1.1. Настоящая Политика ООО «Лига-Тур» (далее – Оператор, Организация) в отношении обработки персональных данных определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Организации.
1.2. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с ст. 7, п. 2 статьи 18.1 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г., ст. 86 Трудового кодекса Российской Федерации, ст. 152.2. Гражданского кодекса Российской Федерации, а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Организация может получить от субъекта персональных данных, потребителя или иного заказчика, являющегося стороной договорных отношений по договору о реализации туристского продукта и (или) туристских услуг, контрагентов Организации, заключивших с Организацией гражданско-правовой договор, пользователей сайта https://elgastour.ru/ (далее – «сайт»), содержащего сведения об услугах Оператора, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).
1.3. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г.
1.4. Оператор ООО «Лига-Тур» (ИНН/ОГРН 0500001570/1230500018100 находится по адресу: 368340, Республика Дагестан, Гунибский район , с.Гуниб, ул. Имама Шамиля, 125
1.5. Настоящая Политика и изменения к ней утверждаются директором ООО «Лига-Тур» и вводятся приказом. Все сотрудники ООО «Лига-Тур» должны быть ознакомлены под подпись с данной Политикой и изменениями к ней. Настоящая Политика является обязательной для исполнения всеми сотрудниками ООО «Лига -Тур», имеющими доступ к персональным данным.
1.6. ООО «Лига-Тур» с целью обеспечения неограниченного доступа к настоящему документу, определяющему политику ООО «Лига-Тур» в отношении обработки персональных данных и в сфере реализуемых мер по защите персональных данных, размещает текст настоящей Политики на официальном сайте ООО «Лига-Тур» https://elgastour.ru/ (далее – «Сайт»).
1.7. Сайт может содержать гиперссылки на другие веб-сайты, предоставленные третьими лицами. Оператор не контролирует и не несет ответственности за сайты третьих лиц, на которые пользователь может перейти по ссылкам, доступным на сайте. После того как пользователь покинул сайты, Оператор не несет ответственности за защиту и конфиденциальность любой информации, которую предоставляет пользователь как субъект персональных данных и персональной информации. Субъект персональных данных должен проявлять осторожность и знакомиться с соответствующей политикой конфиденциальности веб-сайта, который он посещает.
1.8. ООО «Лига Тур» оставляет за собой право вносить необходимые изменения в Политику при изменении действующего законодательства РФ и условий своей деятельности.
2.1. В настоящей Политике используются следующие основные понятия:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такой информацией, в частности, являются фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.
Конфиденциальная персональная информация – информация, которая может обрабатываться при посещении Сайта, которая автоматически передается сервисам Сайта в процессе их использования с помощью установленного на устройстве субъекта персональных данных программного обеспечения с использованием файлов cookie (метрических программ).
Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Общедоступные персональные данные – персональные данные, размещённые субъектом персональных данных в общедоступных источниках персональных данных (в том числе справочниках, адресных книгах), доступ к которым предоставлен неограниченному кругу лиц, либо персональные данные, размещённые в общедоступных источниках персональных данных на основании письменного согласия субъекта персональных данных.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Cookies — фрагмент данных, которые Сайт запрашивает у браузера, используемого на персональном компьютере или мобильном устройстве Пользователя, которые отражают предпочтения Пользователя и его действия на Сайте, а также сведения об используемом Пользователем оборудовании, дате и времени посещения Сайта.
2.2. Обработка персональных данных в Организации выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных, персональные данные которых обрабатываются в Организации.
