1. Общие положения
Настоящая Политика разработана и применяется в ООО «Скантур» на основании статей 23, 24 Конституции Российской Федерации, Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 01 ноября 2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», и иными нормативными и ненормативными правовыми актами, регулирующими вопросы обработки персональных данных.
Настоящая Политика определяет действия Оператора в отношении обработки персональных данных физических лиц, передавших свои персональные данные для обработки, порядок и условия осуществления обработки персональных данных, обеспечение безопасности персональных данных с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий нарушений, связанных с обработкой персональных данных.
Политика разработана с целью обеспечения защиты прав и свобод Субъектов персональных данных при обработке их персональных данных, а также с целью установления ответственности лиц Общества, имеющих доступ к персональным данным Субъектов персональных данных, за невыполнение требований и норм, регулирующих обработку персональных данных.
Действие настоящей Политики не распространяется на отношения, возникающие при обработке персональных данных сотрудников Оператора, соискателей вакантных должностей Общества поскольку такие отношения урегулированы отдельным локальным актом; на отношения, на которые действие Федерального закона «О персональных данных» не распространяется (п.2 ст.1 ФЗ).
Настоящая Политика применяется, в частности, но, не ограничиваясь, при навигации на сайте https://scantour.ru/ без совершения заказа на оказание услуг, а также при пользовании сервисами, предложенными на https://scantour.ru/, в том числе без выполнения регистрации на https://scantour.ru/; при выполнении регистрации на https://scantour.ru/; при оформлении заявки на https://scantour.ru/, при ином использовании Сайта.
1.1. Понятия, используемые в настоящей политике
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных), являющаяся конфиденциальной информацией ограниченного доступа, не составляющей государственную тайну;
Субъект персональных данных — физическое лицо, носитель персональных дынных, чьи персональные данные переданы Обществу для обработки;
Оператор персональных данных — ООО «Скантур» (ИНН 7842042935, ОГРН 1157847207924), государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных — действия, в результате которых, становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных:
Использование персональных данных — действия с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъекта персональных данных или других лиц либо иными образом затрагивающих права и свободы Субъекта персональных данных или других лиц;
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия Субъекта персональных данных или наличия законного основания;
Сайт — совокупность информации, текстов, графических элементов, дизайна, изображений, фото и видеоматериалов, иных результатов интеллектуальной деятельности, а также программных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ и сети Интернет. Сайт находится в сети Интернет по адресу: https://scantour.ru/;
Пользователь — физическое лицо, действующее в своих интересах или в интересах других лиц, акцептовавшее договор/соглашение, размещенное на Сайте, имеющее доступ к Сайту и использующее его, независимо от факта регистрации на Сайте.
1.2. Сокращения, используемые в настоящей политике
ИС – информационная система
Общество – ООО «Скантур»
Политика–настоящая Политика в отношении обработки персональных данных и их защите в ООО «Скантур»
ПДН – персональные данные
РФ- Российская Федерация
Субъект – Субъект персональных данных
ФЗ — Федеральный закон от 27.07.2006 №153-ФЗ «О персональных данных»
1.3. Принципы обработки ПДН
Осуществление обработки ПДН на законной и справедливой основе;
Ограничения обработки ПДН достижением конкретных, заранее определенных и законных целей. Недопустимости обработки ПДН, несовместимой с целями сбора ПДН.
Недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДН;
Соответствия содержания и объема ПДН целям их обработки;
Недопустимости обработки ПДН избыточных по отношению к заявленным целям их обработки;
Обеспечения точности, достаточности, а в необходимых случаях и актуальности ПДН по отношению к целям обработки;
Принятия необходимых мер или обеспечения принятия мер по удалению или уточнению неполных, или неточных ПДН;
Хранения ПДН в форме, позволяющей определить Субъекта ПДН, не дольше, чем этого требуют цели обработки ПДН;
Уничтожения ПДН по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.4. Условия обработки ПДН
— Обработка ПДН осуществляется с согласия Субъекта на обработку его ПДН;
— Обработка ПДН необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей;
— Обработка ПДН необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является Субъект ПДН, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе Субъекта ПДН или договора, по которому Субъект ПДН будет являться выгодоприобретателем или поручителем;
— Обработка ПДН необходима для использования Сайта Пользователем;
— Обработка ПДН необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
— Обработка ПДН необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта ПДН, если получение согласия Субъекта ПДН невозможно;
— Обработка ПДН необходима для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта ПДН.
