ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Утверждена

Решением Индивидуального предпринимателя Демяник Д.А.

от 13.02.2025 г.

Статья 1. Общие положения

1. Настоящим Положением устанавливается порядок обработки персональных данных Клиентов, для которых Индивидуальный предприниматель Демяник Дмитрий Анатольевич (далее по тексту - Турагент) осуществляет бронирование и реализацию туристического продукта.

2. Клиентам Турагента являются:

- физические лица (субъекты персональных данных), заключившие с Турагентом письменный договор на реализацию туристского продукта, который формируется Туроператором;
2.1. Туроператор - туристическая организация, состоящая в Едином федеральном реестре туроператоров , с которой Турагент заключил письменный договор о реализации туристского продукта, и которая формирует и предоставляет Турагенту туристский продукт, в интересах исполнения Турагентом обязательство по договору Турагент - Клиент.
3. Цель данного Положения - обеспечение требований защиты прав граждан при обработке персональных данных.

4. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничения прав граждан Российской Федерации на использовании информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и наказывается в соответствии с законодательством.
5. Настоящее Положение и изменения к нему утверждаются ИП Демяник Д.А. Все сотрудники Турагента (если они у него есть) должны быть ознакомлены под подпись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками Турагента (при наличии в штате сотрудников), имеющими доступ к персональным данным Клиента.

 

Статья 2. Понятие и состав персональных данных Клиентов.

1. Под персональными данными Клиентов понимается информация , необходимая Турагенту в связи с исполнением им договорных обязательств.

2. Состав персональных данных Клиента, обработка которых осуществляется Турагентом:
- фамилия, имя, отчество;

- год, месяц, день рождения;

- пол;

- адрес регистрации;

- номер паспорта, удостоверяющего личность гражданина Российской Федерации, сведения о дате выдачи и выдавшем паспорт органе;

- номер заграничного паспорта и срок его действия;

- фамилия и имя, как они указаны в загранпаспорте.

3. При необходимости получения в интересах Клиента визы в посольстве страны планируемого пребывания, состав персональных данных, указанный в п.2, настоящей статьи, может быть дополнен сведениями, которые запрашиваются консульскими службами посольства страны планируемого посещения для рассмотрения вопроса о выдаче визы.

 

Статья 3. Конфиденциальность персональных данных

1. Сведения, перечисленные в статье 2. Положения, содержащие сведения о персональных данных Клиентов, являются конфиденциальными. Турагент обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.

2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, либо при наличии письменного согласия Клиента на то, что его персональные данные являются общедоступными персональными данными.

Статья 4. Права и обязанности Турагента

1. Турагент имеет право без согласия Клиента осуществлять обработку его персональных данных в следующих случаях:

1) если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных - Клиент (см.пп.2.п.2.ст.6. Федерального закона РФ № 152-ФЗ от 27.07.2006 года «О персональных данных» - далее по тексту Закон «О персональных данных»);

2) когда обработка персональных данных Клиента осуществляется для статистических или иных научных целей при условии обязательного обезличивания его персональных данных (см.пп.3.п.2.ст.6. Закона «О персональных данных»);

3) если обработка персональных данных Клиента необходима для защиты жизни, здоровья или иных жизненно важных интересов Клиента, если получение его согласия невозможно (см.пп.4.п.2.ст.6. Закона «О персональных данных»).

2. Если договор на реализацию туристского продукта с Турагентом заключается Клиентом, который в том числе на законных основаниях представляет интересы третьих лиц, то Турагент обязан до начала обработки персональных данных этих третьих лиц получить их письменные согласия на обработку их персональных данных.

Согласие на обработку персональных данных по основаниям данного пункта может быть отозвано Клиентом. Обязанность предоставить доказательство получения согласия Клиента на обработку его персональных данных по основаниям данного пункта возлагается на Турагента.
3. В целях обеспечения прав и свобод человека и гражданина Турагент и его представители при обработке персональных данных Клиента обязаны соблюдать следующие общие требования:
3.1. При определении объема и содержания персональных данных Клиента, подлежащих обработке, Турагент должен руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», Федеральным законом № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации», договорными обязательствами, взятыми на себя сторонами по договору между Клиентом и Турагентом. Турагент получает персональные данные Клиентов только в объеме, необходимом для достижения целей, указанных в договоре с Клиентом.

3.2. Турагент не имеет права получать и обрабатывать персональные данные Клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни.

3.3. Турагент не имеет права получать и обрабатывать персональные данные Клиента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.4. Турагент не должен запрашивать информацию о состоянии здоровья Клиента, за исключением тех сведений, которые относятся к вопросу организации безопасного отдыха для Клиента.

