+7 495 999 45 00
Продолжая использовать сайт, вы соглашаетесь на использование файлов cookies. Подробнее в Политике конфиденциальности
Подобрать программу
Оставьте заявку – сделайте первый шаг к свободному
английскому!
английскому!
Запишитесь на бесплатный урок!
Оставьте заявку – сделайте первый шаг к свободному
английскому!
английскому!
Английский для образования
Готовим к участию в международных программах и конференциях.
Английский для работы
Готовим к международному сотрудничеству — свободное деловое общение и профессиональный рост.
Английский для путешествий
Готовим к комфортному общению за границей без языкового барьера.
Английский для саморазвития
Готовим к саморазвитию без границ — открываем мир литературы, науки и культуры в оригинале.
Английский для академической мобильности
Готовим к интеграции в мировое образовательное пространство — обучение
и исследования на международном уровне.
и исследования на международном уровне.
Политика конфиденциальности
ПОЛИТИКА в отношении обработки персональных данных ООО «Проспект Клуб»ОГРН:1247700435124 ИНН:7743452419
1.ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Назначение документаНастоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с п.2 ч.1 ст.18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели, условия и способы обработки персональных данных (далее – ПДн), категории субъектов ПДн и обрабатываемых ПДн, права и обязанности акционерного общества ООО «Проспект Клуб» (далее – Общество) при обработке ПДн, права субъектов ПДн, а также реализуемые в Обществе меры по обеспечению безопасности ПДн при осуществлении установленных в Уставе видов деятельности.
Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в Обществе вопросы обработки ПДн.
1.2. Нормативные ссылкиФедеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.3. Область действияДействие настоящей Политики распространяется на все процессы Общества, в рамках которых осуществляется обработка ПДн, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
Использование услуг Общества означает согласие субъекта ПДн с настоящей Политикой и указанными в ней условиями обработки его персональных данных.
1.4. Используемые сокращенияИСПДн – информационная системаперсональных данных.
ПДн – персональные данные. РФ – Российская Федерация.
1.5. Используемые терминыи определенияАвтоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – физическое лицо, обладающее персональными данными прямо или косвенно его определяющими.
1.6. Утверждение и пересмотрНастоящая Политика вступает в силу с момента ее утверждения Генеральным директором Общества и действует бессрочно.
Общество проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в год, а также:
- при изменении положенийзаконодательства РФ в области ПДн;
- в случаях выявлениянесоответствий, затрагивающих обработкуи (или) защиту ПДн;
- по результатам контролявыполнения требований по обработке и (или) защитеПДн;
- по решению руководства Общества.
При внесении измененийуказывается дата последнего обновления редакции. Новая редакция вводится в действие приказом Генерального директора Общества.
Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте Общества в сети Интернет либо иным способом.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХПри организации обработки ПДн Общество руководствуется следующими принципами:
- обработка ПДн осуществляется на законной и справедливой основе;
- обработка ПДн ограничивается достижением конкретных, заранееопределенных и
законных целей;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат толькоПДн, которые отвечаютцелям их обработки;
- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
- при обработке ПДн обеспечивается точностьПДн, их достаточность и актуальность по отношению к целям обработки ПДн;
- хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным закономот 27.07.2006 № 152-ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целейобработки или в случае утраты необходимости в достижении этих целей.
Общество в своей деятельности исходит из того, что субъект ПДн предоставляет точную и достоверную информацию, во время взаимодействия с Обществом, извещает представителей Общества об изменении своих ПДн.
3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВОбщество производит обработку ПДн, в соответствии с договорными обязательствами (исполнение соглашений, договоров и обязательств), общехозяйственной и внутрикорпоративной деятельностью Общества, а также в соответствии с требованиями законодательства РФ в области ПДн.
В Обществе производится обработка ПДн следующих категорийсубъектов персональных данных:
- работников Общества;
- кандидатов на трудоустройство;
- представителей контрагентов;
- физических лиц, осуществляющих деятельность по договоругражданско-правового характера;
- клиентов – физических лиц.