— Осуществляется обработка ПДН, доступ неограниченного круга лиц, к которым предоставлен Субъектом ПДН либо по его просьбе (далее — ПДН, сделанные общедоступными Субъектом);
— Осуществляется обработка ПДН, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
— Оператор не осуществляет действий, направленных на раскрытие ПДН неопределенному кругу лиц, т.е не осуществляет распространение ПДН без согласия пользователя.
— Обработка ПДН осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст.15 ФЗ, при условии обязательного обезличивания ПДН.
— Оператор вправе поручить обработку ПДН другому лицу с согласия Субъекта ПДН. Передача необходима в рамках использования Сайта, либо для оказания услуг Субъекту ПДН, при этом обеспечивается конфиденциальность ПДН. Лица, осуществляющие обработку ПДН по поручению Общества, обязуются соблюдать принципы и правила обработки ПДН, предусмотренные Федеральным законом №152-ФЗ «О персональных данных». Для каждого лица определены перечень действий (операций) с ПДН, которые будут совершаться организацией, осуществляющей обработку ПДН, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДН при их обработке, а также указаны требования к защите обрабатываемых ПДН.
2. Цели обработки ПДН
Общество руководствуется конкретными, заранее определенными целями обработки ПДН, в соответствии с которыми ПДН были предоставлены Субъектом, в частности:
— Обеспечение защиты прав и свобод Субъекта при обработке его ПДН;
— Ведение бухгалтерского учета и отчетности;
— Ведение уставной деятельности Общества в части заключения, учета и исполнения договоров с контрагентами (Заказчики, Подрядчики, Исполнители и т.п.);
— Поиск сотрудников на вакантные должности;
— Прием практикантов;
— Трудоустройство;
— Увольнение (Сотрудники, с которыми трудовые отношения прекращены);
— Обеспечение Пользователю возможности взаимодействовать с Сайтом, в частности направление уведомлений, запросов и информации, связанных с оказанием услуг, а также обработка запросов и заявок от Пользователя, предоставление доступа к персонализированным ресурсам Сайта, предоставления Пользователю специальных предложений, любых информационных сообщений, включая рекламу и иных сведений от имени Сайта или от имени партнеров Сайта, предоставления доступа Пользователю на сайты или сервисы партнеров Сайта;
— Проведение опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности Потребителя услугами Общества, улучшение качества услуг;
— Проведение статистических и иных исследований на основе обезличенных данных;
— Оказания туристских услуг потребителю в рамках договора реализации туристских услуг.
3. Правовое основание обработки ПДН
• Гражданский кодекс РФ (гл.39 ГК РФ);
• Налоговый кодекс РФ;
• Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Устав Общества;
• Договор возмездного оказания услуг, заключенный между Обществом и Субъектом ПДН (Оферта);
• Согласие Субъекта на обработку ПДН.
4. Категории субъектов ПДН и перечень ПДН
Физическое лицо — Пользователь сайта
• Имя Фамилия Отчество;
• Адрес электронной почты;
• Адрес (город, улица, номер дома, номер квартиры);
• Номер телефона;
• Сведения об используемом браузере;
• Местоположение;
• IP-адрес;
• Запрашиваемые Интернет-страницы;
• Источник захода на Сайт https://scantour.ru/.
Физическое лицо, с которым заключен договор гражданско-правового характера
• Фамилия, Имя, Отчество;
• Адрес (страна, город, улица, номер дома, номер квартиры);
• Данные расчетного счета;
• СНИЛС;
• ИНН;
• Данные документа, удостоверяющего личность.
Физическое лицо – Клиент, чьи ПДН стали известны Оператору в связи с заключением и исполнением договора оказания услуг
• Фамилия, Имя, Отчество;
• Данные документа, удостоверяющего личность;
• Гражданство;
• Адрес (страна, город, улица, номер дома, номер квартиры);
• Адрес электронной почты;
• Номер телефона (домашний, мобильный);
• Данные расчетного счета.