2.3. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
2.4. Категории субъектов персональных данных, которые обрабатываются Оператором:
2.4.1. Работники – физические лица, кандидаты на работу, работники, члены их семей, бывшие работники, а также иные лица, персональные данные которых Организация обязана обрабатывать в соответствии с трудовым законодательством;
2.4.2. Клиенты – физические лица, заказчики туристских продуктов и (или) отдельных туристских услуг или иные физические лица, имеющие намерение заказать или приобрести либо заказывающие, приобретающие туристские услуги от имени потребителя (туриста), в том числе законные представители несовершеннолетнего потребителя (туриста);
2.4.3. Клиенты – физические лица, туристы, использующие туристские продукты и услуги исключительно для личных и иных нужд, не связанных с осуществлением предпринимательской деятельности;
2.4.4. Контрагенты – физические лица (субъекты персональных данных), заключающие или намеревающиеся заключить гражданско-правовой договор с Оператором;
2.4.5. Пользователи – физические лица, пользователи Сайта Организации в информационнотелекоммуникационной сети «Интернет» - физические лица, желающие получить информацию в отношении оказываемых Организацией услуг или заключить договор о реализации туристского продукта и (или) туристских услуг.
3.1. Персональные данные субъектов персональных данных, указанных в подпункте 2.4.1. пункта 2 настоящей Политики, обрабатываются в целях:
3.1.1. Персональные данные работников, обрабатываемые Организацией в целях, указанных в п. 3.1.:
3.1.2. Документами Организации, которые содержат персональные данные работников, являются:
3.2. Персональные данные субъектов персональных данных, указанных в подпункте 2.4.2. пункта 2 настоящей Политики, обрабатываются в целях:
3.2.1. Персональные данные клиентов, обрабатываемые Организацией в целях, указанных в п. 3.2.:
3.2.2. Документами Организации, которые содержат персональные данные клиентов, указанных в подпункте 2.4.2. пункта 2 настоящей Политики, являются:
3.3. Персональные данные субъектов персональных данных, указанных в подпункте 2.4.3. пункта 2 настоящей Политики, обрабатываются в целях:
3.3.1. Персональные данные клиентов, обрабатываемые Организацией в целях, указанных в п. 3.3.:
Дополнительная информация, запрашиваемая консульскими службами посольства страны планируемого посещения при необходимости получения в интересах клиента визы в посольстве страны планируемого пребывания (п.п.5. п.1.; п.4. ст.6. Федерального закона «О персональных данных»), либо страховыми компаниями в интересах заключения договора, выгодоприобретателем по которому является клиент, которая может включать:
3.3.2. Документами Организации, которые содержат персональные данные клиентов, указанных в подпункте 2.4.3. пункта 2 настоящей Политики, являются:
3.4. Персональные данные субъектов персональных данных, указанных в подпункте 2.4.4. пункта 2 настоящей Политики, обрабатываются в целях:
3.4.1. Персональные данные контрагентов, обрабатываемые Организацией в целях, указанных в п. 3.4.:
3.4.2. Документами Организации, которые содержат персональные данные контрагентов, указанных в подпункте 2.4.4. пункта 2 настоящей Политики, являются:
3.5. Персональные данные субъектов персональных данных, указанных в подпунктах 2.4.2., 2.4.3., 2.4.4. пункта 2 настоящей Политики, обрабатываются в целях:
3.5.1. Персональные данные клиентов и контрагентов, обрабатываемые Организацией в целях, указанных в п. 3.5.:
3.5.2. Документами Организации, которые содержат персональные данные клиентов и контрагентов, используемые для целей, установленных пунктом 3.5. настоящей Политики, являются:
3.6. Персональные данные субъектов персональных данных, указанных в подпунктах 2.4.2., 2.4.3., 2.4.4. пункта 2 настоящей Политики, обрабатываются в целях:
3.6.1. Персональные данные клиентов и контрагентов, обрабатываемые Организацией в целях, указанных в п. 3.6.:
3.6.2. Документами Организации, которые содержат персональные данные клиентов и контрагентов, используемые для целей, установленных пунктом 3.6. настоящей Политики, являются:
3.7. Персональные данные субъектов персональных данных, указанных в подпунктах 2.4.2., 2.4.3. пункта 2 настоящей Политики, обрабатываются в целях:
3.7.1. Персональные данные клиентов, обрабатываемые Организацией в целях, указанных в п. 3.7.:
3.7.2. Документами Организации, которые содержат персональные данные клиентов, используемые для целей, установленных пунктом 3.7. настоящей Политики, являются:
3.8. Конфиденциальная персональная информация субъектов персональных данных, указанных в подпункте 2.4.5. пункта 2 настоящей Политики, обрабатывается в целях:
3.8.1. Конфиденциальная персональная информация пользователей, обрабатываемая Организацией в целях, указанных в п. 3.8.:
3.8.2. Конфиденциальная персональная информация пользователей, используемая для целей, установленных пунктом 3.8. настоящей Политики, содержится в текстовых файлах (Cookies), которые сайт сохраняет на компьютере пользователя с помощью браузера, в том числе:
сессионные — временные Cookies, которые хранятся в течение времени нахождения Пользователя на Сайте, и удаляются после его выхода с Сайта. Сессионные Cookies позволяют Сайту помнить информацию о выборе Пользователя на предыдущем сайте, чтобы избежать необходимости повторного ввода информации.
