0

Положение об обработке персональных данных

  1. Общие положения
  1. Положение об обработке персональных данных (далее – Положение) разработано с целью определения порядка обработки персональных данных субъектов персональных данных, обеспечения защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установления ответственности лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных у Индивидуального предпринимателя Ревинской Катерины Эрнестовны (далее – ИП).
  2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации от 25 декабря 1993 г., Гражданским кодексом Российской Федерации от 30 ноября 1994 г. № 51-ФЗ, Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также другими нормативными правовыми актами, действующими на территории Российской Федерации.
  3. Настоящее Положение определяет политику ИП в отношении обработки персональных данных.
  4. Положения настоящего документа служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных у ИП.
  5. У ИП к любой информации, содержащей персональные данные субъекта, применяется режим конфиденциальности, за исключением персональных данных, разрешенных субъектом персональных данных для распространения.
  6. Основные понятия, используемые в Положении:
    • безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;
    • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
    • документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;
    • доступ к информации – возможность получения информации и ее использования;
    • защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;
    • идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
    • информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
    • информация – сведения (сообщения, данные) независимо от формы их представления;
    • использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
    • конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
    • носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин;
    • обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
    • обработка персональных данных без использования средств автоматизации – обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
    • оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
    • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу;
    • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
    • субъект персональных данных – физическое лицо, которое может быть однозначно идентифицировано по персональным данным;
    • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
    • целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
  7. Права и обязанности субъектов персональных данных
  • Субъекты персональных данных имеют право:
  • получать полную информацию о своих персональных данных и обработке этих данных;
  • осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;
  • ознакомиться с нормативными документами ИП, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области;
  • определять своих представителей для защиты своих персональных данных;
  • требовать от ИП уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • при отказе ИП или уполномоченного им лица исключить или исправить персональные данные субъекта – заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
  • дополнить персональные данные оценочного характера заявлением, выражающим собственную точку зрения;
  • требовать от ИП или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке любые неправомерные действия или бездействие ИП или уполномоченного им лица при обработке и защите персональных данных субъекта;
  • возмещать убытки и (или) получать компенсацию морального вреда в судебном порядке.
  • Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.
    1. Права и обязанности ИП
  • Права ИП:
  • ИП вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;
  • в случае отзыва субъектом персональных данных согласия на обработку персональных данных Индивидуальный предприниматель вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».
  • Обязанности ИП:
  • по запросу предоставить субъекту персональных данных информацию, касающуюся обработки его персональных данных, а также предоставить возможность ознакомления с этими персональными данными;
  • разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку;
  • принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
  • обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;
  • устранять нарушения законодательства, допущенные при обработке персональных данных, вносить уточнения, осуществлять блокирование и уничтожение персональных данных в случаях, предусмотренных Федеральным законом «О персональных данных».
  1. Цели обработки персональных данных
  1. Целью обработки персональных данных является ведение кадрового и бухгалтерского учета, обеспечение соблюдения трудового законодательства Российской Федерации, обеспечение соблюдения налогового законодательства Российской Федерации, обеспечение соблюдения пенсионного законодательства Российской Федерации, оформление заявок на сайте для предоставления услуг, анализ взаимодействия с сайтом, подготовка, заключение и исполнение гражданско-правовых договоров, оказание туристских услуг гражданам Российской Федерации.
  1. Правовые основания обработки персональных данных
  1. Правовое основание обработки персональных данных:
    • Трудовой кодекс Российской Федерации;
    • Налоговый кодекс Российской Федерации;
    • Гражданский кодекс Российской Федерации;
    • Федеральный закон от 24.11.1996 № 132-ФЗ «Об основах туристской деятельности в Российской Федерации»;
    • договоры, заключаемые между оператором и субъектом персональных данных;
    • согласие на обработку персональных данных.
  1. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  1. Категории субъектов персональных данных:
    • работники, состоящие в трудовых отношениях с Обществом, бывшие работники;
    • родственники работников;
    • представители контрагентов;
    • туристы;
    • заказчики туристского продукта;
    • посетители сайта.
  2. Категории обрабатываемых персональных данных:
    • иные категории персональных данных.
  3. Объем обрабатываемых персональных данных

При определении объема и содержания обрабатываемых персональных данных Индивидуальный предприниматель руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об основах туристской деятельности в Российской Федерации» и иными федеральными законами Российской Федерации.

Таблица 1 – Объем обрабатываемых персональных данных

Категория субъектов Цель обработки Перечень персональных данных
Работники, состоящие в трудовых отношениях с Обществом, бывшие работники Ведение кадрового и бухгалтерского учета, обеспечение соблюдения трудового законодательства Российской Федерации, обеспечение соблюдения налогового законодательства Российской Федерации, обеспечение соблюдения пенсионного законодательства Российской Федерации –      Фамилия, имя, отчество;

–      Сведения о смене фамилии, имени, отчества;

–      Сведения свидетельства о государственной регистрации актов гражданского состояния;

–      Дата рождения (день, месяц, год);

–      Место рождения;

–      Гражданство;

–      Данные документа, удостоверяющего личность (тип документа, серия, номер, дата выдачи, наименование органа, выдавшего документ, код подразделения, срок действия);

–      Табельный номер;

–      Идентификационный номер налогоплательщика;

–      Сведения о страховом номере индивидуального лицевого счета;

–      Условия приема на работу, характер работы;

–      Условия труда;

–      Вид работы (основная, по совместительству);

–      Пол (мужской, женский);

–      Номер и дата трудового договора;

–      Испытательный срок;

–      Знание иностранного языка (наименование, степень знания);

–      Образование (среднее общее, среднее профессиональное, высшее профессиональное); наименование образовательного учреждения; наименование, серия, номер, дата выдачи документа об образовании, о квалификации или наличии специальных знаний; год окончания образовательного учреждения; квалификация по документу об образовании; направление или специальность по документу об образовании;

–      Сведения о послевузовском профессиональном образовании (аспирантура, адъюнктура, докторантура); наименование образовательного, научного учреждения; наименование, номер, дата выдачи документа об образовании; год окончания образовательного, научного учреждения; направление или специальность по документу об образовании;