Физическое лицо, чьи ПДН поступили Оператору от Заказчика/Турагента туристских услуг в рамках договора оказания туристских услуг, либо агентского договора, при этом указанные ПДН не являются объектом действий Оператора и получение согласия на их обработку является обязанностью соответствующего Заказчика/Турагента, о чем прописано с ним в договоре
• Фамилия, Имя, Отчество;
• Данные документа, удостоверяющего личность;
• Гражданство;
• Адрес (страна, город, улица, номер дома, номер квартиры);
• Адрес электронной почты;
• Номер телефона (домашний, мобильный);
• Данные расчетного счета.
Физическое лицо, чьи ПДН поступили от контрагента в рамках договора гражданско-правового характера, при этом указанные ПДН не являются объектом действий Оператора и получение согласия на их обработку является обязанностью соответствующего подрядчика/исполнителя
• Фамилия, Имя, Отчество;
• Данные документа, удостоверяющего личность (при предоставлении доверенности);
• Адрес электронной почты.
5. Основные права и обязанности субъекта ПДН и общества в области защиты ПДН
5.1. Субъект имеет право:
5.1.1. На получение информации, касающейся обработки его ПДН, в частности:
— подтверждение факта обработки ПДН Обществом;
— правовые основания и цели обработки ПДН;
— применяемые Обществом способы обработки ПДН;
— наименование и местонахождение Общества, сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к ПДН или которым могут быть раскрыты ПДН на основании договора с Обществом или на основании федерального закона;
— обрабатываемые ПДН, относящиеся к соответствующему Субъекту ПДН, источник их получения, если иной порядок предоставления не предусмотрен федеральным законом;
— срок обработки ПДН и срок их хранения;
— порядок осуществления Субъектом ПДН своих прав;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДН по — поручению Общества, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные федеральным законом.
5.1.2. Требовать от Общества уточнения его ПДН, их блокирования или уничтожения в случае, если ПДН являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.1.3. Требовать от Общества извещения всех лиц, которым ранее были сообщены неверные или неполные ПДН, обо всех произведенных в них исключениях, исправлениях и дополнениях;
5.1.4. Отозвать свое согласие на обработку ПДН;
5.1.5. На свободный безвозмездный доступ к своим ПДН посредством личного обращения либо направления запроса в свободной форме на адрес электронной почты: info@scantour.ru. При этом сведения о ПДН предоставляются в доступной форме, исключая ПДН, относящиеся к другим Субъектам ПДН по месту расположения Общества в рабочее время в течение тридцати дней с момента получения запроса;
5.1.6. Обжаловать действия или бездействие Общества в уполномоченный орган по защите прав Субъектов ПДН или в судебном порядке.
5.1.7. Иные права, предусмотренные действующим законодательством.
5.2. Субъект ПДН обязан:
5.2.1. Передавать Обществу достоверные ПДН. Общество вправе проверять достоверность предоставленных ПДН в порядке, не противоречащем законодательству РФ, однако Общество исходит из того, что Субъект ПДН предоставляет достоверные и достаточные ПДН для осуществления целей обработки ПДН, и поддерживает эту информацию в актуальном состоянии.
5.2.2. Своевременно сообщать Обществу об изменении своих ПДН.
5.3. Субъект ПДН принимает решение о предоставлении его ПДН и дает согласие на их обработку свободно, своей волей и в своем интересе.
5.4. Обязанности Оператора:
5.4.1. Обеспечивать конфиденциальность ПДН. Оператор и иные лица, получившие доступ к ПДН, обязаны не раскрывать третьим лицам и не распространять ПДН без согласия Субъекта ПДН, если иное не предусмотрено законом;
5.4.2. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДН, сведениям о реализуемых требованиях к защите ПД;
5.4.3. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДН от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДН, а также от иных неправомерных действий в отношении ПДН;
5.4.4. Предоставлять ответы на запросы и обращения Субъектов ПДН, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
5.4.5. Иные обязанности Оператора, предусмотренные законодательством.
6. Порядок обработки ПДН
6.1. Оператор осуществляет обработку ПДН Субъектов посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие:
• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (предоставление);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.
