"Авантаж" - Туристическая компания - Положение о защите, хранении, обработке и передаче персональных данных

УТВЕРЖДЕНО:

Приказом №1 от 03.03.2025г.

ИП Коновалова Е.П.

Агентство туризма «АВАНТАЖ»

ПОЛОЖЕНИЕ

о защите, хранении, обработке и передаче персональных данных

1. Общие положения

1.1. Настоящее Положение о защите, хранении, обработке и передаче персональных данных (далее - Положение) Агентства туризма «АВАНТАЖ» (далее – агентство) регулирует отношения, связанные с обработкой персональных данных, включающие в себя производимые индивидуальным предпринимателем Коноваловой Еленой Петровной (далее - Турагент) действия по получению, обработке, хранению, передаче персональных данных заказчиков, туристов туристской услуги (далее – Туристов) заключившие с Турагентом договор о реализации туристского продукта, формируемого туроператором, стороной которого является субъект персональных данных, в целях защиты персональных данных от несанкционированного доступа, а также неправомерного их использования и утраты.

1.2. Настоящим Положением устанавливается порядок обработки персональных данных Туристов, для которых Турагент осуществляет бронирование и реализацию туристского продукта, сформированного туроператором (туроператор - юридическое лицо, состоящее в Едином федеральном реестре туроператоров, с которым Турагент заключил договор о реализации туристского продукта, и который формирует и предоставляет Турагенту туристский продукт, в интересах исполнения Турагентом обязательств по договору с Туристом).

1.3. Цель данного Положения - обеспечение требований защиты прав Туристов при обработке их персональных данных Турагентом.

1.4. Персональные данные не могут быть использованы Турагентом в целях причинения имущественного и морального вреда Туристам. Турагент обязан осуществлять обработку персональных данных только на законной и справедливой основе.

1.5. Обработка персональных данных Туристов должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с Туристами целей. Обработке подлежат только те персональные данные Туристов, и только в том объеме, которые отвечают целям их обработки, определенным в договоре с Туристом или законодательством Российской Федерации.

1.6. Обрабатываемые персональные данные Клиентов подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации, договором или соглашением.

1.7. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и иными нормативно-правовыми актами в области обработки и защиты персональных данных.

1.8. Настоящее Положение и изменения к нему утверждаются Индивидуальным предпринимателем и вводятся приказом.

2. Термины и определения, понятие и состав персональных данных

2.1. В целях настоящего положения под персональными данными понимается любая информация, прямо или косвенно относящаяся к Туристу и необходимая Турагенту в связи с исполнением им договорных обязательств перед Туристом.

2.2. Турист - физические лица (субъекты персональных данных), заключившие с Турагентом договор на реализацию туристского продукта, формируемого туроператором. В данных правоотношениях с Туристами Турагент по терминологии Федерального закона № 152-ФЗ от 27 июля 2006 года "О персональных данных" (далее по тексту - Закон "О персональных данных") выступает в качестве оператора персональных данных; физические лица (субъекты персональных данных), от имени которых заказчик (который приобретал туристский продукт, в том числе для лиц, интересы которых он представляет, при условии, что заказчик предоставил оператору - Турагенту основания правомерности его действий в чужом интересе) туристского продукта заключил с Турагентом договор на реализацию туристского продукта, который формируется туроператором. В правоотношениях, указанных в настоящем пункте Положения, туроператор по терминологии Закона "О персональных данных" выступает в качестве третьего лица, которому оператор персональных данных - Турагент на договорной основе поручил обработку персональных данных Туристов с их согласия и на основании договора, заключенного между Турагентом и Туристом или заказчиком.

2.3. Обработка Персональных данных осуществляется с согласия субъектов Персональных данных на обработку их Персональных данных.

Согласие на обработку персональных данных осуществляется в любой позволяющей подтвердить факт его получения форме.