–      Профессия (основная, другая);

–      Стаж работы;

–      Состояние в браке;

–      Состав семьи (степень родства (ближайшие родственники), фамилия, имя, отчество, год рождения);

–      Адрес места жительства (места пребывания);

–      Дата регистрации по месту жительства (месту пребывания);

–      Адрес электронной почты;

–      Номер телефона;

–      Сведения о воинском учете (категория запаса, воинское звание, состав (профиль), полное кодовое обозначение военно-учетной специальности; категория годности к военной службе, наименование военного комиссариата по месту жительства, вид воинского учета, отметка о снятии с воинского учета);

–      Дата начала работы;

–      Структурное подразделение;

–      Должность (специальность, профессия), разряд, класс (категория) квалификации;

–      Тарифная ставка (оклад), надбавка, руб.;

–      Сведения о приеме на работу и переводах на другую работу (дата, структурное подразделение, должность (специальность, профессия), разряд, класс (категория) квалификации, тарифная ставка (оклад), надбавка, основание);

–      Вид перевода на другую работу (постоянно, временно);

–      Прежнее место работы (структурное подразделение; должность (специальность, профессия), разряд, класс (категория) квалификации; причина перевода);

–      Сведения об аттестации (дата, решение, номер и дата документа, основание);

–      Сведения о повышении квалификации (дата начала и окончания обучения, вид повышения квалификации, наименование образовательного учреждения, место его нахождения, наименование, серия, номер, дата документа (удостоверения, свидетельства), основание);

–      Сведения о профессиональной переподготовке (дата начала и окончания переподготовки, специальность (направление, профессия), наименование, номер, дата документа (диплома, свидетельства), основание);

–      Сведения о наградах (поощрениях), почетных званиях (наименование награды (поощрения), наименование, номер, дата документа);

–      Сведения об отпусках (вид, период работы, количество дней, дата начала и окончания, основание);

–      Сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством (наименование льготы, номер, дата выдачи документа, основание);

–      Основание прекращения трудового договора (увольнения), дата увольнения, номер и дата приказа (распоряжения);

–      Количество занимаемых ставок;

–      График работы;

–      Сведения об отработанных рабочих днях (часах);

–      Сведения о работе в выходные и праздники, размер выплат;

–      Сведения о сверхурочных, переработках, размер выплат;

–      Сведения о командировках (дата начала и окончания командировки, размер выплат);

–      Сведения о поощрении (основание, мотив, вид поощрения, сумма выплат);

–      Сведения о назначении пенсии за выслугу лет или дополнительных мерах социальной поддержки;

–      Сведения о выплате материальной помощи (основание, размер выплат);

–      Сведения о рождении ребенка (данные свидетельства о рождении ребенка, данные справки о рождении ребенка, основание и сумма выплаты единовременного пособия по рождению ребенка);

–      Сведения о суммах начисленных выплат и иных вознаграждений, суммах начисленных страховых взносов, удержаниях;

–      Сведения о реквизитах для перевода денежных сумм;

–      Сведения о нетрудоспособности (номер листка нетрудоспособности, дата выдачи, период нетрудоспособности, причина нетрудоспособности);

–      Сведения о наличии инвалидности (дата выдачи справки, дата окончания действия справки);

–      Личная подпись.
Родственники работников Ведение кадрового учета, обеспечение соблюдения трудового законодательства Российской Федерации –      Фамилия, имя, отчество;

–      Год рождения;

–      Степень родства.
Представители контрагентов Подготовка, заключение и исполнение гражданско-правовых договоров –      Фамилия, имя, отчество;

–      Дата рождения (день, месяц, год);

–      Место работы;

–      Должность;

–      Данные документа, удостоверяющего личность (тип документа, серия, номер, дата выдачи, наименование органа, выдавшего документ, код подразделения);

–      Номер телефона;

–      Адрес регистрации;

–      Адрес электронной почты;

–      Личная подпись.
Туристы Оказание туристских услуг гражданам Российской Федерации –      Фамилия, имя, отчество;

–      Данные документа, удостоверяющего личность (тип документа, серия, номер, дата выдачи, наименование органа, выдавшего документ, номер актовой записи, код подразделения, срок действия, дата создания актовой записи, место государственной регистрации (отдел ЗАГС));

–      Гражданство;

–      Дата рождения (день, месяц, год);

–      Пол (мужской, женский);

–      Адрес электронной почты;

–      Номер телефона;

–      Личная подпись.
Заказчики туристского продукта Оказание туристских услуг гражданам Российской Федерации –      Фамилия, имя, отчество;

–      Адрес места жительства (места пребывания);

–      Данные документа, удостоверяющего личность (тип документа, серия, номер, дата выдачи, наименование органа, выдавшего документ, код подразделения, срок действия);

–      Реквизиты доверенности или иного документа, подтверждающего полномочия представителя;

–      Сведения об оплате;

–      Сведения о приобретенном туристском продукте;

–      Адрес электронной почты;

–      Номер телефона;

–      Гражданство;

–      Личная подпись.
Посетители сайта Оформление заявок на сайте для предоставления услуг, анализ взаимодействия с сайтом –      Фамилия, имя, отчество;

–      Адрес электронной почты;

–      Номер телефона;

–      IP-адрес;

–      Cookie-файлы;

–      Данные о геопозиции;

