Политика обработки и защиты персональных данных общества с ограниченной ответственностью «Демлинк»
Внимательно прочитайте настоящую политику! Ознакомившись с настоящей политикой конфиденциальности и предоставляя свои персональные данные на сайте, Вы тем самым соглашаетесь с ней.
1. Общие положения
Настоящая Политика определяет порядок сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления доступа), обезличивания, блокирования, удаления и уничтожения персональных данных (далее – ПДн, Персональные данные) в обществе с ограниченной ответственностью «ДЕМЛИНК» ИНН 7730715646 (далее- Общество).
Общество в соответствии с Федеральным законом «О персональных данных» является оператором ПДн и зарегистрировано в реестре федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) с регистрационным номером – 77-15-003550, на основании приказа от 21.08.2015 № 144.
Основными целями настоящей Политики являются:
− обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных работников, клиентов Общества, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов ПДн;
− определение порядка обработки ПДн работников Общества (далее работников), клиентов Общества (далее – клиентов), и иных лиц, ПДн которых подлежат обработке на основании полномочий Общества;
− обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
− установление ответственности должностных лиц, имеющих доступ к ПДн за невыполнение требований норм, регулирующих обработку и защиту ПДн.
Настоящая Политика вступает в силу с момента её утверждения приказом Общества, является обязательным для ознакомления
и исполнения всеми работниками и иными лицами, имеющими доступ к ПДн работников и (или) клиентов (далее – субъектов ПДн), и действует бессрочно, до замены её новой Политикой.
Внесение изменений в настоящую Политику производится по приказу генерального директора Общества. Изменения вступают в силу с момента подписания соответствующего приказа.
2. Нормативные ссылки
В настоящей Политике использованы нормативные ссылки на следующие документы:
– Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ;
– Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– Приказ ФСТЭК РФ от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
– Приказ ФСТЭК РФ от 14.05.2020 № 68 «О внесении изменений в состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные Приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 г. № 21»;
– Статья № 65 Трудового кодекса Российской Федерации «Документы, предъявляемые при заключении трудового договора»;
– Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»;
3. Термины, определения и сокращения
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Персональные данные работника (ПДн работника) — любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;
Персональные данные клиента (ПДн клиента) — любая информация, относящаяся к определенному или определяемому на основании такой информации клиенту, необходимая работникам в связи с оказанием клиенту услуг;
Предоставление ПДн — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
Распространение ПДн — действия, направленные на передачу ПДн определенному кругу лиц (передача ПДн) или на ознакомление с ПДн неограниченного круга лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом;
Использование ПДн – действия (операции) с ПДн, совершаемые должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
Блокирование ПДн – временное прекращение сбора, систематизации, накопления, использования, распространения ПДн, в том числе их передачи;
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание ПДн в информационной системе ПДн (далее – ИСПДн) или в результате которых уничтожаются материальные носители ПДн;
Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту;
Режим конфиденциальности персональных данных – нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных.
Автоматизированная обработка персональных данных – обработка ПДн с помощью средств вычислительной техники;
Конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к ПДн, требование не допускать их распространения без согласия субъекта или иного законного основания;
Общедоступные персональные данные – ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
Информация – сведения (сообщения, данные) независимо от формы их представления;
Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
Работники – физические лица, находящиеся в трудовых отношениях с Обществом.
Представитель – лицо, которое наделено правом представлять интересы субъекта ПДн в силу специального указания закона или лицо, представляющее субъекта ПДн, действующее на основании поручения (доверенности или иного документа) удостоверенного (удостоверенной) нотариально, или заверенного (заверенной) способами, приравненными к нотариальному заверению согласно ст. 185 Гражданского кодекса РФ;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Политика – установленный порядок обработки и защиты персональных данных в ООО «ДЕМЛИНК».
Субъект персональных данных – это физическое лицо, которому принадлежат персональные данные и которого по ним можно определить.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4. Правовые основания обработки персональных данных
– Конституция Российской Федерации;
– Гражданский Кодекс РФ;
– ст.85-90 Трудового Кодекса РФ;
– Федеральный закон от 24.11.1996 № 132-ФЗ «Об основах туристской деятельности РФ»;
– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
− Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
− Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
− Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
− Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
− Приказ ФСБ России от 10.07.2014 №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
− Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
– Устав ООО «ДЕМЛИНК»
– Договоры, заключаемые между оператором и субъектом персональных данных;
− Договорные обязательства между Обществом и клиентом;
– Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора);
− Уголовный кодекс Российской Федерации.
