«ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ»

1. Общие положения.
1.1. Настоящая Политика в отношении защиты и обработки персональных данных (далее – Политика) составлена в соответствии с п.2 статьи 18.1 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г., а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Организация (далее – Исполнитель) может получить от субъекта персональных данных (Заказчика и/или туриста/ов), являющегося стороной договорных отношений, связанных с реализацией туристского продукта и оказанием туристских услуг, входящих в состав туристского продукта, а также от субъекта персональных данных, состоящего с Исполнителем в отношениях, регулируемых трудовым или гражданским законодательством (далее – Работник или контрагент).
1.2. Исполнитель обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г.).
1.3. Информация об Исполнителе:

Наименование: ООО «Индустрия Путешествий».
ИНН: 6714049700
Юридический/Почтовый адрес: 2014505, Россия, Смоленская область, Смоленский р-н, д. Лубня, ул. Андреевская, д.1а
Фактический адрес: 129164, Москва, Ракетный бульвар д.16, БЦ Алексеевский 18 этаж

Контактный адрес электронной почты: info@sanatop.ru, sales@sanatop.ru
Контактный номер телефона: +7 (800) 100-40-17
1.4. Изменение Политики.
1.4.1. Исполнитель имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция.
1.4.2. Политика вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.



2. Термины и принятые сокращения

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такой информацией, в частности, являются фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.
Исполнитель – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Общедоступные персональные данные – персональные данные, размещённые субъектом персональных данных в общедоступных источниках персональных данных (в том числе справочниках, адресных книгах), доступ к которым предоставлен неограниченному кругу лиц, либо персональные данные, размещённые в общедоступных источниках персональных данных на основании письменного согласия субъекта персональных данных.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Хранение персональных данных - непосредственное содержание персональных данных в информационной системе персональных данных Исполнителя.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Конфиденциальность персональных данных - обязательное для выполнения Исполнителем или иным лицом, получившим доступ к персональным данным, требование не допускать раскрытия персональных данных третьим лицам, их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Защита персональных данных - совокупность действий организационного и технического характера со стороны Исполнителя, направленных на защиту персональных данных.


3. Предоставление персональных данных

Принимая Политику, Заказчик, действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, дает согласие Исполнителю на обработку своих персональных данных и / или дает согласие Исполнителю, как полноправный представитель Туриста на обработку персональных данных Туриста:

— фамилия, имя, отчество;

— пол, дата рождения, месяц и год рождения;

— номер контактного телефона;

— адрес электронной почты;

— данные документов, указанные в Заказе;

— данные о гражданстве;

— стране и место рождения;

— программе лечения;

— файлы cookie, тип и версия ОС, тип и версия браузера, тип устройства и разрешение его экрана, источник откуда пришел на Сайт Заказчик, с какого сайта или по какой рекламе, язык ОС и браузера, какие действия совершает Заказчик на Сайте, ip-адрес.



Работник Исполнителя дает согласие Исполнителю, на обработку персональных данных Работника:

- фамилия, имя, отчество;
- паспортные данные;
- дата и место рождения;
- адрес регистрации;
- семейное положение;
- образование;
- профессия;
- данные ИНН;
- банковские реквизиты;
- данные пенсионного страхового свидетельства;
- данные медицинских полисов;
- сведения о рождении детей и о заключении или расторжении брака;
- данные о воинском учете;
- место работы;
- должность;
- сведения о трудовой деятельности (Трудовая книжка);
- телефон.



Контрагент Исполнителя дает согласие Исполнителю, на обработку персональных данных Контрагента:

- фамилия, имя, отчество;
- паспортные данные;
- дата и место рождения;
- адрес регистрации;
- семейное положение;
- образование;
- профессия;
- данные ИНН;
- банковские реквизиты;
- данные пенсионного страхового свидетельства;
- телефон.



4. Защита персональных данных
4.1. В соответствии с требованиями нормативных документов Исполнителем создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование систем защиты персональных данных.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления систем защиты персональных данных, разрешительной системы, защиты информации при работе с работниками, контрагентами, партнерами и сторонними лицами.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
4.5. Основными мерами защиты персональных данных, используемыми Исполнителем, являются:
4.5.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.
4.5.2. Определение актуальных угроз безопасности персональным данным при их обработке в информационных системах персональных данных и разработка мер и мероприятий по защите персональных данных.
4.5.3. Разработка политики в отношении обработки персональных данных.
4.5.4. Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.
4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
4.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

4.5.8. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
4.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.10.Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.5.11. Обучение работников Исполнителя, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Исполнителя в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
4.5.12. Осуществление внутреннего контроля и аудита.



5. Основные права и обязанности субъекта персональных данных и обязанности Исполнителя

5.1. Согласие Заказчика на обработку его и/или Туриста персональных данных является конкретным, информированным и сознательным.

5.2. Предоставляя свои и/или Туристов персональные данные , Заказчик дает Исполнителю согласие на обработку и передачу своих и/или Туристов персональных данных третьим лицам для исполнения Договора (в т.ч. в целях оформления проездных документов, бронирования объектов размещения, предоставление Заказчику доступа к личному кабинету на Сайте, продвижение услуг Исполнителя и/или партнеров Исполнителя, идентификация Заказчика на Сайте и через операторов колл-центра Исполнителя (далее – менеджеров), анализ повышения качества предоставляемых менеджерами услуг и Сайта, аналитика действий Заказчика при общении с менеджерами и на Сайте, выполнение требований законодательных актов, нормативных документов и т.д.). В целях исполнения реализации Туристского продукта Заказчик разрешает доступ к вышеназванным персональным данным для лиц, непосредственно оказывающих услуги, связанные с исполнением Договора (Менеджер, Туроператор, Объект размещения, Медицинское учреждение, Исполнитель, агент, перевозчики, персонал объектов размещения и т.п.). Заказчик также дает Исполнителю разрешение на обработку своих и/или Туристов персональных данных методом смешанной (в т.ч. автоматизированной) обработки, включая, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, распространение и передачу с использованием сети общего доступа Интернет третьим лицам (объектам размещения, медицинским учреждениям, перевозчикам, транспортным компаниям и т.п.).