–      Информация о браузере.
  1. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника при его приеме, переводе и увольнении:
  • информация, представляемая работником при поступлении на работу к ИП, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
  • паспорт или иной документ, удостоверяющий личность;
  • трудовую книжку и (или) сведения о трудовой деятельности, за исключением случаев, если трудовой договор заключается впервые;
  • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  • документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу;
  • документ об образовании и (или) о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки.
  • Работник ИП должен проверять достоверность персональных данных, сверяя данные, предоставленные субъектом, с имеющимися у субъекта документами.
  • При оформлении работника к ИП заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
  • общие сведения;
  • сведения о воинском учете;
  • данные о приеме на работу.
  • В дальнейшем в личную карточку вносятся:
  • сведения о переводах на другую работу;
  • сведения об аттестации;
  • сведения о повышении квалификации;
  • сведения о профессиональной переподготовке;
  • сведения о наградах (поощрениях), почетных званиях;
  • сведения о социальных льготах;
  • сведения об отпусках.
  • Данные из документов вносятся работниками в информационную систему персональных данных. В бумажном виде впоследствии создаются, хранятся и передаются следующие группы документов, содержащие персональные данные работников ИП в единичном или сводном виде:
  • личная карточка работника формы Т-2;
  • комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
  • комплекс материалов по анкетированию, тестированию;
  • подлинники и копии приказов по личному составу;
  • дела, содержащие основания к приказам по личному составу;
  • личные дела и трудовые книжки работников;
  • дела, содержащие материалы аттестации работников, служебных расследований;
  • справочно-информационный банк данных по персоналу (картотеки, журналы);
  • подлинники и копии отчетных, аналитических и справочных материалов, передаваемых Индивидуальному предпринимателю;
  • копии отчетов, направляемых в государственные органы статистики, налоговые инспекции и другие учреждения;
  • документация по ИП (положения, должностные инструкции работников, приказы);
  • документы по планированию, учету, анализу и отчетности в части работы с работниками ИП;
  • справки по месту требования в соответствии с федеральными законами.
  • Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа или металлического шкафа, обеспечивающего защиту от несанкционированного доступа.
    1. Комплекс документов, сопровождающий процесс работы с представителями контрагентов
  • Информация, представляемая представителями контрагентов, должна иметь документальную форму. Представители контрагентов предъявляют следующие документы:
  • документ, удостоверяющий личность;
  • доверенность.
  • Работник ИП должен проверять достоверность персональных данных, сверяя данные, предоставленные субъектом или его законным представителем, с имеющимися у субъекта или его законного представителя документами.
  • Данные из документов вносятся работниками в информационную систему персональных данных. В бумажном виде впоследствии создаются, хранятся и передаются следующие группы документов в единичном или сводном виде:
  • справки по месту требования в соответствии с законом;
  • иные документы, предусмотренные действующим законодательством Российской Федерации.
    1. Комплекс документов, сопровождающий процесс работы с туристами
  • Информация, представляемая туристами или их законными представителями, должна иметь документальную форму. Туристы или их законные представители предъявляют следующие документы:
  • документ, удостоверяющий личность.
  • Работник ИП должен проверять достоверность персональных данных, сверяя данные, предоставленные субъектом или его законным представителем, с имеющимися у субъекта или его законного представителя документами.
  • Данные из документов вносятся работниками в информационную систему персональных данных. В бумажном виде впоследствии создаются, хранятся и передаются следующие группы документов в единичном или сводном виде:
  • договор о реализации туристского продукта;
  • заявление;
  • справки по месту требования в соответствии с федеральными законами;
  • иные документы, предусмотренные действующим законодательством Российской Федерации.
    1. Комплекс документов, сопровождающий процесс работы с заказчиками туристского продукта
  • Информация, представляемая заказчиками туристского продукта, должна иметь документальную форму. Заказчики туристского продукта предъявляют следующие документы:
  • документ, удостоверяющий личность;
  • доверенность или иной документ, подтверждающий полномочия представителя.
  • Работник ИП должен проверять достоверность персональных данных, сверяя данные, предоставленные субъектом или его законным представителем, с имеющимися у субъекта или его законного представителя документами.
  • Данные из документов вносятся работниками в информационную систему персональных данных. В бумажном виде впоследствии создаются, хранятся и передаются следующие группы документов в единичном или сводном виде:
  • копия доверенности или иного документа, подтверждающего полномочия представителя;
  • договор о реализации туристского продукта;
  • справки по месту требования в соответствии с федеральными законами;
  • иные документы, предусмотренные действующим законодательством Российской Федерации.
  1. Порядок и условия обработки персональных данных
  1. Перечень действий, совершаемых ИП с персональными данными субъектов: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
  2. Способы обработки персональных данных: автоматизированная, без использования средств автоматизации.
  3. Сроки обработки персональных данных: утрата правовых оснований, достижение цели обработки, отзыв согласия на обработку персональных данных, выявление факта неправомерной обработки, требование о прекращении обработки персональных данных.
  4. Сведения о соблюдении требований конфиденциальности персональных данных, меры, принимаемые ИП для обеспечения выполнения обязанностей оператора при обработке персональных данных:
  • к любой информации, содержащей персональные данные, применяется режим конфиденциальности, за исключением персональных данных, разрешенных субъектом персональных данных для распространения;
  • работники и иные лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении информации ограниченного доступа, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных. Форма соглашения о неразглашении персональных данных представлена в Приложении 1 к настоящему Положению;
  • назначен ответственный за организацию обработки персональных данных;
  • изданы документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки и обеспечения безопасности персональных данных;
  • применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных:
  • утверждены Модели угроз безопасности информации;
  • разработаны организационно-распорядительные документы по вопросам обработки и обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных;
  • реализованы технические меры по обеспечению безопасности персональных данных: установлены сейфы и запирающиеся шкафы для хранения носителей персональных данных, установлен режим охраны здания и помещений, в которых обрабатываются персональные данные;
  • в информационных системах персональных данных применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
  • проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных при их обработке в информационных системах;
  • персональные данные субъектов обрабатываются и хранятся в помещениях ИП на учтенных машинных носителях в соответствии с Инструкцией по учету машинных носителей и регистрации их выдачи, на бумажных носителях – в соответствии с Положением о порядке обработки персональных данных, осуществляемой без использования средств автоматизации. Уничтожение носителей информации производится по решению ИП. Вывод из эксплуатации машинного носителя производится путем его форматирования, либо путем его механического повреждения в присутствии ответственного за обеспечение безопасности персональных данных. Бумажные носители персональных данных уничтожаются в бумагорезательной машине, а также путем сжигания. По факту уничтожения персональных данных издается соответствующий подтверждающий документ согласно требованиям, установленным уполномоченным органом по защите прав субъектов персональных данных (форма акта представлена в Приложении 2 к настоящему Положению);