Согласие на обработку Персональных данных, разрешенных субъектом Персональных данных для распространения, оформляется отдельно от иных согласий субъекта Персональных данных на обработку его Персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

2.4. При заключении договора о реализации туристской услуги, Турист предоставляет агентству следующие данные:

- фамилия, имя, отчество (при наличии) заказчика (туриста) на русском языке, как указано в паспорте гражданина Российской Федерации;

- фамилия, имя в латинской транскрипции, как указаны в паспорте гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;

- год, месяц, число рождения заказчика (туриста);

- место рождения;

- гражданство в настоящее время (при необходимости гражданство при рождении);

- пол;

- данные о паспорте гражданина Российской Федерации (серия и номер паспорта, дата выдачи паспорта, наименование органа, выдавшего паспорт, срок действия паспорта);

- данные о паспорте гражданина Российской Федерации, удостоверяющий личность гражданина Российской Федерации за пределами территории Российской Федерации (серия и номер паспорта, дата его выдачи, наименование органа, выдавшего паспорт, срок действия);

- данные свидетельства о рождении (для несовершеннолетних граждан);

- адрес регистрации;

- фактический адрес проживания;

- адрес электронной почты;

- домашний и контактный (мобильный) телефоны;

- наличие ограничений, наложенные на туристов органами государственной власти Российской Федерации, в том числе, но не только, ограничения на выезд или на перемещения, в том числе связанные с объявлением мобилизации;

- наличие ограничений на право выезда из РФ, наложенные Федеральной службой судебных приставов-исполнителей, или иными компетентными органами;

- сведения о состоянии здоровья;

- отсутствие/наличие вакцинации необходимой для въезда в страну (место) временного пребывания и (или) для потребления туристских или иных услуг;

- банковские реквизиты счета.

2.5. При заключении договора о реализации туристской услуги, в целях сбора сведений для консульских служб посольства страны планируемого посещения при необходимости получения в интересах заказчика (туриста) визы в посольстве страны планируемого пребывания, Турист предоставляет агентству следующие данные:

- фамилия при рождении (либо другие фамилии, если были);

- год, месяц, число рождения заказчика (туриста);

- место рождения;

- гражданство в настоящее время (при необходимости гражданство при рождении);

- пол;

- данные свидетельства о рождении (для несовершеннолетних граждан);

- адрес регистрации;

- фактический адрес проживания;

- адрес электронной почты;

- домашний и контактный (мобильный) телефоны;

- сведения о воинском учете;

- сведения о состоянии здоровья;

- банковские реквизиты счета;

- персональные данные членов семей заказчика (туриста), в том числе фамилию, имя, отчество отца, матери, бабушки, дедушки, братьев, сестер, детей, а также документы, подтверждающие родство;

- сведения о семейном положении, наличии детей;

- профессиональная деятельность (данные о работодателе и работе (наименование, адрес и номер телефона работодателя, должность в настоящее время, размер заработной платы));

- данные об учебном заведении для школьников и студентов (наименование, адрес и номер телефона учебного заведения);

- изображение (фотография) туриста;

- сведения о получении пенсии и о том, кто оплачивает поездку лицам, достигшим пенсионного возраста (для пенсионеров);

- даты прошлых выездов в страну планируемого посещения или в группу определенных стран, сведения о прошлых депортациях из страны планируемого посещения либо иных нарушений законодательства иностранных государств;

- копии претензий и исковых заявлений, относящиеся к туристам;

- иные сведения о заказчике (туристе), которые он сообщает о себе в связи с особенностями планируемого им путешествия, или в связи с требованиями, которые предъявляются к информации о заказчике (туристе) консульскими службами посольств стран планируемого посещения для рассмотрения вопроса о выдаче визы.

2.6. При заключении договора о реализации туристской услуги, в целях сбора сведений, которые могут быть запрошены страховыми компаниями в интересах заключения договора, выгодоприобретателем по которому является заказчик Турист, могут включать:

- год, месяц, число рождения заказчика (туриста);

- место рождения;

- гражданство в настоящее время (при необходимости гражданство при рождении);

- пол;

- данные свидетельства о рождении (для несовершеннолетних граждан);

- адрес регистрации;

- фактический адрес проживания;

- адрес электронной почты;

- домашний и контактный (мобильный) телефоны;

- сведения о состоянии здоровья;

- банковские реквизиты счета;

- сведения о семейном положении, наличии детей;

- свидетельство о смерти;

- изображение (фотография) туриста;

- другие требуемые сведения, определяемые страховыми компаниями в интересах заключения договора, выгодоприобретателем по которому является заказчик (турист).

2.7. Запрещается требовать от Туриста, документы, помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.