5.3. Заказчик подтверждает, что им получено согласие от всех Туристов, указанных в Заказе, на обработку и передачу персональных данных третьим лицам для исполнения Договора (в т.ч. в целях оформления проездных документов, бронирования объекта размещений, выполнение требований законодательных актов, нормативных документов и т.д.). В целях реализации Туристского продукта Заказчиком получено разрешение от Туристов, указанных в Заказе, на доступ к персональным данным для лиц, непосредственно оказывающих услуги, связанные с исполнением Договора (Менеджер, Объект размещения, Медицинские учреждения, Туроператор, Исполнитель, перевозчики, персонал объектов размещения и т.п.). Также Заказчиком получено разрешение от Туристов, указанных в Заказе, на обработку персональных данных методом смешанной (в т.ч. автоматизированной) обработки, включая, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, распространение и передачу с использованием сети Интернет третьим лицам (объектам размещения, медицинским учреждениям, перевозчикам, транспортным компаниям и т.п.).

5.4. В случае, если согласие на обработку персональных данных было отозвано Туристами и Заказчик не известил об этом Исполнителя или в случае, если Заказчик дезинформировал Исполнителя о наличии вышеназванного согласия Туристов и в результате этого Исполнителю были причинены убытки, то Заказчик обязуется компенсировать Исполнителю все понесенные убытки.

Согласие действительно в течение 5 (пяти) лет с момента принятия Заказчиком Политики.

5.5. Заказчик согласен на получение информационных материалов Исполнителя по указанным Заказчиком каналам связи, в том числе сотовой, телефонной связи и электронной почте;

5.5. Заказчик и/или турист/ы (далее - субъект персональных данных) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Исполнителем;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Исполнителем способы обработки персональных данных;
4) наименование и место нахождения Исполнителя, сведения о лицах (за исключением работников Исполнителя), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Исполнителем или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Исполнителя, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
5.6. Исполнитель обязан:
1) при обращении субъекта персональных данных, предоставить информацию об обработке персональных данных;
2) при отказе в предоставлении персональных данных, разъяснить субъекту персональных данных последствия такого отказа;
3) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Исполнителя в отношении обработки персональных данных;
4) принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;



6. Обработка персональных данных

6.1. Обработка персональных данных осуществляется Исполнителем с соблюдением принципов и правил, предусмотренных 152-ФЗ «О персональных данных» от 27 июля 2006 г., в следующих случаях:

— с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для исполнения договора о реализации туристского продукта, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
— в случаях, когда обработка персональных данных необходима Исполнителю для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

6.2. Персональные данные, обрабатываемые Исполнителем:

— персональные данные Заказчика и туристов, в объёме необходимом для бронирования туристских услуг, входящих в состав туристского продукта, реализуемого по договорам о реализации туристского продукта;
— персональные данные Заказчика и туристов, в объёме необходимом для оформления туристских документов, подтверждающих право туристов на получение туристских услуг, входящих в состав туристского продукта, реализуемого по договорам о реализации туристского продукта;
6.3. Обработка персональных данных ведется:

— с использованием средств автоматизации;
— без использования средств автоматизации.

7. Хранение персональных данных.

7.1. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение в электронном виде.
7.2. Персональные данные субъектов персональных данных, обрабатываемые с использованием средств автоматизации, обрабатываются и хранятся с соблюдением требований, установленных Постановлением Правительства РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г.
7.3. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в информационных системах персональных данных.
7.4. Хранение персональных данных в форме, позволяющей определить субъект персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.



8. Удаление персональных данных.

8.1. В случае несогласия Заказчика и/или Туриста на обработку его персональных данных и/или в случае несогласия Заказчика на получения информационных материалов, то Заказчик и/или Турист должны направить заявление на адрес электронной почты: info@sanatop.ru или в письменной форме по адресу: 129164, Москва, Ракетный бульвар д.16. БЦ Алексеевский 18 этаж.

В случае отзыва Заказчиком согласия на получение информационных материалов Исполнитель прекращает осуществлять направление Заказчику информационных материалов в срок, не превышающий трех рабочих дней.

8.2. В случае отзыва Туристом согласия на обработку его персональных данных Исполнитель при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», вправе продолжить обработку персональных данных Туриста. При отсутствии перечисленных выше оснований Исполнитель прекращает обработку персональных данных Туриста и уничтожает персональные данные в срок, не превышающий тридцати календарных дней с даты поступления указанного отзыва.

8.3. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.


9. Конфиденциальность персональных данных.

9.1. Все сведения, которые относятся к персональным данным, ставшие известными Исполнителю в связи с осуществлением процесса обработки таких данных - являются конфиденциальной информацией и охраняются действующим законодательством Российской Федерации. Исполнитель предпринимает соответствующие меры для защиты такой информации.

9.2. Сотрудники Исполнителя и иные лица, которые получили доступ к обрабатываемым персональным данным в обязательном порядке подписывают соглашение о неразглашении конфиденциальной информации и предупреждаются о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения положений действующего законодательства Российской Федерации в области обработки и защиты персональных данных.

Made on
Tilda