1. Назначением Политики ООО ТК «Сибирия» (далее – Политика) в области обработки и защиты персональных данных своих работников (далее – Работники) и потребителей туристских услуг (далее – Клиенты) является защита прав субъектов персональных данных при их обработке и распространении.
2. Обработка и защита персональных данных в ООО ТК «Сибирия» (далее по тексту – Компания) осуществляется в соответствии с федеральным законодательством – нормативными правовыми актами в области персональных данных, указанными на сайте Роскомнадзора https://77.rkn.gov.ru/law/p4735/, а также Уставом ООО ТК «Сибирия» в новой редакции, утвержденным 10.01.2018г.
3. Основные понятия, используемые в Политике ООО ТК «Сибирия» в области обработки и защиты персональных данных:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;h
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4. Обработка и защита персональных данных в Компании осуществляется на основании разработанных внутренних нормативных документов, в том числе Правил обработки персональных данных в ООО ТК «Сибирия».
5. Степень возможного вреда субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» в Компании – НИЗКАЯ, а степень защиты прав и свобод Работников и Клиентов при обработке их персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну – ДОСТАТОЧНАЯ, в связи с тем, что в ООО ТК «Сибирия» НЕ осуществляются следующие действия:
обработка сведений, которые характеризуют физические и биологические особенности человека;
обработка персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;
обработка персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является несовершеннолетний;
обезличивание персональных данных, в том числе проведения оценочных (скоринговых) исследований;
поручение иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;
сбор персональных данных с использованием баз данных, находящихся за пределами Российской Федерации;
распространение персональных данных на официальном сайте в информационно-телекоммуникационной сети "Интернет" Компании;
предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки персональных данных;
обработка персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
продвижение своих услуг путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор персональных данных;
получение согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети «Интернет» Компании;
обработка персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой;
ведение общедоступных источников персональных данных, формируемых в соответствии со ст. 8 Федерального закона «О персональных данных».
ООО ТК «Сибирия не осуществляет трансграничную передачу персональных данных.
В Компании в качестве ответственного за обработку персональных данных назначен штатный сотрудник организации.
В Компании запрещена обработка персональных данных в дополнительных целях, отличных от первоначальной цели сбора.
В Компании при ведении своего официального сайта (https://www.sibiria.ru) не используются интернет-сервисы метрических программ (например, Яндекс. Метрика, Google. Analytics), использующих технологии «cookies», то есть Компания не занимается аналитикой пользовательской активности.
6. Согласно Акта классификации информационных систем обработки персональных данных и уровня их защищенности в Компании установлено, что информационные системы Компании являются информационными системами, обрабатывающими персональные данные работников Компании и данные субъектов персональных данных, не являющихся работниками Компании (Клиенты), менее чем 100000 субъектов персональных данных, для которых актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и программном обеспечении, используемом в информационных системах. Защищенность персональных данных при их обработке в информационных системах обеспечивается 4-ым уровнем защищенности.
7. Целями обработки персональных данных в Компании является выполнение задач Компании в соответствии с Уставом ООО АТ «Сибирия» в новой редакции, утвержденным 10.01.2018г. , а именно:
обеспечение защиты прав и свобод Работников и Клиентов при обработке их персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну;
обеспечение соблюдения трудового законодательства;
ведение кадрового и бухгалтерского учета;
обеспечение соблюдения налогового законодательства РФ;
обеспечение соблюдения пенсионного законодательства РФ;
оказание услуг или выполнение работ по договорам с клиентами (контрагентами).
8. В целях обеспечения защиты прав и свобод Работников и Клиентов при обработке их персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну в Компании на основании Федерального закона от 27.07.2006 No 152-ФЗ персональные данные можно получить у субъекта лишь вместе с письменным согласием субъекта на обработку его персональных данных или без такового, в предусмотренных законодательством РФ случаях, а при распространении персональных данных Работников в информационно-коммуникационной сети «Интернет» на официальном сайте Компании – согласия на распространение персональных данных на основе приказа Роскомнадзора от 24.02.2021г. No 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
Оба согласия (на обработку персональных данных и на распространение персональных данных) предоставляются субъектами в адрес Компании в письменной форме.