Для каждой категории субъектов ПДн определены цели обработки их ПДн.
Целями обработки персональных данных работников и физических лиц, осуществляющих деятельность по договору гражданско-правового характера, является заключение, сопровождение, изменение, расторжение трудовых договоров, которые являются основанием для возникновения или прекращения трудовых отношений между работниками и Обществом.
Целями обработки персональных данных клиентов – физических лиц является персонификация участников программылояльности и персонификация клиентов,
осуществляющих электронное бронирование товаров и услуг, осуществление электронной коммерческой деятельности в соответствии с законодательством Российской Федерации.
Перечень обрабатываемых ПДн определяется действующим законодательством РФ, а также локальными документами Общества.
В Обществе осуществляется сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, уничтожение ПДн при ихобработке как с использованием средств автоматизации, так и без использования таковых.
4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЕЕ ПЕРЕДАЧИ ТРЕТЬИМ ЛИЦАМОбщество обрабатывает ПДн субъектов ПДн в соответствии с внутренними нормативными документами, разработанными в соответствии с требованиями законодательства РФ в областиПДн.
При обработке ПДн субъекта, обеспечивается их конфиденциальность, целостность и доступность. Передача ПДн третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта ПДн, а для выполнения требований законодательства РФ – в рамках установленной законодательством процедуры.
Общество может поручить обработку ПДн другому лицу при выполнении следующих условий:
- получено согласие субъектаПДн на поручение обработки ПДн другому лицу;
- поручение обработки ПДн осуществляется на основании заключаемого с этим лицом договора, разработанного с учетом требований Федерального закона РФ от 27.07.2006
№ 152-ФЗ «О персональных данных».
Лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки ПДн и несет ответственность перед Обществом. Общество несет ответственность перед субъектом ПДн за действия уполномоченного лица, которому Общество поручило обработку ПДн.
При обработке ПДн субъектов, Общество руководствуется положениями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
5. ПРАВА СУБЪЕКТА НА ДОСТУП И ИЗМЕНЕНИЕ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХДля обеспечения соблюдения установленных законодательством прав субъектов ПДн, в Обществе разработан и введен порядокработы с обращениями и запросами субъектов ПДн, а также порядок предоставления субъектам ПДн информации, установленной законодательством РФ в области ПДн.
Данный порядокобеспечивает соблюдение следующихправ субъекта ПДн:
1) Право на получениеинформации, касающейся обработки ПДн соответствующего субъекта ПДн, в том числе содержащей:
- подтверждение факта обработкиПДн;
- правовые основания и цели обработкиПДн;
- цели и применяемые Обществом способы обработки ПДн;
- наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании иных требований Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
- обрабатываемые ПДн, относящиеся к соответствующему субъектуПДн, источник их получения, если иной порядок представления таких ПДн не предусмотрен Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
- информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом РФ от 27.07.2006 № 152-ФЗ
«О персональных данных» или другими требованиями законодательства в области ПДн.
2) Право на уточнение, блокирование или уничтожение своих ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ в области ПДн меры по защите своих прав.
Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта ПДн или его представителя. Запросможет быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
6. ОБЯЗАННОСТИ И ПРАВА ОБЩЕСТВАВ соответствии с требованиями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» Общество обязуется:
- Осуществлять обработку ПДн с соблюдением принципов и правил,предусмотренных Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
- Не раскрывать третьим лицам и не распространять ПДн без согласиясубъекта ПДн,
если иное не предусмотрено Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
- Представлять доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется.
- Осуществлять обработку ПДн только с согласияв письменной формесубъекта ПДн, в случаях, предусмотренных Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
- Представлять субъекту ПДн или его представителю по запросу информацию, касающуюся обработки ПДн соответствующего субъекта ПДн, либо предоставить мотивированный отказ в предоставлении указанной информации, содержащий ссылку на положения Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», в срок,не превышающий тридцатидней со дня обращения субъектаПДн или его представителя.
- Разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
- Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
- Вносить изменения в обрабатываемые ПДн по требованию субъекта ПДн или его представителя, в случае подтверждения факта неточности обрабатываемых ПДн соответствующего субъекта ПДн в течение семи рабочих дней.
- Блокировать обработку ПДн в срок, не превышающий трех рабочих дней, в случае выявления неправомерной обработки при обращении субъекта ПДн или его представителя, если блокирование ПДн не нарушает права и законные интересы соответствующего субъекта ПДн или третьих лиц.
- Уничтожать ПДн соответствующего субъекта ПДн в срок, не превышающий десяти рабочих дней, в случае, если обеспечить правомерность обработки ПДн невозможно.
- Уведомлять субъекта ПДн или его представителя обо всех изменениях, касающихся соответствующего субъекта ПДн.
- Вести журнал учета обращений субъектов ПДн, в которомфиксируются все запросыи обращения субъекта ПДн или его представителя.
- Прекращать обработку и уничтожать ПДн соответствующего субъекта ПДн, в случае достижения цели обработки ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому являетсясубъект ПДн, иным соглашением между Обществом и субъектом ПДн, либо Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»или другими федеральными
законами.
- Прекращать обработку ПДн и уничтожать ПДн соответствующего субъекта ПДн, в случае отзыва субъектом ПДн согласия на обработку своих ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Обществом и субъектом ПДн.
В соответствии с положениями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» Общество имеет право:
- Осуществлять обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в ст.6, 10, 11 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
- Отказать субъекту ПДн в выполнении запроса/повторного запроса, в случае, если субъекту ПДн был предоставлен мотивированный ответ об отказе выполнения такого запроса.
- Осуществлять обработку ПДн без уведомления Роскомнадзора об обработке ПДн в случаях обработки ПДн:
o в соответствии с трудовым законодательством;
o полученных Обществом в связи с заключением договора, стороной которого является субъект ПДн, если ПДн не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются Обществом исключительно для исполнения указанного договораи заключения договоров с субъектом ПДн;
o включающих в себя только фамилии,имена и отчества субъектов ПДн;
o без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ в области ПДн.
7. МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВОбщество принимает необходимые и достаточные организационные и технические меры для защиты ПДн субъектов ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
Меры по обеспечению безопасности ПДн, применяемые в Обществе:
- Назначение ответственного за организацию обработкиПДн.
- Издание документов, определяющих политику Общества в отношении обработкиПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области ПДн, устранение последствий таких нарушений.
- Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ в области ПДн, соотношение указанного вреда и принимаемых
мер, направленных на обеспечение выполнения законодательства РФ в области ПДн.
- Ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ в области ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.
- Определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн).
- Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
- Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
- Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.
- Учет машинных носителей ПДн.
- Обнаружение фактов несанкционированного доступак ПДн и принятие мер.
- Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
- Установление правил доступак ПДн, обрабатываемым в ИСПДн, а такжеобеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.
- Контроль принимаемых мер по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
8. ЛИЦА, ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИОбщество назначает лицо,ответственное за организацию обработки ПДн.
Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от Генерального директора Общества.
Лицо, ответственное за организацию обработкиПДн обязано:
- осуществлять внутренний контроль за соблюдением Обществом и его работниками законодательства РФ в области ПДн, а также внутренних организационно- распорядительных документов Общества по вопросам обработки и защиты ПДн;
- доводить до сведенияработников Общества положения законодательства РФ в области ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
- участвовать в пересмотре внутренних организационно-распорядительных документов Общества по вопросам обработки и защиты ПДн;
- организовывать прием и обработку обращений и запросов субъектовПДн или их
представителей и (или) осуществлять контроль приема и обработки таких обращений и запросов.