5. Основные права и обязанности Оператора персональных данных
5.1. Оператор при сборе персональных данных обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона «О персональных данных».
5.2. Оператор, получивший доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных – не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
5.4. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
5.5. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
5.6. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных».
5.7. Оператор обязан принимать меры, необходимые и достаточные для обеспечения:
5.7.1. законности целей и способов обработки персональных данных и добросовестности;
5.7.2. личной ответственности работников ООО «ДЕМЛИНК», а также физических лиц, которые выполняют работы по договору ГПХ, или работников сторонней организации, которым Общество поручает обработку персональных данных установленным порядком, за сохранность и конфиденциальность персональных данных;
5.7.3. наличия разрешительной системы доступа работников компании к документам и базам данных, содержащим персональные данные;
5.7.4. обеспечения конфиденциальности персональных данных при их передаче, в том числе трансграничной, третьим лицам;
5.7.5. беспристрастности обработки персональных данных.
5.8. Общество обязано опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике, к сведениям о реализуемых требованиях к защите персональных данных. Оператор в случае осуществления сбора персональных данных с использованием информационно-телекоммуникационных сетей обязан опубликовать в соответствующей информационно-телекоммуникационных сетях Политику и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием соответствующих информационно-телекоммуникационных сетей.
5.9. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.9.1. Оператор при обработке персональных данных информирует контрагентов по заключенным Оператором гражданско-правовым договорам, по которым субъекты персональных данных являются выгодоприобретателями либо получателями, либо пользователями информационной системы персональных данных, о необходимости:
– соблюдения требований Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных» и о необходимости применения мер безопасности при обращении со средствами учетной записи, посредством которой осуществляется ввод персональных данных в информационную систему персональных данных;
– ознакомления лиц, непосредственно осуществляющих ввод персональных данных в информационную систему персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, нормативными правовыми актами по вопросам обработки персональных данных;
– получения письменного согласия субъектов персональных данных на осуществление обработки их персональных данных Оператором, в том числе на обработку биометрических персональных данных и на осуществление трансграничной передачи персональных данных;
– убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных;
– уведомления субъектов персональных данных об осуществлении обработки их персональных данных Оператором;
5.10. Оператор вправе поручить обработку персональных данных другому лицу исключительно с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных».
В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
Кроме того, Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.11. При осуществлении хранения персональных данных Оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».
5.12. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.13. В обязанности оператора по обработке персональных данных согласно ст. 1 Закона №266-ФЗ входит:
5.13.1. предоставление информации по запросу субъекта ПД в течение 10 рабочих дней;
5.13.2. отвечать на запросы Роскомнадзора в течение 10 рабочих дней.
6. Основные права и обязанности субъекта персональных данных
6.1. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2.Субъект персональных данных имеет право осуществлять самостоятельный выбор, какие персональные данные и на каких условиях может распространять Оператор.
6.3. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.
6.4. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы разрешается только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
6.5. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6.7. В случае заключения соответствующего соглашения, Субъект персональных данных обязан предоставлять Оператору достоверные персональные данные, а Оператор, в свою очередь, обеспечивать законность их обработки и распространения на основании настоящей политики, внутренних нормативных документов и Законодательства РФ.
7. Цели, объем, сроки и категории персональных данных
7.1. Цели и объем персональных данных, обрабатываемых при оказании услуг (ПДн клиентов Общества)
7.1.1. Основной целью обработки ПДн клиентов Общества является оказание услуг клиенту (бронирование и оформление авиа, ж/д билетов на международные и внутренние авиарейсы и железнодорожные маршруты; бронирование номеров и мест в гостиницах, иных жилых помещениях; заказ транспортных средств, включая аренду автомобилей с водителем; оформление приглашений, сопровождение российских виз и осуществление иных установленных законодательством РФ процедур, связанных с въездом на территорию РФ, нахождением на территории РФ и выездом с территории РФ иностранных граждан; содействие в оформлении и получении выездных виз для граждан РФ, а также граждан иных государств; подготовка, организация и проведение конференций, семинаров, тренингов и иных мероприятий; VIP-обслуживание в аэропортах; организация экскурсионного обслуживания; оформление страховых полисов, иные действия по организации деловых поездок, конференций, семинаров, тренингов и иных мероприятий), маркетинговые исследования, а также иных целях, предусмотренных законодательством РФ.