6.2. Оператор получает ПДН:
6.2.1. Путем личной передачи Субъектом ПДН при внесении данных на Сайте;
6.2.2. Путем личной передачи Субъектом в рамках гражданско-правовых отношений;
6.2.3. От третьих лиц (Клиентов, контрагентов);
6.2.4. Из общедоступных источников.
6.3. Оператор получает и начинает обработку ПДН Субъекта с момента получения его согласия.
Согласие на обработку ПДН может быть дано Субъектом ПДН в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом ПДН конклюдентных действий.
В частности, согласие на обработку ПДН считается предоставленным Субъектом посредством совершения Субъектом ПДН следующих конклюдентных действий:
путем проставления специального знака — «галочки» или «веб-метки» в специальном поле на Сайте при Заказе обратного звонка, при обращении в форме Обратной связи, Контроль качества, при регистрации в Личном кабинете и нажатия соответствующей кнопки расценивается однозначно, как предоставление согласия на обработку ПДН в объеме, для целей и в порядке, предусмотренных в предлагаемом перед проставлением специального знака, для ознакомления тексте. Согласие считается полученным с момента проставления специального знака и действует до момента направления Субъектом ПДН соответствующего заявления о прекращении обработки ПДН по месту нахождения Оператора или по электронному адресу: info@scantour.ru
В случае отсутствия согласия Субъекта на обработку его ПДН, такая обработка не осуществляется.
6.4. Получение Оператором ПДН от иных лиц, а равно передача поручения по обработке ПДН осуществляется на основании договора, содержащего условия о порядке обработки и сохранения конфиденциальности полученных ПДН.
6.5. При обработке ПДН Исполнительный орган Общества вправе утверждать способы обработки, документирования, хранения и защиты ПДН на базе современных информационных технологий.
6.6. Оператор до начала обработки ПДН назначает ответственного за организацию обработки ПДН в должности не ниже начальника структурного подразделения, именуемого далее «Куратор ОПД», который получает указания непосредственно от исполнительного органа Оператора и подотчетен ему.
6.7. Перечень лиц, допущенных к обработке ПДН, определяется распоряжением Исполнительного органа и внутренними локальным нормативными актами Общества. Указанные лица должны быть ознакомлены до начала работы:
— с положениями законодательства Российской Федерации о ПДН, в том числе с требованиями к порядку защиты ПДН;
— с документами, определяющими действия Оператора в отношении обработки ПДН, в том числе с настоящей Политикой, приложениями и изменениями к ней;
— с локальными актами по вопросам обработки ПДН.
Сотрудники Оператора имеют право получать только те ПДН, которые необходимы им для выполнения конкретных должностных обязанностей. Сотрудники Оператора, осуществляющие обработку ПДН, должны быть проинформированы о факте такой обработки, об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и внутренними документами Оператора. Сотруднику Общества, имеющему право осуществлять обработку ПДН, предоставляются уникальный логин и пароль для доступа к соответствующей ИС в установленном порядке. Каждый сотрудник при трудоустройстве получает логин и пароль для работы в соответствующей ИС. Сведения о присвоенных Сотруднику идентификаторах (логин и пароль) относятся к конфиденциальным и не подлежат передаче Сотрудником третьим лицам. Сотрудник обеспечивает соблюдение требований о конфиденциальности и несет риск последствий, связанных с нарушением таких требований. Процедура аутентификации осуществляется техническим центром работодателя при осуществлении доступа сотрудника в ИС путем сопоставления введенных логина и пароля соответствующим присвоенным сотруднику логину и паролю, информация о которых содержится в ИС. В случае успешного прохождения процедуры аутентификации Сотрудник получает возможность осуществления операций в ИС.
6.8. Оценка вреда, который может быть причинен Субъектам в случае нарушения Оператором требований ФЗ, определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса РФ.
6.9. В случае если Оператор поручает обработку ПДН третьим лицам, не являющимся его сотрудниками, на основании заключенных договоров (либо иных оснований), в силу которых они должны иметь доступ к ПДН пользователей Сайта, соответствующие данные предоставляются Оператором только после подписания с лицами, осуществляющими обработку ПДН по поручению Оператора, соответствующего соглашения, в котором должны быть определены перечень действий (операций) с ПДН, которые будут совершаться лицом, осуществляющим их обработку, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДН и обеспечивать безопасность ПДН при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДН в соответствии со ст. 19 ФЗ «О персональных данных».