9. ОТВЕТСТВЕННОСТЬ ЗА РЕАЛИЗАЦИЮ ПОЛОЖЕНИЙ ПОЛИТИКИРаботники Общества, осуществляющие обработку ПДн, а также ответственные лица за организацию и обеспечение безопасности ПДн в Обществе несут дисциплинарную и административную ответственность в соответствии с действующим законодательством РФ за нарушение положений настоящей Политики, локальных актов Общества, иных требований, предусмотренных законодательством РФ в области ПДн.
Местонахождение: 125635, Россия, г. Москва,
вн.тер.г. Муниципальный округ
западное Дегунино, ул. Базовская,
д. 10, кв. 44
1.ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Назначение документаНастоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с п.2 ч.1 ст.18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели, условия и способы обработки персональных данных (далее – ПДн), категории субъектов ПДн и обрабатываемых ПДн, права и обязанности акционерного общества ООО «Проспект Клуб» (далее – Общество) при обработке ПДн, права субъектов ПДн, а также реализуемые в Обществе меры по обеспечению безопасности ПДн при осуществлении установленных в Уставе видов деятельности.
Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в Обществе вопросы обработки ПДн.
1.2. Нормативные ссылкиФедеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.3. Область действияДействие настоящей Политики распространяется на все процессы Общества, в рамках которых осуществляется обработка ПДн, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
Использование услуг Общества означает согласие субъекта ПДн с настоящей Политикой и указанными в ней условиями обработки его персональных данных.
1.4. Используемые сокращенияИСПДн – информационная системаперсональных данных.
ПДн – персональные данные. РФ – Российская Федерация.
1.5. Используемые терминыи определенияАвтоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – физическое лицо, обладающее персональными данными прямо или косвенно его определяющими.
1.6. Утверждение и пересмотрНастоящая Политика вступает в силу с момента ее утверждения Генеральным директором Общества и действует бессрочно.
Общество проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в год, а также:
- при изменении положенийзаконодательства РФ в области ПДн;
- в случаях выявлениянесоответствий, затрагивающих обработкуи (или) защиту ПДн;
- по результатам контролявыполнения требований по обработке и (или) защитеПДн;
- по решению руководства Общества.
При внесении измененийуказывается дата последнего обновления редакции. Новая редакция вводится в действие приказом Генерального директора Общества.
Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте Общества в сети Интернет либо иным способом.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХПри организации обработки ПДн Общество руководствуется следующими принципами:
- обработка ПДн осуществляется на законной и справедливой основе;
- обработка ПДн ограничивается достижением конкретных, заранееопределенных и
законных целей;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат толькоПДн, которые отвечаютцелям их обработки;
- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
- при обработке ПДн обеспечивается точностьПДн, их достаточность и актуальность по отношению к целям обработки ПДн;
- хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным закономот 27.07.2006 № 152-ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целейобработки или в случае утраты необходимости в достижении этих целей.
Общество в своей деятельности исходит из того, что субъект ПДн предоставляет точную и достоверную информацию, во время взаимодействия с Обществом, извещает представителей Общества об изменении своих ПДн.
3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВОбщество производит обработку ПДн, в соответствии с договорными обязательствами (исполнение соглашений, договоров и обязательств), общехозяйственной и внутрикорпоративной деятельностью Общества, а также в соответствии с требованиями законодательства РФ в области ПДн.
В Обществе производится обработка ПДн следующих категорийсубъектов персональных данных:
- работников Общества;
- кандидатов на трудоустройство;
- представителей контрагентов;
- физических лиц, осуществляющих деятельность по договоругражданско-правового характера;
- клиентов – физических лиц.
Для каждой категории субъектов ПДн определены цели обработки их ПДн.
Целями обработки персональных данных работников и физических лиц, осуществляющих деятельность по договору гражданско-правового характера, является заключение, сопровождение, изменение, расторжение трудовых договоров, которые являются основанием для возникновения или прекращения трудовых отношений между работниками и Обществом.