7.1.2. Объем обрабатываемых ПДн при оказании услуг:
– ФИО
– Серия и номер паспорта
– Дата рождения
– Дата окончания паспорта (в случае если это загранпаспорт)
– Контактный номер телефона
– Электронная почта
– Номер бонусной карты пассажира
– Заграничный паспорт
7.1.3. Обработка ПДн клиентов ведется смешанным методом: ручная и автоматизированная обработка.
7.1.4. Общество получает ПДн клиентов только в объеме, необходимом для достижения целей, указанных в договорах с клиентом.
7.1.5. Общество обеспечивает защиту ПДн клиента от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.
7.1.6. ПДн клиента Общество получает непосредственно от самого клиента, а также в случае, если клиентом является другая Компания – доверитель – передача ПДн субъектов ПДн производится на основании Поручения об обработке ПДн (далее – Поручение) по договору с учетом соблюдения соответствующих пунктов законодательства РФ в отношении ПДн.
В Поручении отражается обязательная гарантия от Компании-доверителя в следующем:
– законности получения (на основании письменного согласия) передаваемых в целях оказания услуг по договору ПДн Субъектов ПДн.
– наличии согласия субъектов персональных данных на их обработку и распространение.
– хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных;
– обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки в рамках Поручения или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
– своевременном доведении до Общества информации в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;
– своевременном доведении до субъекта персональных данных информации о необходимости Общества осуществить передачу его ПДн третьим лицам в целях исполнения договора оказания услуг;
– своевременном доведении до субъекта персональных данных информации о необходимости осуществления трансграничной передачи персональных данных в соответствии с п. 8 ч. 7 ст. 14 закона № 152-ФЗ в случае, если это необходимо для исполнения целей Договора оказания услуг Компанией;
7.1.7. Уполномоченное лицо Общества должно уведомить клиента о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа клиента дать письменное согласие на их получение.
Типовая форма уведомления о намерении осуществлять обработку персональных данных, которые были получены не от субъекта персональных данных, приведена в Приложении № 2 настоящей Политики.
В случае необходимости внесения изменений в состав персональных данных клиента и перечень осуществляемых операций по обработке персональных данных, осуществления трансграничной передачи данных субъекта ПДн, а также необходимости передачи его ПДн третьим лицам с целью исполнения обязательств перед клиентом Общество сообщает заблаговременно, до заключения основного договора и при необходимости вносит соответствующие пункты в Поручение;
В случае работы по договору Поручения уполномоченное лицо Общества проверяет состав поручения на наличие гарантий, предоставляемых Компанией клиентам в следующем: обеспечение условий обработки персональных данных, установленных ст. ст. 6, 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и иными нормами и требованиями.
– обеспечение законности в рамках обработки персональных данных субъектов в случае необходимости осуществления трансграничной передачи данных, в том числе соответствующее уведомление о намерении осуществлять трансграничную передачу персональных данных (ч. 3 ст. 12 закона № 152-ФЗ в ред. Федерального закона от 14.07.2022 № 266-ФЗ).
7.1.8. Если ПДн клиента возможно получить только у третьей стороны, то клиент уведомляется об этом заранее (до начала обработки ПДн).
7.1.9. Общество не имеет права получать и обрабатывать ПДн клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, судимости, частной жизни.