  • обнаружение и принятие мер по фактам несанкционированного доступа к персональным данным производится в соответствии с разработанной Политикой менеджмента инцидентов информационной безопасности;
  • резервное копирование и восстановление персональных данных производится в соответствии с разработанным Регламентом резервного копирования данных;
  • правила разграничения доступа к персональным данным, обрабатываемым в информационных системах персональных данных, реализуются на основе установленных матриц доступа. Регистрация и учет всех совершаемых действий предусмотрены соответствующими настройками средств защиты информации;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных производится ответственным за обеспечение безопасности персональных данных с установленной периодичностью;
  • осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему Положению, локальным актам ИП;
  • проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»;
  • работники ИП ознакомлены с положениями законодательства Российской Федерации о персональных данных и локальными актами по вопросам обработки и обеспечения безопасности персональных данных;
  • проведено обучение работников по вопросам защиты персональных данных;
  • настоящее Положение опубликовано на официальном сайте ИП;
  • реализация и контроль организационных и технических мер производится в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • обработка персональных данных, осуществляемая без использования средств автоматизации, производится в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • ИП включен в Реестр операторов, осуществляющих обработку персональных данных, регистрационный номер 63-25-043378.
    1. Формы документов при получении (сборе) персональных данных:
  • форма согласия субъекта на обработку персональных данных представлена в Приложении 3 к настоящему Положению;
  • форма согласия субъекта на получение его персональных данных от третьей стороны представлена в Приложении 4 к настоящему Положению.
    1. Формы документов при передаче персональных данных:
  • форма согласия субъекта на обработку персональных данных, разрешенных субъектом персональных данных для распространения, представлена в Приложении 5 к настоящему Положению;
  • форма согласия субъекта на передачу его персональных данных третьей стороне представлена в Приложении 6 к настоящему Положению.
    1. Формы документов по прекращению обработки персональных данных:
  • форма отзыва согласия на обработку персональных данных представлена в Приложении 7 к настоящему Положению;
  • форма требования о прекращении передачи персональных данных, разрешенных субъектом персональных данных для распространения представлена в Приложении 8 к настоящему Положению.
    1. Форма запроса от субъекта персональных данных или его представителя представлена в Приложении 9 к настоящему Положению.
  1. Регламент реагирования на запросы/обращения субъектов персональных данных или их представителей, уполномоченных органов
  1. Права субъекта персональных данных по обращению к ИП
  • Субъект персональных данных или его представитель вправе обратиться к ИП в целях получения информации о наличии персональных данных, а также предоставления возможности ознакомления с этими персональными данными.
  • Обращение субъекта персональных данных (письменный запрос или устное обращение) подлежит обязательной регистрации в день поступления.
  • Требуемые сведения предоставляются субъекту персональных данных или его представителю при личном обращении или по его письменному запросу в течение десяти рабочих дней с даты получения запроса.
  • Субъект персональных данных вправе обратиться повторно к ИП не ранее чем через тридцать дней после первоначального обращения.
  • Субъект персональных данных вправе требовать от ИП уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
    1. Обязанности ИП по уточнению, блокированию и уничтожению персональных данных
  • Сроки осуществления блокирования персональных данных:
  • в случае выявления неправомерной обработки персональных данных либо неточных персональных данных Индивидуальный предприниматель обязан осуществить их блокирование на период проверки.
  • Сроки уточнения персональных данных:
  • в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ИП обязан внести в них необходимые изменения и снять блокирование персональных данных.
  • Сроки уничтожения персональных данных:
  • в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ИП обязан уничтожить такие персональные данные. ИП обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
  • в случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты такого выявления, необходимо устранить допущенные нарушения. В случае, если обеспечить правомерность обработки персональных данных невозможно, ИП в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Индивидуальный предприниматель обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
  • в случае достижения цели обработки персональных данных Индивидуальный предприниматель обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
  • в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Индивидуальный предприниматель обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации;
  • в случае обращения субъекта персональных данных к ИП с требованием о прекращении обработки персональных данных Индивидуальный предприниматель обязан в срок, не превышающий десяти рабочих дней с даты получения ИП соответствующего требования, прекратить их обработку, за исключением случаев, предусмотренных законодательством Российской Федерации;
  • в случае отсутствия возможности уничтожения персональных данных в течение вышеуказанных сроков, ИП осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
  1. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
  1. Работники ИП, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут ответственность, предусмотренную действующим законодательством Российской Федерации.
  2. ИП за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, несет административную ответственность согласно статьям 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные этого субъекта.
  3. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим работникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативно-правовыми актами (приказами, распоряжениями) ИП, влечет наложение на работников, имеющих доступ к персональным данным, дисциплинарных взысканий в виде: замечания, выговора, увольнения.
  4. Трудовым кодексом Российской Федерации предусмотрены следующие последствия правонарушений:
  • статья 81. По инициативе работодателя может быть расторгнут трудовой договор в случае разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника;
  • статья 90. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом;
  • статья 192. За совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить дисциплинарные взыскания;
  • статья 243. Материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну, в случаях, предусмотренных Трудовым кодексом, другими федеральными законами.
    1. Гражданским кодексом Российской Федерации предусмотрены следующие последствия правонарушений:
  • статья 15. Лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков.
  • статья 151. Если гражданину причинен моральный вред… суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.
    1. Кодексом Российской Федерации об административных правонарушениях предусмотрены следующие составы административных правонарушений:
      • статья 5.27. Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права;
      • статья 5.39. Отказ в предоставлении информации;
      • статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных;
      • статья 13.12. Нарушение правил защиты информации;
      • статья 13.14. Разглашение информации с ограниченным доступом;
      • статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль;
      • статья 19.7. Непредставление сведений (информации).
    2. Уголовным кодексом Российской Федерации предусмотрены следующие составы преступлений:
  • статья 137. Нарушение неприкосновенности частной жизни;
  • статья 140. Отказ в предоставлении гражданину информации;
  • статья 272. Неправомерный доступ к компьютерной информации.