4. Турагент должен обеспечить защиту персональных данных Клиента от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.

Статья 5. Права и обязанности Клиента

1. Клиент обязан передавать Турагенту или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен настоящим Положением и договорными обязательствами, взятыми на себя сторонами по договору между Клиентом — Турагентом.

2. Клиент должен без неоправданной задержки сообщать Турагенту об изменении своих персональных данных.

3. Клиент имеет право на получение сведений о Турагенте и Туроператоре, о месте их нахождения, о наличии у Турагента и Туроператора персональных данных, относящихся к Клиенту, а также на ознакомление с такими персональными данными. Клиент вправе требовать от Турагента уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.1. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3.2. Доступ к своим персональным данным предоставляется Клиенту или его законному представителю Турагентом при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Турагентом, а также цель такой обработки;
2) способы обработки персональных данных, применяемые Турагентом;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для Клиента может повлечь за собой обработка его персональных данных.

5. Клиент имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.

6. Клиент вправе обжаловать действия или бездействие Турагента в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7. Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

Статья 6. Порядок получения персональных данных

1. Турагент получает персональные данные Клиента:

1.1. Непосредственно от субъекта персональных данных - Клиента, на основании заключения с Клиентом письменного договора о реализации туристского продукта и письменного согласия на обработку персональных данных.

1.1.1. Заключая договор с Турагентом, Клиент и все третьи лица, интересы которых на законном основании представляет Клиент в рамках договора о реализации туристского продукта, предоставляют письменное согласие на то, что они согласны, чтобы в период действия договора о реализации туристского продукта, их персональные данные считались бы общедоступными персональными данными. Форма письменного согласия указанна в Приложении №3 к настоящему Положению.

2. Турагент до начала обработки персональных данных обязан предоставить Клиенту письменную информацию о наименовании и адресе Туроператора, правовом основании и цели обработки Туроператором персональных данных Клиента, о предполагаемых пользователях персональных данных и установленных настоящим Законом «О персональных данных» правах Клиента.

2.1. Исполнение условий п.п.2, необязательно, если Клиент предоставил Турагенту письменное согласие на то, чтобы на период действия договора Турагент - Клиент считать его персональные данные - общедоступными персональными данными.

Статья 7. Обработка персональных данных

1. Обработка персональных данных Клиента осуществляется Турагентом исключительно для достижения целей, определенных письменным договором между Клиентом - Турагентом, в частности для оказания услуг Клиенту по подбору, формированию и предоставлению ему туристского продукта.

2. Обработка персональных данных Турагентом в интересе Клиента заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов.

3. Обработка персональных данных Клиентов ведется методом смешанный (в том числе автоматизированной) обработки.

4. К обработке персональных данных Клиента могут иметь доступ только сотрудники Турагента, допущенные к работе с персональными данными Клиента.

5. В случае отзыва Клиентом согласия на обработку своих персональных данных Турагент незамедлительно прекращает обработку персональных данных Клиента. Турагент уничтожает персональные данные Клиента в следующие сроки:

- хранящиеся на электронных носителях в течение трех рабочих дней со дня окончания срока исковой давности по договору Клиент-Турагент или Клиент-Субагент;

- хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока исковой давности по договору Клиент-Турагент или Клиент-Субагент;

- хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства РФ.

Об уничтожении персональных данных Турагент обязан уведомить Клиента, если иное не установлено законодательством РФ либо договором с Клиентом.

Статья 8. Передача персональных данных

1. Передача персональных данных Клиента осуществляется Турагентом исключительно для достижения целей, определенных письменными договорами между Клиентом - Турагентом, в частности для формирования туристского продукта, заказанного Клиентом.
2. Передача персональных данных Клиента третьим лицам осуществляется Турагентом только на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Клиента и безопасности персональных данных при их обработке.

Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.

3. Передача персональных данных третьим лицам осуществляется с использованием сети общего пользования Интернет и на бумажных носителях.

4. Турагент осуществляет трансграничную передачу персональных данных Клиента, в том числе на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, только в исполнение договора Клиент - Турагент, либо при наличии соответствующего письменного согласия Клиента.

Статья 9. Хранение персональных данных

1. Персональные данные Клиентов могут храниться, как на бумажных носителях, так и в электронном виде.

2. Персональные данные Клиентов содержатся в следующих группах документов:

- письменные заявки на бронирование туристского продукта для Клиентов;

- письменные договора с Клиентами на реализацию им туристского продукта;

- приложения к письменным договорам на реализацию туристского продукта с Туроператорами;
- письменные претензии Клиентов по качеству предоставленных туристских услуг;

- письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по искам Клиентов против Турагента либо Турагента против Туроператора.