Целями обработки персональных данных клиентов – физических лиц является персонификация участников программылояльности и персонификация клиентов,
осуществляющих электронное бронирование товаров и услуг, осуществление электронной коммерческой деятельности в соответствии с законодательством Российской Федерации.
Перечень обрабатываемых ПДн определяется действующим законодательством РФ, а также локальными документами Общества.
В Обществе осуществляется сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, уничтожение ПДн при ихобработке как с использованием средств автоматизации, так и без использования таковых.
4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЕЕ ПЕРЕДАЧИ ТРЕТЬИМ ЛИЦАМОбщество обрабатывает ПДн субъектов ПДн в соответствии с внутренними нормативными документами, разработанными в соответствии с требованиями законодательства РФ в областиПДн.
При обработке ПДн субъекта, обеспечивается их конфиденциальность, целостность и доступность. Передача ПДн третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта ПДн, а для выполнения требований законодательства РФ – в рамках установленной законодательством процедуры.
Общество может поручить обработку ПДн другому лицу при выполнении следующих условий:
- получено согласие субъектаПДн на поручение обработки ПДн другому лицу;
- поручение обработки ПДн осуществляется на основании заключаемого с этим лицом договора, разработанного с учетом требований Федерального закона РФ от 27.07.2006
№ 152-ФЗ «О персональных данных».
Лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки ПДн и несет ответственность перед Обществом. Общество несет ответственность перед субъектом ПДн за действия уполномоченного лица, которому Общество поручило обработку ПДн.
При обработке ПДн субъектов, Общество руководствуется положениями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
5. ПРАВА СУБЪЕКТА НА ДОСТУП И ИЗМЕНЕНИЕ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХДля обеспечения соблюдения установленных законодательством прав субъектов ПДн, в Обществе разработан и введен порядокработы с обращениями и запросами субъектов ПДн, а также порядок предоставления субъектам ПДн информации, установленной законодательством РФ в области ПДн.
Данный порядокобеспечивает соблюдение следующихправ субъекта ПДн:
1) Право на получениеинформации, касающейся обработки ПДн соответствующего субъекта ПДн, в том числе содержащей:
- подтверждение факта обработкиПДн;
- правовые основания и цели обработкиПДн;
- цели и применяемые Обществом способы обработки ПДн;
- наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании иных требований Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
- обрабатываемые ПДн, относящиеся к соответствующему субъектуПДн, источник их получения, если иной порядок представления таких ПДн не предусмотрен Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
- информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом РФ от 27.07.2006 № 152-ФЗ
«О персональных данных» или другими требованиями законодательства в области ПДн.
2) Право на уточнение, блокирование или уничтожение своих ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ в области ПДн меры по защите своих прав.
Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта ПДн или его представителя. Запросможет быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
6. ОБЯЗАННОСТИ И ПРАВА ОБЩЕСТВАВ соответствии с требованиями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» Общество обязуется:
- Осуществлять обработку ПДн с соблюдением принципов и правил,предусмотренных Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
- Не раскрывать третьим лицам и не распространять ПДн без согласиясубъекта ПДн,
если иное не предусмотрено Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
- Представлять доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется.
- Осуществлять обработку ПДн только с согласияв письменной формесубъекта ПДн, в случаях, предусмотренных Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
- Представлять субъекту ПДн или его представителю по запросу информацию, касающуюся обработки ПДн соответствующего субъекта ПДн, либо предоставить мотивированный отказ в предоставлении указанной информации, содержащий ссылку на положения Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», в срок,не превышающий тридцатидней со дня обращения субъектаПДн или его представителя.
- Разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
- Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
- Вносить изменения в обрабатываемые ПДн по требованию субъекта ПДн или его представителя, в случае подтверждения факта неточности обрабатываемых ПДн соответствующего субъекта ПДн в течение семи рабочих дней.