Положение об обработке персональных данных

  1. Общие положения
  1. Положение об обработке персональных данных (далее – Положение) разработано с целью определения порядка обработки персональных данных субъектов персональных данных, обеспечения защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установления ответственности лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных в Обществе с ограниченной ответственностью «Город-курорт» (далее – Общество).
  2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации от 25 декабря 1993 г., Гражданским кодексом Российской Федерации от 30 ноября 1994 г. № 51-ФЗ, Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также другими нормативными правовыми актами, действующими на территории Российской Федерации.
  3. Настоящее Положение определяет политику Общества в отношении обработки персональных данных.
  4. Положения настоящего документа служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных в Обществе.
  5. В Обществе к любой информации, содержащей персональные данные субъекта, применяется режим конфиденциальности, за исключением персональных данных, разрешенных субъектом персональных данных для распространения.
  6. Основные понятия, используемые в Положении:
    • безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;
    • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
    • документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;
    • доступ к информации – возможность получения информации и ее использования;
    • защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;
    • идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
    • информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
    • информация – сведения (сообщения, данные) независимо от формы их представления;
    • использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
    • конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
    • носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин;
    • обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
    • обработка персональных данных без использования средств автоматизации – обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
    • оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
    • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу;
    • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
    • субъект персональных данных – физическое лицо, которое может быть однозначно идентифицировано по персональным данным;
    • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
    • целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
  7. Права и обязанности субъектов персональных данных
  • Субъекты персональных данных имеют право:
  • получать полную информацию о своих персональных данных и обработке этих данных;
  • осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;
  • ознакомиться с нормативными документами Общества, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области;
  • определять своих представителей для защиты своих персональных данных;
  • требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • при отказе Общества или уполномоченного им лица исключить или исправить персональные данные субъекта – заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
  • дополнить персональные данные оценочного характера заявлением, выражающим собственную точку зрения;
  • требовать от Общества или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке любые неправомерные действия или бездействие Общества или уполномоченного им лица при обработке и защите персональных данных субъекта;
  • возмещать убытки и (или) получать компенсацию морального вреда в судебном порядке.
  • Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.
    1. Права и обязанности Общества
  • Права Общества:
  • Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;
  • в случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».
  • Обязанности Общества:
  • по запросу предоставить субъекту персональных данных информацию, касающуюся обработки его персональных данных, а также предоставить возможность ознакомления с этими персональными данными;
  • разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку;
  • принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
  • обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;
  • устранять нарушения законодательства, допущенные при обработке персональных данных, вносить уточнения, осуществлять блокирование и уничтожение персональных данных в случаях, предусмотренных Федеральным законом «О персональных данных».
  1. Цели обработки персональных данных
  1. Целью обработки персональных данных является ведение кадрового и бухгалтерского учета, обеспечение соблюдения трудового законодательства Российской Федерации, обеспечение соблюдения налогового законодательства Российской Федерации, обеспечение соблюдения пенсионного законодательства Российской Федерации, оформление заявок на сайте для предоставления услуг, анализ взаимодействия с сайтом, осуществление видов деятельности, предусмотренных Уставом Общества: подготовка, заключение и исполнение гражданско-правовых договоров, оказание туристских услуг гражданам Российской Федерации.
  1. Правовые основания обработки персональных данных
  1. Правовое основание обработки персональных данных:
    • Трудовой кодекс Российской Федерации;
    • Налоговый кодекс Российской Федерации;
    • Гражданский кодекс Российской Федерации;
    • Федеральный закон от 24.11.1996 № 132-ФЗ «Об основах туристской деятельности в Российской Федерации»;
    • Устав Общества;
    • договоры, заключаемые между оператором и субъектом персональных данных;
    • согласие на обработку персональных данных.
  1. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  1. Категории субъектов персональных данных:
    • работники, состоящие в трудовых отношениях с Обществом, бывшие работники;
    • родственники работников;
    • представители контрагентов;
    • туристы;
    • заказчики туристского продукта;
    • посетители сайта.
  2. Категории обрабатываемых персональных данных:
    • иные категории персональных данных.
  3. Объем обрабатываемых персональных данных

При определении объема и содержания обрабатываемых персональных данных Общество руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об основах туристской деятельности в Российской Федерации» и иными федеральными законами Российской Федерации.

Таблица 1 – Объем обрабатываемых персональных данных

Категория субъектов Цель обработки Перечень персональных данных
Работники, состоящие в трудовых отношениях с Обществом, бывшие работники Ведение кадрового и бухгалтерского учета, обеспечение соблюдения трудового законодательства Российской Федерации, обеспечение соблюдения налогового законодательства Российской Федерации, обеспечение соблюдения пенсионного законодательства Российской Федерации –     Фамилия, имя, отчество;

–     Сведения о смене фамилии, имени, отчества;

–     Сведения свидетельства о государственной регистрации актов гражданского состояния;

–     Дата рождения (день, месяц, год);

–     Место рождения;

–     Гражданство;

–     Данные документа, удостоверяющего личность (тип документа, серия, номер, дата выдачи, наименование органа, выдавшего документ, код подразделения, срок действия);

–     Табельный номер;

–     Идентификационный номер налогоплательщика;

–     Сведения о страховом номере индивидуального лицевого счета;

–     Условия приема на работу, характер работы;

–     Условия труда;

–     Вид работы (основная, по совместительству);

–     Пол (мужской, женский);

–     Номер и дата трудового договора;

–     Испытательный срок;

–     Знание иностранного языка (наименование, степень знания);

–     Образование (среднее общее, среднее профессиональное, высшее профессиональное); наименование образовательного учреждения; наименование, серия, номер, дата выдачи документа об образовании, о квалификации или наличии специальных знаний; год окончания образовательного учреждения; квалификация по документу об образовании; направление или специальность по документу об образовании;

