данных Общество обязано уведомить субъект персональных данных, если иное не установлено законодательством РФ либо гражданско-правовым договором.
Защита персональных данных.
Комплекс мер по защите персональных данных направлен на предупреждение нарушения доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и производственной деятельности общества. Общество при работе персональных данных обязано принимать необходимые правовые организационные и технические меры или обеспечивать их принятия для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокировки, копирование, предоставление, распространение, а также от иных неправомерных действий в отношении персональных данных, в том числе использовать шифровальные средства для защиты персональных данных в соответствии с требованиями и обеспечения безопасности и защите персональных данных установленными правительством Российской Федерации
Мероприятия по защите персональных данных подразумевает внутреннюю и внешнюю защиту.