6.10. ПДН не могут быть использованы в целях причинения имущественного и морального вреда Субъектам, затруднения реализации прав и свобод граждан РФ.
6.11. В целях собственного информационного обеспечения у Общества могут создаваться общедоступные источники ПДН Субъектов, в том числе справочники и адресные книги. В общедоступные источники ПДН с письменного согласия Субъекта могут включаться его фамилия, имя, отчество, номера контактных телефонов, адрес электронной почты и иные ПДН, сообщаемые Субъектом. Сведения о Субъекте должны быть в любое время исключены из общедоступных источников ПДН по требованию Субъекта либо по решению суда или иных уполномоченных государственных органов.
6.12. Обработка и хранение ПДН осуществляются не дольше, чем этого требуют цели обработки ПДН, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или согласием Субъекта, договором с Субъектом ПДН не установлен соответствующий срок хранения. Обрабатываемые ПДН подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
6.13. Хранение ПДН, цели обработки, которых различны, осуществляется раздельно в рамках информационной системы или, при условии хранения на материальных носителях, в рамках структуры дел соответствующего подразделения Оператора.
6.14. Сотрудник Оператора, имеющий доступ к ПДН в связи с исполнением трудовых обязанностей обеспечивает хранение информации, содержащей ПДН Субъектов, исключающее доступ к ним третьих лиц.
В отсутствие сотрудника на его рабочем месте не должно находиться документов, содержащих ПДН. При уходе в отпуск, служебную командировку и иных случаях длительного отсутствия сотрудника на рабочем месте, он обязан передать документы и иные носители, содержащие ПДН лицу, на которое локальным актом Оператора будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие ПДН Субъектов, передаются другому сотруднику, имеющему доступ к ПДН по указанию руководителя соответствующего структурного подразделения Оператора.
При увольнении сотрудника, имеющего доступ к ПДН, документы и иные носители, содержащие ПДН, передаются другому сотруднику, имеющему доступ к ПДН по указанию руководителя структурного подразделения и с уведомлением лица, ответственного за обработку ПДН.
6.15. Обработка ПДН прекращается, уничтожение/обезличивание ПДН производится в связи с:
6.15.1. Достижением цели обработки ПДН, утрата необходимости в достижении целей обработки ПДН — в течение тридцати дней, если иное не предусмотрено договором;
6.15.2. Истечением срока действия согласия Субъекта ПДН — в течение тридцати дней;
6.15.3. Выявление неправомерной обработки ПДН – в течение трех дней с даты выявления;
6.15.4. Невозможность обеспечения правомерности обработки персональных данных — в течение десяти дней;
6.15.5. Отзыв согласия Субъекта ПДН если сохранение ПДН более не требуется для целей обработки ПДН — в течение 30 дней.
6.15.6. получение требования о прекращении обработки персональных данных — в течение 10 (десяти) рабочих дней (п.5.1 ФЗ 152).
6.15.7. Субъект ПДН может в любой момент отозвать свое согласие на обработку ПДН при условии, что подобная процедура не нарушает требований законодательства РФ. В случае отзыва Субъектом согласия на обработку ПДН, Оператор вправе продолжить обработку ПДН без согласия Субъекта только при наличии оснований, указанных в ФЗ.
Для отзыва согласия на обработку ПДН необходимо подать соответствующее заявление в письменной форме по месту нахождения Оператора либо направить электронное письмо по электронному адресу: info@scantour.ru.
В случае отзыва Субъектом согласия на обработку его ПДН, Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДН более не требуется для целей их обработки, уничтожает ПДН или обеспечивает их уничтожение (если обработка осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДН, иным соглашением между Оператором и Субъектом, либо если Оператор не вправе осуществлять обработку ПДН без согласия Субъекта на основаниях, предусмотренных ФЗ или другими федеральными законами.
7. Обеспечение безопасности ПДН
7.1. При обработке ПДН Оператор применяет правовые, организационные и технические меры и обеспечивает их принятие для защиты ПДН от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДН, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности ПДН при их обработке в информационных системах ПДН, требованиям к материальным носителям ПДН и технологиям хранения таких данных вне информационных систем ПДН, установленными Правительством РФ.