–     Сведения о послевузовском профессиональном образовании (аспирантура, адъюнктура, докторантура); наименование образовательного, научного учреждения; наименование, номер, дата выдачи документа об образовании; год окончания образовательного, научного учреждения; направление или специальность по документу об образовании;

–     Профессия (основная, другая);

–     Стаж работы;

–     Состояние в браке;

–     Состав семьи (степень родства (ближайшие родственники), фамилия, имя, отчество, год рождения);

–     Адрес места жительства (места пребывания);

–     Дата регистрации по месту жительства (месту пребывания);

–     Адрес электронной почты;

–     Номер телефона;

–     Сведения о воинском учете (категория запаса, воинское звание, состав (профиль), полное кодовое обозначение военно-учетной специальности; категория годности к военной службе, наименование военного комиссариата по месту жительства, вид воинского учета, отметка о снятии с воинского учета);

–     Сведения о водительском удостоверении (серия, номер, категория транспортного средства, дата выдачи);

–     Дата начала работы;

–     Структурное подразделение;

–     Должность (специальность, профессия), разряд, класс (категория) квалификации;

–     Тарифная ставка (оклад), надбавка, руб.;

–     Сведения о приеме на работу и переводах на другую работу (дата, структурное подразделение, должность (специальность, профессия), разряд, класс (категория) квалификации, тарифная ставка (оклад), надбавка, основание);

–     Вид перевода на другую работу (постоянно, временно);

–     Прежнее место работы (структурное подразделение; должность (специальность, профессия), разряд, класс (категория) квалификации; причина перевода);

–     Сведения об аттестации (дата, решение, номер и дата документа, основание);

–     Сведения о повышении квалификации (дата начала и окончания обучения, вид повышения квалификации, наименование образовательного учреждения, место его нахождения, наименование, серия, номер, дата документа (удостоверения, свидетельства), основание);

–     Сведения о профессиональной переподготовке (дата начала и окончания переподготовки, специальность (направление, профессия), наименование, номер, дата документа (диплома, свидетельства), основание);

–     Сведения о наградах (поощрениях), почетных званиях (наименование награды (поощрения), наименование, номер, дата документа);

–     Сведения об отпусках (вид, период работы, количество дней, дата начала и окончания, основание);

–     Сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством (наименование льготы, номер, дата выдачи документа, основание);

–     Основание прекращения трудового договора (увольнения), дата увольнения, номер и дата приказа (распоряжения);

–     Количество занимаемых ставок;

–     График работы;

–     Сведения об отработанных рабочих днях (часах);

–     Сведения о работе в выходные и праздники, размер выплат;

–     Сведения о сверхурочных, переработках, размер выплат;

–     Сведения о командировках (дата начала и окончания командировки, размер выплат);

–     Сведения о поощрении (основание, мотив, вид поощрения, сумма выплат);

–     Сведения о назначении пенсии за выслугу лет или дополнительных мерах социальной поддержки;

–     Сведения о выплате материальной помощи (основание, размер выплат);

–     Сведения о рождении ребенка (данные свидетельства о рождении ребенка, данные справки о рождении ребенка, основание и сумма выплаты единовременного пособия по рождению ребенка);

–     Сведения о суммах начисленных выплат и иных вознаграждений, суммах начисленных страховых взносов, удержаниях;

–     Сведения о реквизитах для перевода денежных сумм;

–     Сведения о нетрудоспособности (номер листка нетрудоспособности, дата выдачи, период нетрудоспособности, причина нетрудоспособности);

–      Сведения о наличии инвалидности (дата выдачи справки, дата окончания действия справки);

–     Личная подпись.
Родственники работников Ведение кадрового учета, обеспечение соблюдения трудового законодательства Российской Федерации –      Фамилия, имя, отчество;

–      Год рождения;

–      Степень родства.
Представители контрагентов Подготовка, заключение и исполнение гражданско-правовых договоров –      Фамилия, имя, отчество;

–      Дата рождения (день, месяц, год);

–      Место работы;

–      Должность;

–      Данные документа, удостоверяющего личность (тип документа, серия, номер, дата выдачи, наименование органа, выдавшего документ, код подразделения);

–      Номер телефона;

–      Адрес регистрации;

–      Адрес электронной почты;

–      Личная подпись.
Туристы Оказание туристских услуг гражданам Российской Федерации –      Фамилия, имя, отчество;

–      Данные документа, удостоверяющего личность (тип документа, серия, номер, дата выдачи, наименование органа, выдавшего документ, номер актовой записи, код подразделения, срок действия, дата создания актовой записи, место государственной регистрации (отдел ЗАГС));

–      Гражданство;

–      Дата рождения (день, месяц, год);

–      Пол (мужской, женский);

–      Адрес электронной почты;

–      Номер телефона;

–      Личная подпись.
Заказчики туристского продукта Оказание туристских услуг гражданам Российской Федерации –      Фамилия, имя, отчество;

–      Адрес места жительства (места пребывания);

–      Данные документа, удостоверяющего личность (тип документа, серия, номер, дата выдачи, наименование органа, выдавшего документ, код подразделения, срок действия);

–      Реквизиты доверенности или иного документа, подтверждающего полномочия представителя;

–      Сведения об оплате;

–      Сведения о приобретенном туристском продукте;

–      Адрес электронной почты;

–      Номер телефона;

–      Гражданство;

–      Личная подпись.
Посетители сайта Оформление заявок на сайте для предоставления услуг, анализ взаимодействия с сайтом –      Фамилия, имя, отчество;

–      Адрес электронной почты;

–      Номер телефона;

–      IP-адрес;

–      Cookie-файлы;

–      Данные о геопозиции;