7.1.10. Обработка ПДн клиента возможна только с согласия клиента. Общество имеет право без согласия клиента осуществлять обработку его ПДн в следующих случаях:
− если обработка ПДн клиента осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн – клиент;
− если обработка ПДн клиента осуществляется Обществом в качестве третьего лица (в терминологии, определенной Законом «О персональных данных»), которому ПДн клиента передаются с его согласия с целью исполнения договорных обязательств между Обществом и клиентом;
− когда обработка ПДн включает в себя только фамилии, имена и отчества;
− когда обработка ПДн клиента необходима в целях однократного пропуска на территорию Общества, или в иных аналогичных целях;
− когда ПДн клиента являются общедоступными;
− когда ПДн клиента представляются по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
7.1.11. В иных случаях Общество может осуществлять обработку ПДн клиента только с письменного согласия. Согласие на обработку ПДн по основаниям данного пункта может быть отозвано субъектом ПДн. Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн по основаниям настоящего пункта возлагается на Общество.
7.1.12. Клиент Общества имеет право:
− Получать доступ к своим ПДн и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей ПДн;
− Требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми ПДн клиента;
− После прекращения обработки ПДн по требованию клиента Общество обязана направить клиенту уведомление о прекращении обработки ПДн установленным порядком.
− Получать сведения:
• о лицах, которые имеют доступ к ПДн клиента или которым может быть предоставлен такой доступ;
• о перечне обрабатываемых ПДн и источнике их получения;
• о сроках обработки ПДн, в том числе сроках их хранения;
− Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные ПДн клиента, обо всех произведенных в них исключениях, исправлениях или дополнениях;
− Обжаловать в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия при обработке и защите его ПДн.
7.2. Цели и объём персональных данных, собираемых через официальный сайт ООО «ДЕМЛИНК».
ООО «ДЕМЛИНК» осуществляет сбор и обработку персональных данных через официальный сайт в следующих целях:
1. Обработка и выполнение запросов пользователей, включая: – ответы на обращения через формы обратной связи; – обработка заявок на оказание услуг (бронирование, консультации, подбор решений); – предоставление услуг по деловому туризму, корпоративному и VIP-обслуживанию.
2. Обеспечение корректной и безопасной работы сайта, включая:
– сбор технической информации (IP-адрес, cookies, данные браузера) для диагностики, предотвращения мошенничества, обеспечения стабильности и безопасности.
3. Связь с пользователем, включая:
– отправку уведомлений о статусе заявки, бронировании, обновлениях; – информационные и сервисные сообщения по запросу;
– маркетинговые рассылки только при наличии отдельного согласия.
4. Аналитика и улучшение сервиса, включая:
– анализ поведения пользователей, посещаемости, эффективности форм;
– оптимизация функциональности и пользовательского опыта.
5. Исполнение юридических и регуляторных обязательств, включая:
– соблюдение требований законодательства РФ;
– предотвращение и пресечение противоправных действий;
– взаимодействие с уполномоченными органами при наличии законных оснований.
7.2.1. Категории персональных данных, собираемых через сайт
При взаимодействии с сайтом ООО «ДЕМЛИНК» могут обрабатываться следующие категории ПДн:
Контактные данные:
– фамилия, имя, отчество (при предоставлении);
– адрес электронной почты;
– номер контактного телефона.
Учётные данные:
– логин, пароль, идентификатор аккаунта (при регистрации).
Технические данные:
– IP-адрес;
– cookies и иные данные, получаемые автоматически;
– тип и версия браузера, ОС, разрешение экрана, время и дата посещения, посещённые страницы.
Данные для оказания услуг:
– паспортные данные, дата рождения, данные загранпаспорта и иная информация, необходимая для бронирования и организации поездок (собираются только при явном запросе и только с согласия пользователя, если иное не предусмотрено договором).
Прочие данные:
– текстовые сообщения, комментарии, отзывы, предпочтения — если они предоставлены пользователем добровольно.
8. Порядок сбора, хранения, передачи и других видов обработки персональных данных
Безопасность персональных данных, которые обрабатываются Обществом, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
Персональные данные субъекта ПДн никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства, либо в случае, если субъектом ПДн дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
8.1. Порядок сбора персональных данных
Сбор персональных данных от субъекта ПДн производится следующими способами:
1. в корпоративной электронной почте Общества – Яндекс почта
2. получение копий документов от субъекта ПДн при личном присутствии в офисе.
3. Через официальный сайт ООО «ДЕМЛИНК» — посредством заполнения субъектом ПДн электронных форм (лендингов, заявок, обратной связи), размещённых на доменах, принадлежащих Обществу;
8.2. Порядок хранения персональных данных
8.2.1. Под хранением ПДн субъектов ПДн понимается существование записей, содержащих ПДн в ИСПДн и на материальных носителях.