- Блокировать обработку ПДн в срок, не превышающий трех рабочих дней, в случае выявления неправомерной обработки при обращении субъекта ПДн или его представителя, если блокирование ПДн не нарушает права и законные интересы соответствующего субъекта ПДн или третьих лиц.
- Уничтожать ПДн соответствующего субъекта ПДн в срок, не превышающий десяти рабочих дней, в случае, если обеспечить правомерность обработки ПДн невозможно.
- Уведомлять субъекта ПДн или его представителя обо всех изменениях, касающихся соответствующего субъекта ПДн.
- Вести журнал учета обращений субъектов ПДн, в которомфиксируются все запросыи обращения субъекта ПДн или его представителя.
- Прекращать обработку и уничтожать ПДн соответствующего субъекта ПДн, в случае достижения цели обработки ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому являетсясубъект ПДн, иным соглашением между Обществом и субъектом ПДн, либо Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»или другими федеральными
законами.
- Прекращать обработку ПДн и уничтожать ПДн соответствующего субъекта ПДн, в случае отзыва субъектом ПДн согласия на обработку своих ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Обществом и субъектом ПДн.
В соответствии с положениями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» Общество имеет право:
- Осуществлять обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в ст.6, 10, 11 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
- Отказать субъекту ПДн в выполнении запроса/повторного запроса, в случае, если субъекту ПДн был предоставлен мотивированный ответ об отказе выполнения такого запроса.
- Осуществлять обработку ПДн без уведомления Роскомнадзора об обработке ПДн в случаях обработки ПДн:
o в соответствии с трудовым законодательством;
o полученных Обществом в связи с заключением договора, стороной которого является субъект ПДн, если ПДн не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются Обществом исключительно для исполнения указанного договораи заключения договоров с субъектом ПДн;
o включающих в себя только фамилии,имена и отчества субъектов ПДн;
o без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ в области ПДн.
7. МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВОбщество принимает необходимые и достаточные организационные и технические меры для защиты ПДн субъектов ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
Меры по обеспечению безопасности ПДн, применяемые в Обществе:
- Назначение ответственного за организацию обработкиПДн.
- Издание документов, определяющих политику Общества в отношении обработкиПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области ПДн, устранение последствий таких нарушений.
- Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ в области ПДн, соотношение указанного вреда и принимаемых
мер, направленных на обеспечение выполнения законодательства РФ в области ПДн.
- Ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ в области ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.
- Определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн).
- Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
- Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
- Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.
- Учет машинных носителей ПДн.
- Обнаружение фактов несанкционированного доступак ПДн и принятие мер.
- Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
- Установление правил доступак ПДн, обрабатываемым в ИСПДн, а такжеобеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.
- Контроль принимаемых мер по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
8. ЛИЦА, ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИОбщество назначает лицо,ответственное за организацию обработки ПДн.
Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от Генерального директора Общества.
Лицо, ответственное за организацию обработкиПДн обязано:
- осуществлять внутренний контроль за соблюдением Обществом и его работниками законодательства РФ в области ПДн, а также внутренних организационно- распорядительных документов Общества по вопросам обработки и защиты ПДн;
- доводить до сведенияработников Общества положения законодательства РФ в области ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
- участвовать в пересмотре внутренних организационно-распорядительных документов Общества по вопросам обработки и защиты ПДн;
- организовывать прием и обработку обращений и запросов субъектовПДн или их
представителей и (или) осуществлять контроль приема и обработки таких обращений и запросов.
9. ОТВЕТСТВЕННОСТЬ ЗА РЕАЛИЗАЦИЮ ПОЛОЖЕНИЙ ПОЛИТИКИРаботники Общества, осуществляющие обработку ПДн, а также ответственные лица за организацию и обеспечение безопасности ПДн в Обществе несут дисциплинарную и административную ответственность в соответствии с действующим законодательством РФ за нарушение положений настоящей Политики, локальных актов Общества, иных требований, предусмотренных законодательством РФ в области ПДн.