–      Информация о браузере.
  1. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника при его приеме, переводе и увольнении
  • Информация, представляемая работником при поступлении на работу в Общество, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
  • паспорт или иной документ, удостоверяющий личность;
  • трудовую книжку и (или) сведения о трудовой деятельности, за исключением случаев, если трудовой договор заключается впервые;
  • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  • документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу;
  • документ об образовании и (или) о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки.
  • Работник Общества должен проверять достоверность персональных данных, сверяя данные, предоставленные субъектом, с имеющимися у субъекта документами.
  • При оформлении работника в Общество заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
  • общие сведения;
  • сведения о воинском учете;
  • данные о приеме на работу.
  • В дальнейшем в личную карточку вносятся:
  • сведения о переводах на другую работу;
  • сведения об аттестации;
  • сведения о повышении квалификации;
  • сведения о профессиональной переподготовке;
  • сведения о наградах (поощрениях), почетных званиях;
  • сведения о социальных льготах;
  • сведения об отпусках.
  • Данные из документов вносятся работниками в информационную систему персональных данных. В бумажном виде впоследствии создаются, хранятся и передаются следующие группы документов, содержащие персональные данные работников Общества в единичном или сводном виде:
  • личная карточка работника формы Т-2;
  • комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
  • комплекс материалов по анкетированию, тестированию;
  • подлинники и копии приказов по личному составу;
  • дела, содержащие основания к приказам по личному составу;
  • личные дела и трудовые книжки работников;
  • дела, содержащие материалы аттестации работников, служебных расследований;
  • справочно-информационный банк данных по персоналу (картотеки, журналы);
  • подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Общества, руководителям структурных подразделений;
  • копии отчетов, направляемых в государственные органы статистики, налоговые инспекции и другие учреждения;
  • документация по Обществу, работе отделов (положения, должностные инструкции работников, приказы);
  • документы по планированию, учету, анализу и отчетности в части работы с работниками Общества;
  • справки по месту требования в соответствии с федеральными законами.
  • Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа или металлического шкафа, обеспечивающего защиту от несанкционированного доступа.
    1. Комплекс документов, сопровождающий процесс работы с представителями контрагентов
  • Информация, представляемая представителями контрагентов, должна иметь документальную форму. Представители контрагентов предъявляют следующие документы:
  • документ, удостоверяющий личность;
  • доверенность.
  • Работник Общества должен проверять достоверность персональных данных, сверяя данные, предоставленные субъектом или его законным представителем, с имеющимися у субъекта или его законного представителя документами.
  • Данные из документов вносятся работниками в информационную систему персональных данных. В бумажном виде впоследствии создаются, хранятся и передаются следующие группы документов в единичном или сводном виде:
  • справки по месту требования в соответствии с законом;
  • иные документы, предусмотренные действующим законодательством Российской Федерации.
    1. Комплекс документов, сопровождающий процесс работы с туристами
  • Информация, представляемая туристами или их законными представителями, должна иметь документальную форму. Туристы или их законные представители предъявляют следующие документы:
  • документ, удостоверяющий личность.
  • Работник Общества должен проверять достоверность персональных данных, сверяя данные, предоставленные субъектом или его законным представителем, с имеющимися у субъекта или его законного представителя документами.
  • Данные из документов вносятся работниками в информационную систему персональных данных. В бумажном виде впоследствии создаются, хранятся и передаются следующие группы документов в единичном или сводном виде:
  • договор о реализации туристского продукта;
  • заявление;
  • справки по месту требования в соответствии с федеральными законами;
  • иные документы, предусмотренные действующим законодательством Российской Федерации.
    1. Комплекс документов, сопровождающий процесс работы с заказчиками туристского продукта
  • Информация, представляемая заказчиками туристского продукта, должна иметь документальную форму. Заказчики туристского продукта предъявляют следующие документы:
  • документ, удостоверяющий личность;
  • доверенность или иной документ, подтверждающий полномочия представителя.
  • Работник Общества должен проверять достоверность персональных данных, сверяя данные, предоставленные субъектом или его законным представителем, с имеющимися у субъекта или его законного представителя документами.
  • Данные из документов вносятся работниками в информационную систему персональных данных. В бумажном виде впоследствии создаются, хранятся и передаются следующие группы документов в единичном или сводном виде:
  • копия доверенности или иного документа, подтверждающего полномочия представителя;
  • договор о реализации туристского продукта;
  • справки по месту требования в соответствии с федеральными законами;
  • иные документы, предусмотренные действующим законодательством Российской Федерации.
  1. Порядок и условия обработки персональных данных
  1. Перечень действий, совершаемых Обществом с персональными данными субъектов: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
  2. Способы обработки персональных данных: автоматизированная, без использования средств автоматизации.
  3. Сроки обработки персональных данных: утрата правовых оснований, достижение цели обработки, отзыв согласия на обработку персональных данных, выявление факта неправомерной обработки, требование о прекращении обработки персональных данных.
  4. Сведения о соблюдении требований конфиденциальности персональных данных, меры, принимаемые Обществом для обеспечения выполнения обязанностей оператора при обработке персональных данных:
  • к любой информации, содержащей персональные данные, применяется режим конфиденциальности, за исключением персональных данных, разрешенных субъектом персональных данных для распространения;
  • работники и иные лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении информации ограниченного доступа, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных. Форма соглашения о неразглашении персональных данных представлена в Приложении 1 к настоящему Положению;
  • назначен ответственный за организацию обработки персональных данных;
  • изданы документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки и обеспечения безопасности персональных данных;
  • применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных:
  • утверждены Модели угроз безопасности информации;
  • разработаны организационно-распорядительные документы по вопросам обработки и обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных;
  • реализованы технические меры по обеспечению безопасности персональных данных: установлены сейфы и запирающиеся шкафы для хранения носителей персональных данных, установлен режим охраны здания и помещений, в которых обрабатываются персональные данные;
  • в информационных системах персональных данных применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
  • проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных при их обработке в информационных системах;
  • персональные данные субъектов обрабатываются и хранятся в помещениях Общества на учтенных машинных носителях в соответствии с Инструкцией по учету машинных носителей и регистрации их выдачи, на бумажных носителях – в соответствии с Положением о порядке обработки персональных данных, осуществляемой без использования средств автоматизации. Уничтожение носителей информации производится по решению руководителя Общества. Вывод из эксплуатации машинного носителя производится путем его форматирования, либо путем его механического повреждения в присутствии ответственного за обеспечение безопасности персональных данных. Бумажные носители персональных данных уничтожаются в бумагорезательной машине, а также путем сжигания. По факту уничтожения персональных данных издается соответствующий подтверждающий документ согласно требованиям, установленным уполномоченным органом по защите прав субъектов персональных данных (форма акта представлена в Приложении 2 к настоящему Положению);