8.2.2. ПДн субъектов ПДн обрабатываются и хранятся в ИСПДн, а также на бумажных носителях.
8.2.3. Хранение ПДн клиентов на бумажных носителях осуществляется в запираемых хранилищах, оборудованных устройствами контроля несанкционированного доступа и бирками с информацией об ответственном работнике и подразделении.
8.2.4. Ключи от железных шкафов хранятся у работников Общества, допущенных к работе с ПДн.
8.2.5. Хранение ПДн субъектов ПДн в ИСПДн осуществляется на серверах или в файлах персональных компьютеров уполномоченных лиц, допущенных к работе с ПДн, с использованием специализированного программного обеспечения, отвечающего требованиям безопасности.
8.2.6. Хранение резервных и технологических копий баз данных ИСПДн, содержащих информацию персонального характера, осуществляется на серверах Общества и сменных носителях, доступ к которым ограничен.
8.2.7. ПДн субъектов ПДн хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по истечении установленных сроков хранения информации, по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральными законами.
8.2.8. Вынос резервных и технологических копий баз данных ИСПДн, содержащих информацию персонального характера, из Общества запрещен.
8.2.9. Передача и копирование резервных и технологических копий баз данных допустима только для прямого использования с целью технологической поддержки ИСПДн.
8.2.10. Сроки хранения ПДн субъектов ПДн определяются в соответствии с законодательством Российской Федерации. В случае достижения целей обработки ПДн Общество прекращает обработку и уничтожает их в соответствии с правилами уничтожения документов, содержащих ПДн в срок, не превышающий трех рабочих дней с даты достижения целей обработки ПДн, если иное не предусмотрено федеральными законами.
8.2.11. Сроки хранения ПДн субъектов ПДн составляют:
– ПДн клиентов – 3 (три) рабочих дня со дня окончания срока исковой давности по договору клиент – Общество, если иное не предусмотрено действующим законодательством и заключенным договором;
В течение срока хранения ПДн субъектов ПДн не могут быть обезличены или уничтожены.
8.2.12. Об уничтожении ПДн субъектов ПДн Общество обязано уведомить субъекта ПДн, если иное не установлено законодательством РФ, либо договором с клиентом.
8.2.13. В случае отсутствия возможности уничтожения ПДн субъектов ПДн в течение установленного срока, Общество осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
8.3. Порядок передачи персональных данных третьим лицам
8.3.1.Ответы на письменные запросы сторонних организаций и учреждений о ПДн субъектов ПДн даются только с письменного их согласия, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Общества, и в том объеме, который позволяет не разглашать излишний объем ПДн субъектов ПДн.
8.3.2.Передача ПДн субъектов ПДн допускается только при наличии их письменного согласия или в случаях, прямо предусмотренных законодательством Российской Федерации. Типовая форма письменного согласия приведена в Приложении № 4 настоящей Политики.
8.3.3.Передача ПДн субъектов ПДн третьим лицам осуществляется Обществом только на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом безопасности ПДн при их обработке.
8.3.4. Данная Политика не распространяется в случае обезличивания ПДн и в отношении общедоступных ПДн.
8.3.5. Запрещается передача ПДн субъектов ПДн по телефону, факсу, электронной почте в незащищенном виде за исключением случаев, установленных законодательством и локальными нормативными актами по работе с ПДн. Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах конфиденциальные данные, за исключением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках.
8.3.6. В случае отзыва работником или клиентом согласия на обработку своих ПДн Общество незамедлительно прекращает их обработку.
9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
9.1. Общество несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту ПДн субъектов ПДн. Общество закрепляет персональную ответственность должностных лиц за соблюдение установленного в Обществе режима конфиденциальности.
9.2. Администратор безопасности ИСПДн и руководители отделов, которые обрабатывают ПДн Общества, несут персональную ответственность за соблюдение уполномоченными лицами, в том числе их подчиненными норм, регламентирующих получение, обработку и защиту ПДн субъектов ПДн.
