Алексинский район, с. Бунырёво, Пансионат Шахтёр

+7 905-11-33-166
+7 48753-77-166
+7 4872-25-19-66
Условия обработки персональных данных

ПОЛОЖЕНИЕ 

о защите персональных данных клиентов ООО «Семь Столиц»

Статья 1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.  Настоящим Положением об обработке и защите персональных данных Клиентов (далее – Положение) устанавливается порядок обработки персональных данных Клиентов, для которых ООО «Семь Столиц» (далее по тексту – Оператор) осуществляет бронирование и реализацию продукта (путевки/курсовки в лечебно-оздоровительный пансионат «Шахтер»), сформированного оператором.

1.1.1. Под Клиентами Оператора в интересах настоящего Положения понимаются:

– физические лица (субъекты персональных данных), заключившие с Оператором договор на реализацию продукта, формируемого оператором.

– физические лица (субъекты персональных данных), от имени которых заказчик (который приобретал продукт, в том числе для лиц, интересы которых он представляет, при условии, что заказчик предоставил оператору основания правомерности его действий в чужом интересе) заключил с Оператором договор на реализацию продукта, который формируется оператором.

1.2. Цель данного Положения – обеспечение требований защиты прав Клиентов при обработке их персональных данных ООО «Семь Столиц»

1.3. Персональные данные не могут быть использованы Оператором или его сотрудниками в целях причинения имущественного и морального вреда Клиентам, затруднения реализации их прав и свобод.

1.4. Обработка персональных данных Клиентов должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с Клиентами целей. Обработке подлежат только те персональные данные Клиентов, и только в том объеме, которые отвечают целям их обработки, определенным в договоре с Клиентами или законодательством Российской Федерации.

1.5. Обрабатываемые персональные данные Клиентов подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

1.6. Настоящее Положение и изменения к нему утверждаются Генеральным директором ООО «Семь Столиц» и вводятся приказом. Все сотрудники Оператора, осуществляющие обработку и хранение персональных днных, должны быть ознакомлены под подпись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками Оператора, имеющими доступ к персональным данным Клиентов.

Статья 2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА

 2.1.  Под персональными данными Клиента понимается любая информация о субъекте персональных данных, необходимая Оператору в связи с исполнением им договорных обязательств перед Клиентом.

2.3.Состав персональных данных Клиента, обработка которых осуществляется Оператором, включает в себя в следующие документы и сведения:

2.3.1. Основные сведения, требуемые для заключения договора реализации продукта:

– фамилия, имя, отчество; фамилия, имя в латинской транскрипции, как они указаны в заграничном паспорте;

– год, месяц и число рождения; место рождения; гражданство в настоящее время;

– пол; семейное положение;

– данные об общегражданском паспорте РФ (серия и номер общероссийского паспорта, дата его выдачи, наименование органа, выдавшего паспорт, срок действия общероссийского паспорта либо свидетельства о рождении);

– данные о заграничном паспорте (серия и номер заграничного паспорта, дата его выдачи, наименование органа, выдавшего паспорт, срок действия);

– свидетельства о рождении (для несовершеннолетних граждан);

– адрес регистрации;

– адрес электронной почты;

– домашний и контактный (мобильный) телефоны;

2.4.Оператор получает персональные данные Клиента только:

– от субъекта персональных данных – Клиента, на основании заключения с Клиентом письменного договора о реализации продукта;

– от заказчика продукта (субъекта персональных данных), выступающего также на законном основании представителем других субъектов персональных данных – Клиентов, указанных в договоре о реализации продукта, и/или являющихся выгодоприобретателями по договору между Оператором и Заказчиком.

,Статья 3. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

 3.1. Документы и сведения, перечисленные в статье 2 Положения, и содержащие информацию о персональных данных Клиентов, являются конфиденциальными.  Оператор обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.

3.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

Статья 4. ПРАВА И ОБЯЗАННОСТИ КЛИЕНТА

4.1. Клиент обязан передавать Оператору достаточные, достоверные, документированные персональные данные, полный состав которых установлен в договорах на реализацию продукта, заключенных между Клиентом и Оператором.

4.2. Клиент должен без неоправданной задержки сообщать Оператору об изменении своих персональных данных.

4.3. Клиент имеет право на получение сведений об операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к Клиенту, а также на ознакомление с такими персональными данными.

4.4. Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

– подтверждение факта обработки персональных данных Оператором;

– правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных;

– сроки обработки персональных данных, в том числе сроки их хранения;

– наименование третьего лица или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по договору с Оператором;

– иные сведения, предусмотренные федеральными законами.