  • обнаружение и принятие мер по фактам несанкционированного доступа к персональным данным производится в соответствии с разработанной Политикой менеджмента инцидентов информационной безопасности;
  • резервное копирование и восстановление персональных данных производится в соответствии с разработанным Регламентом резервного копирования данных;
  • правила разграничения доступа к персональным данным, обрабатываемым в информационных системах персональных данных, реализуются на основе установленных матриц доступа. Регистрация и учет всех совершаемых действий предусмотрены соответствующими настройками средств защиты информации;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных производится ответственным за обеспечение безопасности персональных данных с установленной периодичностью;
  • осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему Положению, локальным актам Общества;
  • проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»;
  • работники Общества ознакомлены с положениями законодательства Российской Федерации о персональных данных и локальными актами по вопросам обработки и обеспечения безопасности персональных данных;
  • проведено обучение работников по вопросам защиты персональных данных;
  • настоящее Положение опубликовано на официальном сайте Общества;
  • реализация и контроль организационных и технических мер производится в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • обработка персональных данных, осуществляемая без использования средств автоматизации, производится в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Общество включено в Реестр операторов, осуществляющих обработку персональных данных, регистрационный номер 63-25-044250.
    1. Формы документов при получении (сборе) персональных данных:
  • форма согласия субъекта на обработку персональных данных представлена в Приложении 3 к настоящему Положению;
  • форма согласия субъекта на получение его персональных данных от третьей стороны представлена в Приложении 4 к настоящему Положению.
    1. Формы документов при передаче персональных данных:
  • форма согласия субъекта на обработку персональных данных, разрешенных субъектом персональных данных для распространения, представлена в Приложении 5 к настоящему Положению;
  • форма согласия субъекта на передачу его персональных данных третьей стороне представлена в Приложении 6 к настоящему Положению.
    1. Формы документов по прекращению обработки персональных данных:
  • форма отзыва согласия на обработку персональных данных представлена в Приложении 7 к настоящему Положению;
  • форма требования о прекращении передачи персональных данных, разрешенных субъектом персональных данных для распространения представлена в Приложении 8 к настоящему Положению.
    1. Форма запроса от субъекта персональных данных или его представителя представлена в Приложении 9 к настоящему Положению.
  1. Регламент реагирования на запросы/обращения субъектов персональных данных или их представителей, уполномоченных органов
  1. Права субъекта персональных данных по обращению к Обществу
  • Субъект персональных данных или его представитель вправе обратиться к Обществу в целях получения информации о наличии персональных данных, а также предоставления возможности ознакомления с этими персональными данными.
  • Обращение субъекта персональных данных (письменный запрос или устное обращение) подлежит обязательной регистрации в день поступления.
  • Требуемые сведения предоставляются субъекту персональных данных или его представителю при личном обращении или по его письменному запросу в течение десяти рабочих дней с даты получения запроса.
  • Субъект персональных данных вправе обратиться повторно к Обществу не ранее чем через тридцать дней после первоначального обращения.
  • Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
    1. Обязанности Общества по уточнению, блокированию и уничтожению персональных данных
  • Сроки осуществления блокирования персональных данных:
  • в случае выявления неправомерной обработки персональных данных либо неточных персональных данных Общество обязано осуществить их блокирование на период проверки.
  • Сроки уточнения персональных данных:
  • в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество обязано внести в них необходимые изменения и снять блокирование персональных данных.
  • Сроки уничтожения персональных данных:
  • в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие персональные данные. Общество обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
  • в случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты такого выявления, необходимо устранить допущенные нарушения. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
  • в случае достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
  • в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество обязано прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации;
  • в случае обращения субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных Общество обязано в срок, не превышающий десяти рабочих дней с даты получения Обществом соответствующего требования, прекратить их обработку, за исключением случаев, предусмотренных законодательством Российской Федерации;
  • в случае отсутствия возможности уничтожения персональных данных в течение вышеуказанных сроков, Общество осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
  1. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
  1. Работники Общества, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут ответственность, предусмотренную действующим законодательством Российской Федерации.
  2. Руководитель Общества за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, несет административную ответственность согласно статьям 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные этого субъекта.
  3. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим работникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативно-правовыми актами (приказами, распоряжениями) Общества, влечет наложение на работников, имеющих доступ к персональным данным, дисциплинарных взысканий в виде: замечания, выговора, увольнения.
  4. Трудовым кодексом Российской Федерации предусмотрены следующие последствия правонарушений:
  • статья 81. По инициативе работодателя может быть расторгнут трудовой договор в случае разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника;
  • статья 90. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом;
  • статья 192. За совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить дисциплинарные взыскания;
  • статья 243. Материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну, в случаях, предусмотренных Трудовым кодексом, другими федеральными законами.
    1. Гражданским кодексом Российской Федерации предусмотрены следующие последствия правонарушений:
  • статья 15. Лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков.
  • статья 151. Если гражданину причинен моральный вред… суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.
    1. Кодексом Российской Федерации об административных правонарушениях предусмотрены следующие составы административных правонарушений:
      • статья 5.27. Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права;
      • статья 5.39. Отказ в предоставлении информации;
      • статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных;
      • статья 13.12. Нарушение правил защиты информации;
      • статья 13.14. Разглашение информации с ограниченным доступом;
      • статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль;
      • статья 19.7. Непредставление сведений (информации).
    2. Уголовным кодексом Российской Федерации предусмотрены следующие составы преступлений:
  • статья 137. Нарушение неприкосновенности частной жизни;
  • статья 140. Отказ в предоставлении гражданину информации;
  • статья 272. Неправомерный доступ к компьютерной информации.