9.3. Администратор безопасности ИСПДн, осуществляющий деятельность по разграничению доступа должностных лиц к документам, содержащим ПДн субъектов ПДн, несет персональную ответственность за действия каждого субъекта доступа к ПДн в рамках данных им разрешений.
9.4. Должностные лица Общества, получающие для работы документы, содержащие ПДн субъектов ПДн, несут персональную ответственность за сохранность носителя и конфиденциальность информации.
9.5. Каждый работник, работающий в помещениях, в которых ведется работа с ПДн субъектов ПДн, несет персональную ответственность за несанкционированный доступ третьих лиц к носителям информации и конфиденциальность содержащейся на них информации.
9.6. За неисполнение или ненадлежащее исполнение должностными лицами Общества возложенных на них обязанностей по соблюдению установленного порядка обработки ПДн субъектов ПДн Общество вправе применять предусмотренные Трудовым кодексом РФ дисциплинарные взыскания.
9.7. Уполномоченные лица Общества, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн субъектов ПДн, а также в нарушении неприкосновенности частной жизни субъектов ПДн (в том числе незаконный сбор или распространение без его согласия сведений о частной жизни лица, составляющих его личную или семейную тайну), осуществляющие неправомерный доступ к охраняемой законом информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные с использованием своего служебного положения несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
10. Конфиденциальность персональных данных
10.1. Сведения, содержащие ПДн субъектов ПДн, являются конфиденциальными. Общество обеспечивает конфиденциальность ПДн и обязано не допускать их распространения без согласия субъекта ПДн, либо наличия иного законного основания.
10.2. Все меры конфиденциальности при сборе, обработке и хранении ПДн субъектов ПДн распространяются как на бумажные, так и на электронные носители информации.
10.3. Режим конфиденциальности ПДн снимается в случаях обезличивания или включения их в общедоступные источники ПДн, либо при наличии письменного согласия субъекта ПДн на то, что его ПДн являются общедоступными ПДн, в остальных случаях режим конфиденциальности снимается по истечении 75 лет (до 2003 года) и 50 лет (после 2003 года) срока их хранения, если иное не определено законом.
10.4. Право доступа к ПДн субъектов ПДн предоставляется уполномоченным лицам Общества, которым ПДн необходимы в связи с исполнением ими трудовых обязанностей, в соответствии с перечнем должностей Общества, включающих в себя обязанности по обработке ПДн в информационных системах персональных данных (далее – ИСПДн) Общества.
10.5. Все уполномоченные лица Общества, постоянно работающие в помещениях, в которых ведется обработка ПДн субъектов ПДн, должны быть допущены к работе с соответствующими видами ПДн.
10.6. Допуск к ПДн субъектов ПДн уполномоченных лиц Общества, не имеющих надлежащим образом оформленного доступа, запрещается.
11. Общие требования по защите персональных данных
11.1. Защите подлежат все ПДн субъектов ПДн, если только с них на законном основании не снят режим конфиденциальности.
11.2. Общество обеспечивает защиту персональных данных работников и клиентов, содержащихся на бумажных носителях, обрабатываемых в информационных системах и размещенных на электронных носителях.
11.3. При обработке ПДн субъектов ПДн Общество принимает необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
11.4. Безопасность ПДн субъектов ПДн при их обработке в ИСПДн обеспечивается с помощью системы защиты ПДн, включающей организационные меры и средства защиты информации, а также используемые в ИСПДн информационные технологии.
11.5. Размещение ИСПДн, специальное оборудование и организация работы с ПДн субъектов ПДн обеспечивают сохранность средств защиты информации и носителей ПДн, а также исключают возможность доступа к ним посторонних лиц.
11.6. Компьютеры и (или) ИСПДн, в которых содержатся файлы с ПДн субъектов ПДн, для каждого пользователя защищены индивидуальными паролями доступа. Работа на компьютерах с ПДн без паролей доступа, или под чужими или общими (одинаковыми) паролями, запрещается. Принципы защиты паролей определяются действующей парольной политикой Общества.
11.7. Руководство общей организацией работ по обеспечению безопасности ПДн, обрабатываемых в Обществе, осуществляет Генеральный директор Общества.
11.8. Письменное оформление обязательств уполномоченных лиц Общества о соблюдении конфиденциальности и правил обработки ПДн обеспечивает Директор по персоналу.
