ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
ООО «ОБЪЕДИНЕННЫЕ КУРОРТЫ»
Статья 1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящим Положением устанавливается порядок обработки персональных данных Клиентов, которые приобретают у Общества с ограниченной ответственностью «Объединенные курорты», сформированный им туристский продукт.
2. Цель данного Положения - обеспечение требований защиты прав Клиентов при обработке их персональных данных Обществом с ограниченной ответственностью «Объединенные курорты» (далее по тексту - Туроператор или Общество).
3. Персональные данные не могут быть использованы Обществом или его сотрудниками в целях причинения имущественного и морального вреда Клиентам, затруднения реализации их прав и свобод.
4. Общество обязано осуществлять обработку персональных данных только на законной и справедливой основе.
5. Обработка персональных данных Клиентов должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с Клиентами целей. Обработке подлежат только те персональные данные Клиентов, и только в том объеме, которые отвечают целям их обработки, определенным в договоре с Клиентами или законодательством Российской Федерации.
6. Обрабатываемые персональные данные Клиентов подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
7. Настоящее Положение и изменения к нему утверждаются Генеральным директором Общества. Все сотрудники Общества должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
8. Настоящее Положение является обязательным для исполнения всеми сотрудниками Общества, имеющими доступ к персональным данным Клиентов.
Статья 2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА
1. Под Клиентами Туроператора в интересах настоящего Положения понимаются:
а) Физические лица (субъекты персональных данных), заключившие с Туроператором договор поручения на оказание туристических услуг. В данных правоотношениях с Клиентами Туроператор по терминологии Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее по тексту - Закон «О персональных данных») выступает в качестве оператора персональных данных.
б) Физические лица (субъекты персональных данных), от имени которых заказчик* туристского продукта заключил с Туроператором договор на реализацию туристского продукта, который формируется Туроператором. В данных правоотношениях с Клиентами Туроператор по терминологии Закона «О персональных данных») выступает в качестве оператора персональных данных.
в) Физические лица (субъекты персональных данных), заключившие с туристским агентством (далее по тексту - Турагент) договор на реализацию туристского продукта, который формируется Туроператором. В данных правоотношениях с Клиентами Туроператор по терминологии Закона «О персональных данных») выступает в качестве лица, которому оператор персональных данных - Турагент на договорной основе поручил обработку персональных данных Клиентов с их согласия и на основании заключенного между Турагентом и Клиентами договора.
г) Физические лица (субъекты персональных данных), от имени которых заказчик* туристского продукта заключил с Турагентом договор на реализацию туристского продукта, который формируется Туроператором. В данных правоотношениях с Клиентами Туроператор по терминологии Закона «О персональных данных») выступает в качестве лица, которому оператор персональных данных - Турагент на договорной основе поручил обработку персональных данных Клиентов с их согласия и на основании договора, заключенного между Турагентом и заказчиком.
* - Далее в Положении под Клиентом понимается также заказчик, который приобретал туристский продукт также для лиц, интересы которых он представляет, при условии, что заказчик предоставил оператору (Туроператору или Турагенту) основания правомерности его действий в чужом интересе (см. п.1.,8. ст.9. Закона «О персональных данных»).
2. Под персональными данными Клиента понимается любая информация о субъекте персональных данных, необходимая Туроператору в связи с исполнением им договорных обязательств перед Клиентом либо перед Турагентом.
3. Состав персональных данных Клиента, обработка которых осуществляется Туроператором, включает в себя в основном следующие документы и сведения:
- Фамилия, имя, отчество; - Фамилия при рождении (либо другие фамилии, если были); - Фамилия, имя в латинской транскрипции, как они указаны в заграничном паспорте Год, месяц и число рождения; - Место рождения; - Гражданство при рождении; - Гражданство в настоящее время; - Пол; - Семейное положение; - Фамилия, имя отца; - Фамилия, имя матери; Данные об общегражданском паспорте Российской Федерации: - Серия и номер общероссийского паспорта, - дата его выдачи, - наименование органа, выдавшего паспорт; - срок действия общероссийского паспорта либо свидетельства о рождении; - Копии общегражданских паспортов Клиентов; Данные о заграничном паспорте Российской Федерации: - Серия и номер заграничного паспорта, - дата его выдачи, - наименование органа, выдавшего паспорт, - срок действия, - Оригиналы и копии заграничных паспортов Клиентов; Копии свидетельств о рождении (для несовершеннолетних граждан); Адрес регистрации; Адрес электронной почты; Домашний и контактный (мобильный) телефоны; Данные о работодателе и работе: - наименование, адрес и телефон работодателя; - должность в настоящее время; - размер заработной платы; Данные об учебном заведении (для школьников и студентов): - наименование, адрес и телефон учебного заведения; Сведения о получении пенсии и о том, кто оплачивает поездку пенсионеру (для пенсионеров); Даты прошлых выездов в страну планируемого посещения или в группу определенных стран; Сведения о прошлых депортациях из страны планируемого посещения либо иных нарушений законодательства иностранных государств. Договора о реализации туристского продукта с Клиентами и приложения к ним; Приложения к договорам о реализации туристского продукта с Турагентами, в которых содержатся персональные данные Клиентов; Копии претензий и исковых заявлений, относящиеся к Клиентам; Копии ответов на претензии и возражений на исковые заявления, относящиеся к Клиентам. Иные сведения о Клиенте, которые он сообщает о себе в связи с особенностями планируемого им путешествия, или в связи с требованиями, которые предъявляются к информации о Клиенте консульскими службами посольств стран планируемого посещения для рассмотрения вопроса о выдаче визы, либо страховыми компаниями в интересах заключения договора, выгодоприобретателем по которому является Клиент.