4.5. Клиент вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.6. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

4.7. Доступ к своим персональным данным предоставляется Клиенту или его законному представителю Оператором при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством РФ.

4.8. Согласие на обработку персональных данных может быть отозвано Клиентом.

4.9. Если Клиент считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона “О персональных данных” или иным образом нарушает его права и свободы, Клиент вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

,Статья 5. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

 5.1. Оператор осуществляет обработку персональных данных Клиентов, указанных в п. 1.1.1. статьи 1 настоящего Положения, только по ниже следующим основаниям:

– обработка персональных данных Клиентов необходима для осуществления и выполнения возложенных законодательством РФ;

– обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем;

– обработка персональных данных Клиента необходима для осуществления прав и законных интересов Оператора или иных третьих лиц при соблюдении условия, что при этом не нарушаются права и свободы Клиента;

– осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен самим Клиентом, либо по его просьбе.

5.2. Оператор вправе поручить обработку персональных данных третьему лицу с согласия Клиента, на основании заключенного с этим третьим лицом договора. В этом случае Оператор должен на договорной основе обязать третье лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом “О персональных данных” и настоящим Положением.

5.3. При определении объема и содержания персональных данных Клиента, подлежащих обработке, Оператор обязан руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года “О персональных данных”, договорными обязательствами, взятыми на себя сторонами по договору между Клиентом – Оператором. Оператор получает персональные данные Клиентов только в объеме, необходимом для достижения целей, указанных в договоре с Клиентом.

5.4. Оператор не имеет права получать и обрабатывать персональные данные Клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни.

5.5. Оператор не должен запрашивать информацию о состоянии здоровья Клиента, за исключением тех сведений, которые относятся к вопросу организации безопасного отдыха для Клиента либо заключения от имени Клиента договоров страхования.

Статья 6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

 6.1. Защите подлежат следующие объекты персональные данные Клиентов, если только с них на законном основании не снят режим конфиденциальности:

– документы, содержащие персональные данные Клиента;

– бумажные носители, содержащие персональные данные Клиентов;

– информация, содержащая персональные данные Клиентов, размещенная на электронных носителях.

6.2. Организацию защиты персональных данных Клиентов осуществляет Оператор.

6.3. Оператор обеспечивает: ознакомление сотрудников под роспись с настоящим Положением; истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиента и соблюдении правил их обработки; ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных.

6.4. Защита информационных систем Оператора, в которых обрабатываются персональные данные Клиентов, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Приказом ФСТЭК России от 18.02.2013 N 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”

6.5. Доступ к персональным данным Клиента имеют сотрудники Оператора, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей, утверждаемого приказом генерального директора.

6.6. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией генерального директора, доступ к персональным данным Клиента может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным Клиента, и которым они необходимы в связи с исполнением трудовых обязанностей.

6.7. Процедура оформления доступа к персональным данным Клиента включает в себя: ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись; истребование с сотрудника (за исключением генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки.

6.8. Сотрудник Оператора, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей: обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц; в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов; при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов лицу, на которое приказом генерального директора Оператора будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию генерального директора.

6.9. При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию генерального директора.

6.10. Допуск к персональным данным Клиента других сотрудников Оператора, не имеющих надлежащим образом оформленного доступа, запрещается.

6.11. Документы, содержащие персональные данные Клиентов, хранятся в запирающихся помещениях в шкафах, обеспечивающих защиту от несанкционированного доступа, куда они помещаются в конце рабочего дня.

6.12. Защита доступа к электронным носителям, содержащим персональные данные Клиентов, обеспечивается, в том числе: организацией контроля доступа в помещения информационной системы посторонних лиц; использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным; разграничением прав доступа с использованием учетной записи; использованием паролей; учетом машинных носителей персональных данных; обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер; контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.

6.13.  Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Оператора, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.

,Статья 7. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

7.1. Обработка персональных данных Клиента осуществляется Оператором исключительно для достижения целей, определенных письменными договорами между Клиентом – Оператором, в частности для оказания услуг Клиенту по подбору, бронированию и предоставлению ему продукта.

7.2. Обработка персональных данных Оператором в интересах Клиента заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов.

7.3. Обработка персональных данных Клиентов ведется смешанным методом (в том числе автоматизированной) обработки.

7.4. К обработке персональных данных Клиента могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными Клиента.

7.5. Согласие на обработку персональных данных может быть отозвано Клиентом. В случае отзыва Клиентом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Клиента при наличии следующих оснований:

– обработка персональных данных необходима для осуществления и выполнения возложенных на Оператора функций, полномочий и обязанностей;

– обработка персональных данных Клиента необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем;

– обработка персональных данных Клиента необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы Клиента.

