Политика защиты и обработки персональных данных

1. Назначением Политики в отношении обработки и защиты персональных данных в ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ФАНСПОРТ» (далее – ПОЛИТИКА) работников (далее – Работники) и потребителей туристских услуг (далее – Клиенты) является защита прав субъектов персональных данных при их обработке и распространении.

2. Обработка и защита персональных данных в ООО «ФАНСПОРТ» (далее по тексту – КОМПАНИЯ) осуществляется в соответствии с федеральным законодательством – нормативными правовыми актами в области персональных данных, указанными на сайте Роскомнадзора https://77.rkn.gov.ru/law/p4735/, а также Уставом ООО «ФАНСПОРТ», утвержденным 01.06.2010 г.

3. Основные понятия, используемые в ПОЛИТИКЕ:

• персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4. Обработка и защита персональных данных в Компании осуществляется на основании разработанных внутренних нормативных документов, в том числе Правил обработки персональных данных в ООО «ФАНСПОРТ».

5. Степень возможного вреда субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» в Компании – НИЗКАЯ, а степень защиты прав и свобод Работников и Клиентов при обработке их персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну – ДОСТАТОЧНАЯ, в связи с тем, что в ООО «ФАНСПОРТ» НЕ осуществляются следующие действия:

• обработка сведений, которые характеризуют физические и биологические особенности человека;
• обработка персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;
• обработка персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является несовершеннолетний;
• обезличивание персональных данных, в том числе проведения оценочных (скоринговых) исследований;
• поручение иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;
• сбор персональных данных с использованием баз данных, находящихся за пределами Российской Федерации;
• распространение персональных данных на официальном сайте в информационно-телекоммуникационной сети "Интернет" Компании;
• предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки персональных данных;
• обработка персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
• продвижение своих услуг путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор персональных данных;
• обработка персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой;
• ведение общедоступных источников персональных данных, формируемых в соответствии со ст. 8 Федерального закона «О персональных данных».

ООО «ФАНСПОРТ» не осуществляет трансграничную передачу персональных данных.

В Компании в качестве ответственного за обработку персональных данных назначен штатный сотрудник организации.

В Компании запрещена обработка персональных данных в дополнительных целях, отличных от первоначальной цели сбора.

6. В Компании при ведении сайта https://paruska.ru/ при аналитике пользовательской активности применяется интернет-сервис метрических программ Яндекс.Метрика, использующий технологии «cookies». На сайтах предусмотрено всплывающее окно с уведомлением об использовании указанных технологий и запрашивается разрешение пользователя на их использование.

7. Согласно Акта классификации информационных систем обработки персональных данных и уровня их защищенности в Компании установлено, что информационные системы Компании являются информационными системами, обрабатывающими персональные данные работников Компании и данные субъектов персональных данных, не являющихся работниками Компании (Клиенты), менее чем 100000 субъектов персональных данных, для которых актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и программном обеспечении, используемом в информационных системах. Защищенность персональных данных при их обработке в информационных системах обеспечивается 4-ым уровнем защищенности.

8. Целями обработки персональных данных в Компании является выполнение задач Компании в соответствии с Уставом ООО «ФАНСПОРТ», а именно:

• обеспечение защиты прав и свобод Работников и Клиентов при обработке их персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну;
• обеспечение соблюдения трудового законодательства;
• ведение кадрового и бухгалтерского учета;
• обеспечение соблюдения налогового законодательства РФ;
• обеспечение соблюдения пенсионного законодательства РФ;
• оказание услуг или выполнение работ по договорам возмездного оказания услуг с клиентами (контрагентами);
• предоставление электронной площадки - агрегатора для бронирования гостиниц.

9. В целях обеспечения защиты прав и свобод Работников и Клиентов при обработке их персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну в Компании на основании Федерального закона от 27.07.2006 № 152-ФЗ персональные данные можно получить у субъекта лишь вместе с согласием субъекта на обработку его персональных данных или без такового, в предусмотренных законодательством РФ случаях, а при распространении персональных данных Работников в информационно-коммуникационной сети «Интернет» на официальном сайте Компании или в социальной сети «Вконтакте» – согласие на распространение персональных данных на основе приказа Роскомнадзора от 24.02.2021г. № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

Согласие на обработку персональных данных, согласие на распространение персональных данных (работников, вывших работников, соискателей, клиентов, контрагентов) предоставляются субъектами в адрес Компании в письменной форме. Согласие на обработку персональных данных пользователей электронных площадок (агрегаторов) для бронирования гостиниц (категории персональных данных: фамилия, имя, отчество, дата. месяц и год рождения) предоставляется в электронном виде посредством реализации на сайте агрегатора в информационно-телекоммуникационной сети «Интернет».

Персональными данными работников, соискателей при обработке персональных данных в целях обеспечения соблюдения трудового законодательства являются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании. Действиями с персональными данными при обработке персональных данных в целях обеспечения соблюдения трудового законодательства являются: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); использование; уничтожение.

Персональными данными работников, родственников работников, уволенных работников при обработке персональных данных в целях ведения кадрового и бухгалтерского учета являются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес места жительства; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании и квалификации; фотоизображение. Действиями с персональными данными в целях ведения кадрового и бухгалтерского учета являются: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение.

Персональными данными работников при обработке персональных данных в целях обеспечения соблюдения налогового законодательства РФ являются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность. Действиями с персональными данными в целях обеспечения соблюдения налогового законодательства РФ являются: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение.