4. Туроператор получает персональные данные Клиента только ниже указанным образом:
1) От субъекта персональных данных - Клиента, на основании заключения с Клиентом письменного договора о реализации туристского продукта.
2) От заказчика туристского продукта (субъекта персональных данных), выступающего также на законном основании представителем других субъектов персональных данных, указанных в договоре о реализации туристского продукта, заключенного с заказчиком.
3) От Турагента, который на договорной основе поручает Туроператору обработку персональных данных Клиентов, с которыми Турагент заключил договор на реализацию туристского продукта, формируемого Туроператором.
Статья 3. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Документы и сведения, перечисленные в статье 2. Положения, и содержащие информацию о персональных данных Клиентов, являются конфиденциальными. Турагент обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.
2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3. Если Туроператор с согласия Клиента поручает обработку персональных данных Клиента третьему лицу, то Туроператор обязан на договорной основе обременить это третье лицо обязанностью соблюдения конфиденциальности персональных данных Клиента.
Статья 4. ПРАВА И ОБЯЗАННОСТИ КЛИЕНТА
1. Клиент обязан передавать Туроператору достаточные, достоверные, документированные персональные данные, полный состав которых установлен в договорах на реализацию туристского продукта, заключенных между Клиентом и Туроператором либо между Клиентом и Турагентом.
2. Клиент должен без неоправданной задержки сообщать Туроператору об изменении своих персональных данных.
3. Клиент имеет право на получение сведений о Туроператоре, о месте его нахождения, о наличии у Туроператора персональных данных, относящихся к Клиенту, а также на ознакомление с такими персональными данными.
3.1. Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Туроператором; правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных; сроки обработки персональных данных, в том числе сроки их хранения; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование третьего лица или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по договору с Туроператором; иные сведения, предусмотренные федеральными законами.
3.2. Клиент вправе требовать от Туроператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
5. Доступ к своим персональным данным предоставляется Клиенту или его законному представителю Туроператором при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
6. Согласие на обработку персональных данных может быть отозвано Клиентом.
7. Если Клиент считает, что Туроператор осуществляет обработку его персональных данных с нарушением требований Закона «О персональных данных» или иным образом нарушает его права и свободы, Клиент вправе обжаловать действия или бездействие Туроператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
8. Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
Статья 5. ОБЯЗАННОСТИ ТУРОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Туроператор осуществляет обработку персональных данных Клиентов, указанных в п.1. статьи 2 настоящего Положения, только по ниже следующим основаниям:
1) обработка персональных данных Клиентов необходима для осуществления и выполнения возложенных Федеральным законом № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации» на Общество, как на туроператора, функций, полномочий и обязанностей;
2) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем;
3) обработка персональных данных Клиента необходима для осуществления прав и законных интересов Туроператора, Турагента или иных третьих лиц при соблюдении условия, что при этом не нарушаются права и свободы Клиента;
4) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен Клиентом либо по его просьбе.
2. Туроператор вправе поручить обработку персональных данных третьему лицу с согласия Клиента, на основании заключенного с этим третьим лицом договора. В этом случае Туроператор должен на договорной основе обязать третье лицо, осуществляющее обработку персональных данных по поручению Туроператора, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом «О персональных данных» и настоящим Положением.
2.1. В договоре Туроператора с третьим лицом должны быть определены: - перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных Клиента; - цели обработки персональных данных Клиента; - обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке; - требования к защите обрабатываемых персональных данных в соответствии с Законом «О персональных данных».
2.2. Если Туроператор поручает обработку персональных данных Клиента третьему лицу, то ответственность перед Клиентом за действия указанного лица несет непосредственно Туроператор.