постоянные — Сookies, которые хранятся на персональном компьютере Пользователя и не удаляются при закрытии браузера. Постоянные Сookies могут сохранять пользовательские настройки для определенного веб-сайта, позволяя использовать эти предпочтения в будущих сеансах просмотра. Такие Сookies идентифицируют Пользователя Сайта как уникального и при возвращении на Сайт помогают вспомнить информацию о Пользователе и его ранее совершенных действиях.
статистические — включают в себя информацию об использовании Сайта. Их главная цель — улучшение функций Сайта.
обязательные — Сookies, которые необходимы для корректной работы Сайта.
4.1. Получение персональных данных.
4.1.1. Получение персональных данных, за исключением общедоступных персональных данных, осуществляется Оператором непосредственно у субъектов персональных данных, либо лиц, имеющих надлежащим образом оформленные полномочия представлять интересы субъектов персональных данных при передаче персональных данных Оператору.
4.1.2. Если персональные данные субъекта можно получить только у третьей стороны, то субъект уведомляется об этом заранее и от него должно быть получено письменное согласие. Организация сообщает субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
4.1.3. Организация не имеет права получать и обрабатывать сведения о субъекте персональных данных, относящиеся в соответствии с законодательством РФ в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом и другими федеральными законами.
4.1.4. При получении персональных данных Оператор обязан сообщить субъекту персональных данных:
4.1.5. Конфиденциальная персональная информация собирается автоматически с помощью метрических программ в связи с активностью пользователя на Сайте. При посещении сайта фиксируются все входы в аккаунт. Другие сведения по трафику пользователя не обрабатываются и не сохраняются.
На некоторых страницах Сайта установлены коды сервиса Yandex Метрика. Этот сервис может получать и обрабатывать информацию исключительно о том, что пользователь посетил страницу, и другую информацию, которая передается браузером пользователя. Использование указанного сервиса необходимо Оператору для оперативного анализа посещений сайта, внутренней и внешней оценки посещаемости сайта, глубины просмотров, активности пользователей. Данные, полученные от указанного сервиса, не хранятся и не обрабатываются.
4.2. Обработка персональных данных
4.2.1. Обработка персональных данных осуществляется Оператором с соблюдением принципов и правил, предусмотренных 152-ФЗ «О персональных данных» от 27 июля 2006 г., в следующих случаях:
4.2.2. Обработке подлежат только те персональные данные, которые отвечают указанным в настоящей Политике целям обработки. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.
4.2.3. Если для достижения указанных в пункте 3 настоящей Политики целей Оператору необходимы биометрические персональные данные либо данные, касающиеся состояния здоровья, то такая обработка осуществляется только на основании письменного согласия субъекта персональных данных в соответствии с законодательством. Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых она осуществлялась.
4.2.4. Оператор также имеет право попросить субъекта персональных данных предоставить дополнительное согласие в случае необходимости использования персональных данных и персональной информации для целей, не указанных в настоящей Политике.