7.6. В случае отзыва Клиентом согласия на обработку его персональных данных, и, если сохранение персональных данных более не требуется для целей обработки персональных данных Оператор обязан прекратить их обработку, а также уничтожить персональные данные Клиента.

Статья 8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

 8.1. Передача персональных данных Клиента осуществляется Оператором исключительно для достижения целей, определенных письменными договорами между Клиентом – Оператором, в частности для оказания услуг Клиенту по подбору, бронированию и предоставлению ему продукта.

8.2. Передача персональных данных Клиента третьим лицам осуществляется Оператором только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Клиента и безопасности персональных данных при их обработке, а так же в иных, предусмотренных законом, случаях.

,Статья 9. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

9.1. Персональные данные Клиентов могут храниться, как на бумажных носителях, так и в электронном виде.

9.2. Персональные данные Клиентов хранятся:

– в отделе Оператора, который принимает заявки Клиентов на бронирование продукта и осуществляет работу непосредственно с Клиентами;

– в бухгалтерии Оператора;

- на сайте Оператора, при оформлении заявки на бронирование, доступ к которым ограничен третьим лицам;

- в юридическом отделе Оператора.

9.3. Персональные данные Клиентов содержатся в следующих группах документов:

– письменные заявки (Листы бронирования) Клиентов на бронирование продукта;

- электронные заявки на сайте Оператора;

– письменные договора с Клиентами на реализацию им продукта;

– приложения к письменным договорам с Клиентами на реализацию им продукта;

– письменные договора об оказании услуг;

– бухгалтерские документы, которыми оформляются сделки между Клиентом и Оператором или Оператором и Заказчиком;

– письменные претензии Клиентов по качеству предоставленных им услуг;

– письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по искам Клиентов против Оператора либо Оператора против Клиентов или Заказчика.

9.4. Персональные данные Клиентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных шкафах в закрывающихся помещениях.

9.5. Ключи от помещений хранятся у сотрудников, допущенных к работе с персональными данными клиентов.


9.6. Персональные данные Клиентов также хранятся в электронном виде: на машинных носителях, в электронных папках и файлах в ПК сотрудников отделов, перечисленных в п.9.2. настоящей статьи, и допущенных к работе с персональными данными Клиентов. На сайте Оператора, доступ к которым ограничен для третьих лиц.

9.7. После достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных Клиентов и уничтожить их персональные данные.

9.8.Оператор уничтожает персональные данные Клиента, и обеспечивает их уничтожение другими лицами, действующими по поручению Оператора, в следующие сроки:

– хранящиеся на электронных носителях в течение трех дней со дня окончания установленного законодательством претензионного срока обращения Клиента с жалобой на качество предоставленных ему услуг;

– хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех дней со дня окончания срока исковой давности по договору Клиент-Оператор;

– хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение трех дней со дня окончания срока их хранения, установленного нормами законодательства РФ.

,Статья 10. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ КЛИЕНТА

10.1. Право доступа к персональным данным Клиента у Оператора имеют:

– генеральный директор Оператора;

– работники Оператора, допущенные к обработке персональных данных Клиентов в соответствии с Перечнем сотрудников Оператора, имеющих доступ к персональным данным Клиентов;

– другие сотрудники Оператора при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения генерального директора;

– Клиент, как субъект персональных данных (согласно п.10.3).

10.2.Перечень сотрудников Оператора, имеющих доступ к персональным данным Клиентов, определяется приказом генерального директора Оператора.

10.3. Доступ Клиента (как субъекта ПДн) к своим персональным данным предоставляется при обращении либо при получении запроса Клиента. Оператор обязан в течение десяти дней с даты получения запроса сообщить Клиенту информацию о наличии персональных данных о нем, и при необходимости предоставить возможность ознакомления с ними, либо в течение этого же срока дать мотивированный отказ в предоставлении информации.

10.4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

10.5. При передаче персональных данных Клиента Оператор должен соблюдать следующие требования:

– не сообщать персональные данные Клиента третьей стороне без письменного согласия Клиента, за исключением случаев, установленных федеральным законом;

– разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.

10.6. Согласия Клиента на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Клиента, и когда третьи лица оказывают услуги Оператору на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.

,Статья 11. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТА

11.1.Оператор несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Клиента. Оператор закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.

11.2.Генеральный директор Оператора несет ответственность за соблюдение сотрудниками норм, регламентирующих получение, обработку и защиту персональных данных Клиента.

11.3. Каждый сотрудник Оператора, получающий для работы документ, содержащий персональные данные Клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

11.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

11.5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Клиентов Оператор вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.

,