3. Персональные данные Клиентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных шкафах.

3.1. Ключ от шкафов хранится лично у Индивидуального предпринимателя, (при наличии персонала, то у менеджеров допущенных к обработке персональных данных Клиентов, а их копии - у Индивидуального предпринимателя).

4. Персональные данные Клиентов также хранятся в электронном виде: в локальной компьютерной сети Турагента, в электронных папках и файлах в ПК Индивидуального предпринимателя (при наличии персонала - у менеджеров, допущенных к обработке персональных данных Клиентов).

5. Персональные данные, содержащиеся на электронных носителях Информации, уничтожаются в течение трех рабочих дней со дня окончания срока исковой давности по договору Клиент-Турагент.

6. Персональные данные Клиентов, содержащиеся на бумажных носителях, уничтожаются в следующие сроки:

- хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока исковой давности по договору Клиент-Турагент;
- хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству
РФ, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства РФ.

7. Об уничтожении персональных данных Турагент обязан уведомить Клиента, если иное не установлено законодательством РФ либо договором с Клиентом.

Статья 10. Доступ к персональным данным Клиента

1. Право доступа к персональным данным Клиента у Турагента имеют:

- Индивидуальный предприниматель;

- При наличии сотрудников у Индивидуального предпринимателя: менеджеры Турагента, осуществляющие непосредственную работу с Клиентами, другие сотрудники Турагента при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения Индивидуального предпринимателя;

- Клиент, как субъект персональных данных.

2. Перечень сотрудников Турагента (при наличии их в штате ИП), имеющих доступ к персональным данным Клиентов, определяется приказом Индивидуального предпринимателя.

3. Доступ Клиента к своим персональным данным предоставляется при обращении либо при получении запроса Клиента. Турагент обязан сообщить Клиенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

4. При передаче персональных данных Клиента Турагент должен соблюдать следующие требования:
- не сообщать персональные данные Клиента третьей стороне без письменного согласия Клиента, за исключением случаев, установленных федеральным законом;

- не сообщать персональные данные Клиента в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные Клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

- разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.

5. Согласия Клиента на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Клиента, и когда третьи лица оказывают услуги Турагенту на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.

 

Статья 11. Защита персональных данных Клиентов

1. Защите подлежат следующие персональные данные Клиентов, если только с них на законном основании не снят режим конфиденциальности:

- документы, содержащие персональные данные Клиента, перечисленные в п.2.ст.9. настоящего Положения;

- информация, содержащая персональные данные Клиентов, размещенная на электронных носителях.
2. Турагент обязан при обработке персональных данных Клиентов принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

3. Общую организацию защиты персональных данных Клиентов осуществляет Индивидуальный предприниматель.

4. Защита персональных данных Клиентов, хранящихся в электронных-базах данных Турагента на персональном компьютере, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Индивидуальным предпринимателем.

5. Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы, обеспечивающие защиту от несанкционированного доступа.

6. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:

- Использованием Microsoft Security Essentials, не допускающих несанкционированный вход в ПК.

11.1. Несанкционированный вход в ПК, в которых содержатся персональные данные Клиентов, блокируется паролем, который устанавливается Индивидуальным предпринимателем.
11.2. Изменение паролей Индивидуальным предпринимателем осуществляется не реже 1 раза в 3 месяца.

12. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Турагента, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.

Статья 12. Уведомление об обработке персональных данных Клиентов

1. В связи с тем, что:

1) Турагент осуществляет обработку персональных данных Клиентов, полученных Турагентом в связи с заключением договора с Клиентом, персональные данные Клиентов распространяются и предоставляются третьим лицам с согласия субъекта персональных данных и используются Турагентом исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

либо
2) Турагент осуществляет обработку персональных данных Клиентов, которые с письменного согласия Клиента являются общедоступными персональными данными, то Турагент вправе осуществлять обработку персональных данных Клиентов без уведомления уполномоченного органа по защите прав субъектов персональных данных.

Статья 13. Ответственность за разглашение информации, содержащей персональные данные Клиента

1. Турагент несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Клиента. Турагент закрепляет персональную ответственность сотрудников (если такие состоят в штате) за соблюдением установленного в организации режима конфиденциальности.

2. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Клиентов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

3. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке. Настоящее Положение разработано в соответствии с Конституцией РФ, Федеральным законом РФ № 149-ФЗ от 27.07.2006 г. «Об информации, информационных
технологиях и о защите информации», Федеральным законом РФ № 152-ФЗ от 27.07.2006 г. «О персональный данных», Указом Президента РФ №188 от 06.03.1997 г. «Об утверждении перечня сведений конфиденциального характера».