1. Общие положения1.1. Настоящая Политика Общества с ограниченной ответственностью «Кортеос» в отношении обработки персональных данных (далее –Политика) принята в соответствии с требованиями статьи 18.1 Федерального закона от 27 июля 2006 года No152-ФЗ «О персональных данных».
1.2. Настоящая Политика формирует основные цели и принципы обработки персональных данных Обществом с ограниченной ответственностью «Кортеос» (далее –Оператор), определяет права и обязанности Оператора и субъектов персональных данных, а также включает перечень мер, применяемых Оператором для обеспечения безопасности персональных данных при их обработке.
1.3. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
1.4. Действующая редакция хранится в электронном виде на сайте Оператора по адресу:
http://www.corteos.Info/.2. Термины и определенияПерсональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъект персональных данных - физическое лицо, обработка персональных данных которого производится Оператором.
Информационная система персональных данных -совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Оператор – Общество с ограниченной ответственностью «Кортеос», совместно с другими лицами (по поручению других лиц) организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Принципы обработки персональных данных3.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями с бора персональных данных.
3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.
3.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.
4. Правовые основания обработки персональных данных4.1. Обработка персональных данных Оператором осуществляется в соответствии с требованиями Федерального закона от 27.07.2006 No152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09. 2008 No687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 No1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных документов уполномоченных органов, настоящей Политики и внутренних локальных нормативных актов Оператора.
5. Цели обработки персональных данных5.1. Обработка персональных данных Оператором осуществляется в целях бронирования и заказа туристических и иных услуг агентствами и организациями, исполнения Оператором обязательств по заключенным Оператором гражданско-правовым договорам, выгодоприобретателями либо получателями, по которым являются субъекты персональных данных, осуществления иных гражданско-правовых отношений.
5.2. Обработка персональных данных Оператором осуществляется по поручению агентств, организаций и иных лиц, с которыми у Оператора заключены гражданско- правовым договоры, по которым субъекты персональных данных являются выгодоприобретателями либо получателями либо пользователями информационной системы персональных данных.
6. Состав и субъекты персональных данных6.1. Оператор осуществляет обработку следующих категорий персональных данных: фамилия, имя, отчество; дата, месяц и год рождения; место рождения; пол; паспортные данные; должность; сведения о месте работы; адрес электронной почты; контактный(е) телефон(ы); биометрические персональные данные. Биометрические персональные данные не используются Оператором для установления личности субъекта персональных данных.
6.2. Субъекты персональных данных: физические лица, обработка персональных данных которых осуществляется для реализации целей, указанных в разделе 5 настоящей Политики, в том числе выгодоприобретатели либо получатели либо пользователи информационной системы персональных данных по гражданско-правовым договорам, заключенным Оператором.
7. Получение и обработка персональных данных7.1. Получение персональных данных Оператором производится посредством ввода персональных данных в поля учетных форм информационной системы персональных данных.
7.2. Обработка персональных данных осуществляется Оператором как с использованием средств автоматизации, так и без использования средств автоматизации.
7.3. Передача персональных данных третьей стороне может осуществляться посредством информационной системы персональных данных при согласии субъекта персональных данных.
7.4. Трансграничная передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу может осуществляться посредством информационной системы персональных данных при согласии субъекта персональных данных.
7.5. Оператор вправе передавать персональные данные третьей стороне без письменного согласия субъекта персональных данных в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами.
8. Права субъектов персональных данных8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 No152-ФЗ «О персональных данных»;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом от 27.07.2006 No152-ФЗ «О персональных данных» или другими федеральными законами.
8.2. Ответственность перед субъектом персональных данных за действия Оператора несет лицо, поручившее Оператору обработку персональных данных такого лица.
9. Меры по обеспечению безопасности персональных данных при их обработке9.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
1) изданием Оператором настоящего Положения и, при необходимости, иных локальных нормативных актов по вопросам обработки персональных данных;
2) осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 No152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных,настоящим Положением в отношении обработки персональных данных;
3) информированием контрагентов по заключенным Оператором гражданско-правовым договорам, по которым субъекты персональных данных являются выгодоприобретателями либо получателями либо пользователями информационной системы персональных данных, о необходимости:
- соблюдения требований Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных» и о необходимости применения мер безопасности при обращении со средствами учетной записи, посредством которой осуществляется ввод персональных данных в информационную систему персональных данных;
- ознакомления лиц, непосредственно осуществляющих ввод персональных данных в информационную систему персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, нормативными правовыми актами по вопросам обработки персональных данных;
- получения письменного согласия субъектов персональных данных на осуществление обработки их персональных данных Оператором, в том числе на обработку биометрических персональных данных и на осуществление трансграничной передачи персональных данных;
- убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных;
- уведомления субъектов персональных данных об осуществлении обработки их персональных данных Оператором;
4) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
5) применением технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных, необходимых для выполнения требований к защите персональных данных;
6) установлением прав доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
7) контролем над принимаемыми мерами по обеспечению безопасности персональных данных
и уровня защищенности информационной системы персональных данных.