4.3. Письменное согласие субъекта персональных данных на обработку персональных данных должно включать в себя, в частности, сведения, указанные в ст.9 Федерального закона от 27.07.2006 № 152-ФЗ.
4.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ.
4.5. Если пользователь в силу каких-либо причин не желает, чтобы установленные на Сайте сервисы получали доступ к его персональной информации, пользователь может по собственному желанию «разлогиниться» (выйти из своего аккаунта), очистить «сookies» (через свой браузер).
5.1. До начала обработки персональных данных Организация обязана уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
5.2. Правовым основанием обработки персональных данных являются:
5.2.1. Для обработки персональных данных работников (п.2.4.1. Политики) - Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Закон РФ от 19.04.1991 № 1032-1 «О занятости населения в Российской Федерации», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете», согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора);
5.2.2. Для обработки персональных данных клиентов (п.2.4.2., п.2.4.3. Политики) - договоры о реализации туристского продукта и (или) отдельных туристских услуг, заключаемые между Оператором (его представителем) и клиентом (его представителем), п.19 Постановления Правительства РФ от 18.11.2020 № 1852 «Об утверждении Правил оказания услуг по реализации туристского продукта», ч.4 ст.16 Федерального закона от 7 февраля 1992 г. № 2300-1 «О защите прав потребителей», Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора);
5.2.3. Для обработки персональных данных контрагентов (п.2.4.4. Политики) - уставные документы оператора, гражданско-правовые договоры, заключаемые между оператором и субъектом персональных данных, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Гражданский кодекс, согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора);
5.2.4. Для обработки персональных данных пользователей Сайта (п.2.4.5. Политики) – законные интересы Организации, направленные на техническое обеспечение работы интернет-ресурса (Сайта) и предоставление пользователю необходимого уровня сервиса (например, навигации на сайте и подобного), пользовательское соглашение, согласие пользователя на использование файлов cookie, обработки информации с помощью метрических программ, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
5.3. Обработка персональных данных в Организации выполняется следующими способами:
5.4. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Организации осуществляются посредством:
5.5. В Организации используются следующие информационные системы:
5.6. Работникам и представителям Оператора, имеющим право осуществлять обработку персональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе, в соответствии с функциями, предусмотренными должностными регламентами.
5.7. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.
5.8. Доступ работников Оператора к персональным данным, находящимся в информационных системах персональных данных Оператора, предусматривает — обязательное прохождение — процедуры идентификации и аутентификации.
5.9. Обмен персональными данными при их обработке в информационных системах персональных данных Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и применения программных и технических средств в соответствии со статьей 19 Федерального закона «О персональных данных».
5.10. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Оператора уполномоченными ответственными работниками принимаются меры по установлению причин нарушений и их устранению с момента обнаружения таких нарушений.
5.11. Работники и их представители должны быть ознакомлены под расписку с документами Оператора, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
6.1. При передаче Организацией персональных данных субъект персональных данных должен дать на это согласие в письменной или электронной форме. Если сотрудник оформил согласие на передачу персональных данных в электронной форме, то он подписывает согласие усиленной электронной цифровой подписью.
6.2. Организация вправе передать информацию, которая относится к персональным данным работника, клиента, контрагента без его согласия, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством.
6.3. Организация не вправе предоставлять персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством.
6.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным субъекта персональных данных, Организация обязана отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации.
6.5. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.
6.6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
6.7. Организация обязана обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.
6.8. В случае если из предоставленного субъектом персональных данных согласия на распространение персональных данных не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются Организацией без права распространения.
6.9. В случае если из предоставленного субъектом персональных данных согласия на передачу персональных данных не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, Организация обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
6.10. Согласие субъекта персональных данных на распространение персональных данных может быть предоставлено Оператору:
6.11. В согласии на распространение персональных данных субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Организацией неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Организации в установлении субъектом персональных данных запретов и условий не допускается.