7.2. Мероприятия по защите ПДН определяются Положениями, Приказами, Инструкциями и другими локальными актами Общества.
7.3. Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законами РФ и принятыми в соответствии с ними нормативно-правовыми актами. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативно-правовыми актами, если иное не предусмотрено указанным законом иди другими федеральными законами. Обеспечение безопасности ПДН достигается в частности:
— назначением ответственного лица за организацию обработки ПДН;
— определением угроз безопасности ПДН при их обработке в информационных системах ПДН;
— применение организационных и технических мер по обеспечению безопасности ПДН;
— оценкой эффективности принимаемых мер по обеспечению безопасности ПДН;
— обнаружением фактов несанкционированного доступа к ПДН и принятием необходимых мер;
— восстановлением ПДН, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— установлением правил доступа к ПДН, обрабатываемых в информационных системах ПДН;
— контролем над принимаемыми мерами по обеспечению безопасности ПДН и уровня защищенности информационных систем ПДН;
— оценкой вреда, который может быть причинен Субъектам ПДН в случае нарушения ФЗ, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ;
— издание Обществом локальных актов по вопросам обработки ПДН, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранения последствий таких нарушений;
— ознакомление сотрудников Общества, непосредственно осуществляющих обработку ПДН, с положениями законодательства РФ, настоящей Политикой и другими локальными актами по вопросам обработки ПДН, и (или) обучением (инструктаж) указанных сотрудников.
8. Запросы, обращения и порядок их обработки оператором
8.1. Оператор обязан предоставить безвозмездно Субъекту или его представителю возможность ознакомления с ПДН, относящимися к этому Субъекту. В срок, не превышающий семи рабочих дней со дня предоставления Субъектом или его представителем сведений, подтверждающих, что ПДН являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления Субъектом или его представителем сведений, подтверждающих, что такие ПДН являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДН. Оператор обязан уведомить Субъекта или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДН этого Субъекта были переданы.
8.2. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
8.3. В случае выявления неправомерной обработки ПДН при обращении Субъекта или его представителя либо по запросу Субъекта или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых ПДН, относящихся к этому Субъекту, или обеспечить их блокирование (если обработка ПДН осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДН при обращении Субъекта или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование ПДН, относящихся к этому Субъекту, или обеспечить их блокирование (если обработка ПДН осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДН не нарушает права и законные интересы Субъекта или третьих лиц.
8.4. В случае подтверждения факта неточности ПДН Оператор на основании сведений, представленных Субъектом или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить ПДН либо обеспечить их уточнение (если обработка ПДН осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДН.
8.5. В случае выявления неправомерной обработки ПДН, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДН или обеспечить прекращение неправомерной обработки ПДН лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки ПДН невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДН, обязан уничтожить такие ПДН или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДН Оператор обязан уведомить Субъекта или его представителя, а в случае, если обращение Субъекта или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
9. Контроль, ответственность за нарушение или неисполнение политики
9.1. Контроль исполнения настоящей Политики возложен на Куратора ОПД.
9.2. Лица, нарушающие или не исполняющие требования Политики, привлекаются к дисциплинарной, административной, гражданско-правовой или уголовной ответственности в соответствии с законодательством РФ.
9.3. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.
10. Прочие положения
10.1. Настоящая Политика и изменения к ней утверждаются единоличным исполнительным органом Общества, являются обязательными для исполнения всеми сотрудниками, имеющими доступ к ПДН Субъектов, и вступает в силу со дня ее утверждения.
10.2. Все сотрудники Общества, допущенные к работе с ПДН, должны быть ознакомлены с настоящей Политикой до начала работы с ПДН.
10.3. Опубликование или обеспечение иным образом неограниченного доступа к настоящей Политике, иным документам, определяющим политику Оператора в отношении обработки ПДН, к сведениям о реализуемых требованиях к защите персональных данных Оператор осуществляет, в частности, но не ограничиваясь, посредством размещения на электронном сайте, принадлежащем Оператору.
10.4. Все вопросы, связанные с обработкой ПДН, не урегулированные настоящей Политикой, разрешаются в соответствии с действующими законодательством РФ в области персональных данных, а также принятыми Обществом иными локальными актами в области персональных данных.