11.9.Ответственные за организацию обработки ПДн и эксплуатацию ИСПДн в структурных подразделениях Общества обеспечивают:
− изучение работниками под подпись настоящей Политики и иных локальных нормативных актов, регламентирующих порядок работы с ПДн;
− контроль исполнения подчиненными требований по соблюдению конфиденциальности ПДн, правил их обработки и хранения.
11.10. Защита ПДн субъектов ПДн, хранящихся в электронных базах данных Общества, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Отделом информационных технологий.
11.11. Контроль исполнения требований по обеспечению безопасности ПДн в структурных подразделениях Общества осуществляет Отдел информационных технологий.
12. Порядок допуска к работе с персональными данными
12.1. Допуск уполномоченных лиц Общества к обработке ПДн субъектов ПДн в ИСПДн осуществляется на основании Перечня лиц, осуществляющих доступ к персональным данным в целях исполнения должностных обязанностей в Обществе (далее – Перечень лиц) утверждаемого Генеральным директором Общества.
12.2. Процедура оформления допуска к ПДн субъектов в ИСПДн включает в себя:
− ознакомление уполномоченного лица Общества под роспись с настоящей Политикой и иными внутренними нормативными актами, регулирующими
обработку и защиту ПДн;
− оформление письменного обязательства уполномоченного лица Общества
о соблюдении конфиденциальности и соблюдении правил обработки ПДн, подготовленного по установленной форме;
− назначение для уполномоченного лица администратором безопасности прав доступа в конкретной ИСПДн с обязательной регистрацией в системе логирования доступа факта допуска к ИСПДн и ПДн в ней субъекта.
12.3. В целях выполнения определенных частных заданий и временного изменения функциональных обязанностей по занимаемым должностям на основании служебной записки с положительной резолюцией Генерального директора Общества доступ к ПДн может быть предоставлен иным должностным лицам Общества, в том числе тем, должность которых не включена в перечень лиц, и которому доступ к ПДН необходим на определенный период в связи с исполнением трудовых обязанностей.
12.4. В случае оформления постоянного допуска к ПДн включение сотрудника в Перечень лиц является обязательным.
12.5. Уполномоченное лицо Общества, имеющее доступ к ПДн субъектов в связи с исполнением трудовых обязанностей:
− обеспечивает хранение информации, содержащей ПДн субъектов, исключающее доступ к ним третьих лиц. Запрещается сообщать ПДн устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью;
− в отсутствие уполномоченного лица на его рабочем месте не должно быть документов, содержащих ПДн субъектов ПДн. Запрещается оставлять материальные носители с ПДн без присмотра в незапертом помещении;
− при уходе в отпуск, на время служебной командировки и в иных случаях длительного отсутствия уполномоченного лица на своем рабочем месте, документы и иные носители, содержащие ПДн субъектов ПДн, должны быть переданы лицу, на которое соответствующим приказом в Общества будет возложено исполнение его трудовых обязанностей в части касающейся ПДн.
В случае если такое лицо не назначено, то документы и иные носители, содержащие ПДн субъектов ПДн, в соответствии с указаниями менеджера по организации обработки ПДн и администратора безопасности ИСПДн передаются другому уполномоченному лицу, имеющему соответствующий доступ к ПДн.
12.6. При увольнении уполномоченного лица, имеющего доступ к ПДн субъектов ПДн, документы и иные носители, содержащие указанные ПДн, в соответствии с указаниями менеджера по организации обработки ПДн и администратора безопасности ИСПДн передаются другому лицу, имеющему доступ к ПДн.
12.7. В конце рабочего дня все без исключения документы, содержащие ПДн, должны быть помещены в хранилища.
12.8. Копировать и делать выписки ПДн субъектов ПДн разрешается исключительно в служебных целях с письменного разрешения Генерального директора Общества или уполномоченными им должностными лицами, участвующими в обработке ПДн.
13. Контактные данные
Контактная информация
ООО “Демлинк Атлас”
Россия, 121087, Москва,
ул. Барклая, 6, стр.9
Телефон: +7 (499) 213-42-28;
Электронная почта: info@demlinkatlas.ru