Персональными данными работников, уволенных работников при обработке персональных данных в целях обеспечения соблюдения пенсионного законодательства РФ являются: фамилия, имя, отчество; дата рождения; место рождения; доходы; пол; адрес места жительства; СНИЛС; ИНН; гражданство; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации); доходы; профессия. Действиями с персональными данными в целях обеспечения соблюдения пенсионного законодательства РФ являются: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; уничтожение.

Персональными данными контрагентов, представителей контрагентов, клиентов, законных представителей в целях оказания услуг или выполнение работ по договорам возмездного оказания услуг с клиентами (контрагентами) являются: сбор; систематизация; накопление; хранение; уточнение (обновление, изменение); использование; уничтожение. Действиями с персональными данными в целях оказания услуг или выполнение работ по договорам с клиентами (контрагентами) являются: сбор; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; уничтожение. Способы обработки: смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет.

Персональными данными посетителей сайта (пользователей) в целях предоставления электронной площадки – агрегатора для бронирования гостиниц являются: фамилия, имя, отчество; дата рождения; сведения, собираемые посредством метрических программ. Действиями с персональными данными в целях предоставления электронной площадки – агрегатора для бронирования гостиниц являются: сбор; систематизация; уточнение (обновление, изменение); использование; уничтожение.

11. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных в Компании;
• правовые основания и цели обработки персональных данных в Компании;
• цели и применяемые Компанией способы обработки персональных данных;
• наименование и место обработки персональных данных в Компании;
• сведения о лицах (за исключением Работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией в лице генерального директора ООО «ФАНСПОРТ», действующего на основании Устава, или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• сроки обработки персональных данных, в том числе сроки их хранения;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании в лице генерального директора ООО «ФАНСПОРТ», действующего на основании Устава, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные настоящим Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

• обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
• обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
• обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
• доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
• обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Уполномоченные работники Компании обязуются прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 10 (десяти) рабочих дней с даты получения указанного отзыва, за исключением персональных данных, подлежащих хранению в Компании в целях соблюдения законодательства Российской Федерации.

12. В Компании выполняются меры, направленные на выполнение требований ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

• разработаны локальные акты, по вопросам обработки персональных данных;
• лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими Политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
• составлен перечень лиц, имеющих доступ к персональным данным в Компании. Лицами, имеющими доступ к персональным данным в Компании, подписаны и исполняются обязательства о неразглашении персональных данных;
• назначен ответственный за организацию обработки персональных данных;
• на сайте ООО «ФАНСПОРТ» https://paruska.ru/ размещена Политика в отношении обработки персональных данных в ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ФАНСПОРТ»;
• обеспечивается учет машинных носителей персональных данных;
• обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам;
• исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными;
• обеспечена сохранность носителей персональных данных и средств защиты информации.

Для обеспечения безопасности персональных данных применяются программно-технические средства, в том числе электронная цифровая подпись, антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных.

13. В соответствии с постановлением Правительства от 01.11.2012 № 1119 для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; назначено должностное лицо, ответственный за обеспечение безопасности персональных данных в информационной системе.

14. В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц, осуществляющих обработку персональных данных.

15. Срок хранения персональных данных Клиентов заканчивается с достижением целей их обработки, если иное не установлено законодательством или договором с субъектом персональных данных. При этом максимальный срок уничтожения персональных данных составляет тридцать дней с даты достижения цели, если иное не предусмотрено договором, стороной которого является субъект персональных данных.

При определении сроков хранения кадровых документов учитывается приказ Росархива от 20.12.2019 №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».

Сроки хранения бухгалтерской документации регламентируются Федеральным законом «О бухгалтерском учете» № 402-ФЗ от 06.12.2011г.

16. Уничтожение персональных данных в Компании осуществляется на основании приказа Роскомнадзора от 28.10.2022г. № 179 "Об утверждении Требований к подтверждению уничтожения персональных данных".

Для уничтожения бумажных носителей, содержащих персональные данные, используется шредер (допускается бумажных носителей посредством сжигания); персональные данные, размещенные в памяти персональных компьютеров, уничтожаются путем удаления их из памяти персональных компьютеров; персональные данные, размещенные на флеш-карте, CD-диске, ином носителе информации, уничтожаются путем удаления файла с носителя, при необходимости путем нарушения работоспособности флеш-карты или CD-диска. Факт уничтожения персональных данных на бумажных носителях подтверждается посредством составления актов уничтожения носителей персональных данных на бумажных носителях. Факт уничтожения персональных данных на электронных носителях подтверждается посредством составления актов уничтожения носителей персональных данных на электронных носителях и выгрузкой из журнала регистрации событий в информационной системе персональных данных.

17. При передаче персональных данных Работников третьим лицам в Компании, согласно общим правилам, осуществляется оформление согласия субъекта персональных данных при передаче персональных данных третьим лицам, за исключением следующих случаев:

• передачи персональных данных Работников в Фонд пенсионного и социального страхования Российской Федерации;
• когда это необходимо в целях предупреждения угрозы жизни и здоровью Работника;
• при командировании Работника и в других случаях, связанных с выполнением им должностных обязанностей;
• при получении мотивированных запросов органов прокуратуры, безопасности, внутренних дел, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации;
• при передаче персональных данных Работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, в том случае, когда договор на выпуск банковской карты заключался напрямую с работником, в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
• при обработке персональных данных уволенных работников.

При привлечении сторонних организаций Компанией для ведения кадрового и бухгалтерского учета соблюдаются требования, установленные частью 3 статьи 6 Федерального закона о персональных данных, в том числе, на получение согласия Работников на передачу их персональных данных третьим лицам.

Согласие на передачу персональных данных Клиентов третьим лицам (Контрагентам) в Компании не оформляется в том случае, когда обработка не выходит за пределы целей договора оказания услуг.