9. Персональными данными Работников при обработке персональных данных в целях обеспечения соблюдения трудового законодательства являются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; профессия. Действиями с персональными данными являются: сбор; запись; хранение; извлечение; использование; удаление; уничтожение.
Персональными данными Работников (родственников работников, уволенных работников) при обработке персональных данных в целях ведения кадрового и бухгалтерского учета являются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; номер лицевого счета; профессия; отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; номер банковской карточки. Действиями с персональными данными являются: сбор; запись; систематизация; накопление; хранение; извлечение; использование; удаление; уничтожение.
Персональными данными Работников при обработке персональных данных в целях обеспечения соблюдения налогового законодательства РФ являются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес места жительства; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; должность. Действиями с персональными данными являются: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение.
Персональными данными Работников при обработке персональных данных в целях обеспечения соблюдения пенсионного законодательства РФ являются: фамилия, имя, отчество; дата рождения; место рождения; доходы; пол; адрес места жительства; СНИЛС; ИНН; гражданство; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации). Действиями с персональными данными являются: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Персональными данными Контрагентов, представители контрагентов, клиентов в целях оказания услуг или выполнение работ по договорам с клиентами (контрагентами) являются: фамилия, имя, отчество; адрес места жительства; номер телефона; данные документа, удостоверяющего личность; номер расчетного счета; должность. Действиями с персональными данными являются: сбор; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; уничтожение.
Во всех случаях способом обработки персональных данных является смешанная обработке, без передачи по внутренней сети юридического лица, с передачей по сети Интернет.
10. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных в Компании;
правовые основания и цели обработки персональных данных в Компании;
цели и применяемые Компанией способы обработки персональных данных;
наименование и место обработки персональных данных в Компании;
сведения о лицах (за исключением Работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией в лице директора ООО ТК «Сибирия», действующего на основании Устава, или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27 июля 2006 г. No 152-ФЗ «О персональных данных»;
сроки обработки персональных данных, в том числе сроки их хранения;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании в лице директора ООО ТК «Сибирия», действующего на основании Устава, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные настоящим Федеральным законом от 27 июля 2006 г. No 152-ФЗ «О персональных данных» или другими федеральными законами.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Уполномоченные работники Компании обязуются прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 10 (десяти) дней с даты получения указанного отзыва, за исключением персональных данных, подлежащих хранению в Компании в целях соблюдения законодательства Российской Федерации.
11. В Компании выполняются меры, направленные на выполнение требований ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных»:
разработаны локальные акты, по вопросам обработки персональных данных;
лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
составлен перечень лиц, имеющих доступ к персональным данным в Компании. Лицами, имеющими доступ к персональным данным в Компании, подписаны и исполняются обязательства о неразглашении персональных данных;
назначен ответственный за организацию обработки персональных данных;
на сайте ООО ТК «Сибирия» (https://www.sibiria.ru) размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных;
обеспечивается учет машинных носителей персональных данных;
обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним:
разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ No 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам;
исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными;
обеспечена сохранность носителей персональных данных и средств защиты информации.
Для обеспечения безопасности персональных данных применяются программно-технические средства, в том числе электронная цифровая подпись, антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных.
12. В соответствии с постановлением Правительства от 01.11.2012 No 1119 для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; назначено должностное лицо, ответственный за обеспечение безопасности персональных данных в информационной системе.
13. В соответствии с постановлением Правительства от 15.09.2008 No 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц, осуществляющих обработку персональных данных.
14. Срок хранения персональных данных Клиентов заканчивается с достижением целей их обработки, если иное не установлено законодательством или договором с субъектом персональных данных.
При определении сроков хранения документов Работников учитывается приказ Росархива от 20.12.2019 No236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».
Срок хранения договоров с Контрагентами составляет срок исковой давности по имущественным спорам.
15. Уничтожение персональных данных в Компании осуществляется на основании приказа Роскомнадзора от 28.10.2022г. No 179 "Об утверждении Требований к подтверждению уничтожения персональных данных", то есть посредством составления актов уничтожения персональных данных.