6.12. Организация обязана в срок не позднее трех рабочих дней с момента получения согласия субъекта персональных данных на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных субъекта для распространения.
6.13. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.
6.14. Действие согласия субъекта персональных данных на распространение персональных данных прекращается с момента поступления Организации требования, указанного в пункте 6.13. настоящей Политики.
6.15. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд.
6.16. Организация или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования работника или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то Организация или третье лицо обязаны прекратить передачу персональных данных работника в течение трех рабочих дней с момента вступления решения суда в законную силу.
6.17. Доступ к персональным данным субъектов персональных данных разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
7.1. Организация обеспечивает защиту персональных данных субъектов персональных данных от неправомерного использования или утраты.
7.2. Документы, содержащие данные субъектов персональных данных, хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам, в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа.
7.3. Персональные данные могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных.
7.4. Копировать и делать выписки из персональных данных разрешается исключительно в служебных целях с письменного разрешения Генерального директора Организации или его заместителя.
7.5. Обработка персональных данных в Организации прекращается в следующих случаях:
7.6. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
7.7. Персональные данные на бумажных носителях хранятся в Организации в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).
7.8. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
8.1. Организация блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
8.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
8.3. Персональные данные, полученные в результате обезличивания, могут обрабатываться с использованием и без использования средств автоматизации и не подлежат разглашению.
8.4. Персональные данные, полученные в результате обезличивания, не подлежат предоставлению третьим лицам, осуществляющим обработку персональных данных с использованием дополнительной информации, позволяющей прямо или косвенно определить конкретное физическое лицо.
8.5. При обработке персональных данных, полученных в результате обезличивания, без использования средств автоматизации обеспечивается сохранность содержащих их материальных носителей и порядок доступа Работников Организации в помещения, в которых они хранятся, в целях исключения несанкционированного доступа к обезличенным персональным данным, возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий.
8.6. При обработке персональных данных, полученных в результате обезличивания, в информационных системах персональных данных обеспечивается соблюдение парольной защиты информационных систем персональных данных, антивирусной политики, правил работы со съемными носителями (в случае их использования), правил резервного копирования, правил доступа в помещения, где расположены элементы информационных систем персональных данных.
8.7. При хранении персональных данных, полученных в результате обезличивания, обеспечивается раздельное хранение персональных данных, полученных в результате обезличивания, и информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных.
8.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом Генерального директора.
8.9. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
8.10. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.11. Комиссия подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179, а именно:
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом генерального директора.
8.12. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
9.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.
9.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование систем защиты персональных данных.
9.3. Подсистема организационной защиты включает в себя организацию структуры управления систем защиты персональных данных, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
9.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
9.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:
10.1. Основные права субъекта персональных данных.
10.1.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
Указанные сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Указанные сведения предоставляются субъекту персональных данных или его представителю уполномоченным лицом Оператора, осуществляющим обработку соответствующих персональных данных, в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на пять рабочих дней, в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения) либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
10.1.2. Субъекты персональных данных вправе требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.1.3. Обязанности Оператора.
Оператор обязан:
11.1. Срок действия согласия субъекта персональных данных является неограниченным, однако, субъект персональных данных вправе в любой момент отозвать согласие на обработку Оператором персональных данных в случаях, установленных законодательством, путём направления письменного уведомления по адресу местонахождения Оператора или на электронный адрес:
11.2. Отзыв согласия на обработку персональных данных влечёт за собой удаление учётной записи пользователя с Сайта, а также уничтожение записей, содержащих персональные данные, на бумажных носителях и в информационных системах обработки персональных данных Оператора и третьих лиц в срок, не превышающий 10 рабочих дней с момента получения.
11.3. Пользователь может самостоятельно, при желании, удалять сохраненные Cookies в настройках своего браузера.
Пользователь вправе отказаться от обработки Сookies в настройке своего браузера. В таком случае Оператор не гарантирует надлежащего функционирования Сайта и предлагаемых им сервисов.