3. При определении объема и содержания персональных данных Клиента, подлежащих обработке, Туроператор обязан руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», Федеральным законом № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации», договорными обязательствами, взятыми на себя сторонами по договорам между Клиентом - Туроператором либо Клиентом - Турагентом. Туроператор получает персональные данные Клиентов только в объеме, необходимом для достижения целей, указанных в договорах с Клиентом.
4. Если персональные данные Клиента поступают к Туроператору от Турагента, то Туроператор не должен сообщать Клиенту о начале обработки его персональных данных на основании того, что Клиент при заключении договора с Турагентом письменно уведомляется об осуществлении обработки его персональных данных Туроператором, (см.под п.1, п.4.ст.18. Закона «О персональных данных»; см. ст.ст.10., 10.1. ФЗ № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации»).
5. Туроператор не имеет права получать и обрабатывать персональные данные Клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни.
6. Туроператор не должен получать и обрабатывать персональные данные Клиента о его членстве в общественных объединениях или его профсоюзной деятельности, если только эти данные не связаны с задачами и требованиями Клиента по организации его путешествия.
6.1. Туроператор получает по инициативе Клиента персональные данные Клиента о его членстве в общественных объединениях или его профсоюзной деятельности только на бумажных носителях, и ведет их обработку без использования средств автоматизации.
7. Туроператор не должен запрашивать информацию о состоянии здоровья Клиента, за исключением тех сведений, которые относятся к вопросу организации безопасного отдыха для Клиента либо заключения от имени Клиента договоров страхования, а также для бронирования лечебных, реабилитационных, оздоровительных туров
7.1. Туроператор получает по инициативе Клиента персональные данные Клиента о состоянии его здоровья только на бумажных носителях, и ведет их обработку без использования средств автоматизации, кроме тех случаев, когда субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных о состоянии здоровья с использованием средств автоматизации.
8. Туроператор не имеет права собирать и обрабатывать биометрические персональные данные Клиентов, кроме тех случаев, когда субъект персональных данных дал согласие в письменной форме на обработку своих биометрических персональных данных.
Статья 6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
1. Защите подлежат следующие объекты, персональные данные Клиентов, если только с них на законном основании не снят режим конфиденциальности: - документы, содержащие персональные данные Клиента; - бумажные носители, содержащие персональные данные Клиентов; - информация, содержащая персональные данные Клиентов, размещенная на электронных носителях.
2. Туроператор в интересах обеспечения выполнения обязанностей, возложенных на него Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и другими нормативными актами, регламентирующими деятельность юридических лиц по обработке персональных данных, принимает меры, предусмотренные настоящим Положением, Положением об обработке и защите персональных данных Работников и Положением о мерах по организации защиты информационных систем персональных данных Общества.
3. Общую организацию защиты персональных данных Клиентов осуществляет Генеральный директор Туроператора.
4. Генеральный директор обеспечивает: - Ознакомление сотрудников под роспись с настоящим Положением; - Истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиента и соблюдении правил их обработки; - Ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных в Обществе.
5. Начальники отделов, в которых осуществляется обработка персональных данных Клиентов, обеспечивают общий контроль соблюдения сотрудниками их отделов мер по защите персональных данных Клиента.
6. Защита информационных систем Общества, в которых обрабатываются персональные данные Клиентов, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Положением о мерах по организации защиты информационных систем персональных данных Общества.
7. Доступ к персональным данным Клиента имеют сотрудники Туроператора, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
Статья 7. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
1. Обработка персональных данных Клиента осуществляется Туроператором исключительно для достижения целей, определенных письменными договорами между Клиентом - Турагентом либо Клиентом - Туроператором, в частности для оказания услуг Клиенту по подбору, формированию и предоставлению ему туристского продукта.
2. Обработка персональных данных Туроператором в интересе Клиента заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов.
3. Обработка персональных данных Клиентов ведется методом смешанный (в том числе автоматизированной) обработки.
4. К обработке персональных данных Клиента могут иметь доступ только сотрудники Туроператора, допущенные к работе с персональными данными Клиента.
5. Согласие на обработку персональных данных может быть отозвано Клиентом. В случае отзыва Клиентом согласия на обработку персональных данных Туроператор вправе продолжить обработку персональных данных без согласия Клиента при наличии следующих оснований:
1) обработка персональных данных необходима для осуществления и выполнения возложенных на Туроператора Федеральным законом № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации» функций, полномочий и обязанностей;
2) обработка персональных данных Клиента необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем;
3) обработка персональных данных Клиента необходима для осуществления прав и законных интересов Туроператора или третьих лиц при условии, что при этом не нарушаются права и свободы Клиента.