2.8. К персональным данным относятся:

- анкетные и биографические данные;

- паспортные данные;

- сведения о воинском учете;

- специальность и занимаемая должность;

- сведения о заработной плате;

- сведения о социальных льготах;

- адрес места жительства, контактный телефон;

- сведения о составе семьи, наличии детей;

- сведения о банковских счетах.

2.9. Указанные сведения и документы являются конфиденциальными. Агентство как оператор персональных данных не вправе распространять персональные данные без согласия работника, если иное не предусмотрено федеральным законом.

3. Обработка персональных данных Туриста

и гарантии их защиты

3.1. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.2. В целях обеспечения прав и свобод человека и гражданина Турагент при обработке персональных данных Туриста обязан соблюдать следующие общие требования:

- обработка персональных данных Туриста может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов;

- при определении объема и содержания обрабатываемых персональных данных Туриста Турагент руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;

- все персональные данные Туриста следует получать у него самого. Если персональные данные Туриста возможно получить только у третьей стороны, то Турист должен быть уведомлен об этом заранее и от него должно быть получено согласие письменно или другим разрешенным законодательством способом. Турагент сообщает Туристу о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Туриста дать согласие на их получение;

- сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются в соответствии со статьей 24 Конституции Российской Федерации.

3.3. Защита персональных данных Туриста от неправомерного их использования или утраты обеспечивается Турагентом за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации, иными федеральными законами и настоящим положением.

3.4. Защите подлежат следующие объекты персональные данные Туриста, если только с них на законном основании не снят режим конфиденциальности: документы, содержащие персональные данные Туриста; бумажные носители, содержащие персональные данные Туриста; информация, содержащая персональные данные Туриста, размещенная на электронных носителях.

3.5. Турагент в интересах обеспечения выполнения обязанностей, возложенных на него Законом "О персональных данных" и другими нормативными актами, регламентирующими деятельность юридических лиц по обработке персональных данных, принимает меры, предусмотренные настоящим Положением.

3.6. При наличии сотрудников индивидуальный предприниматель обеспечивает: ознакомление сотрудников под роспись с настоящим Положением; истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Туриста и соблюдении правил их обработки; ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных в Турфирме.

3.7. Защита информационных систем Индивидуального предпринимателя в которых обрабатываются персональные данные Туриста, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" .

3.8. Доступ к персональным данным Туриста имеют сотрудники Турагента, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей, утверждаемого приказом индивидуального предпринимателя.

3.9. Процедура оформления доступа к персональным данным Туриста включает в себя: ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Туриста, с данными актами также производится ознакомление под роспись; истребование с сотрудника (за исключением руководителя) письменного обязательства о соблюдении конфиденциальности персональных данных Туриста и соблюдении правил их обработки.

3.10. Сотрудник Турагента, имеющий доступ к персональным данным Туриста в связи с исполнением трудовых обязанностей: обеспечивает хранение информации, содержащей персональные данные Туриста, исключающее доступ к ним третьих лиц; в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Туриста; при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Туриста лицу, на которое приказом Индивидуального предпринимателя будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Туриста, передаются другому сотруднику, имеющему доступ к персональным данным Туриста по указанию индивидуального предпринимателя.

3.11. При увольнении сотрудника, имеющего доступ к персональным данным Туриста, документы и иные носители, содержащие персональные данные Туриста, передаются другому сотруднику, имеющему доступ к персональным данным Туриста по указанию индивидуального предпринимателя.

3.12. Допуск к персональным данным Туриста других сотрудников Турагента, не имеющих надлежащим образом оформленного доступа, запрещается.

3.13. Документы, содержащие персональные данные Туриста, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Туриста, помещаются в шкафы, обеспечивающие защиту от несанкционированного доступа.

3.14. Защита доступа к электронным носителям, содержащим персональные данные Туриста, обеспечивается, в том числе: организацией контроля доступа в помещения информационной системы посторонних лиц; использованием лицензированных антивирусных программ, не допускающих несанкционированный доступ к персональным данным; разграничением прав доступа с использованием учетной записи; установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных; учетом машинных носителей персональных данных; обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер; контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.

3.15. Копировать и делать выписки персональных данных Туриста разрешается исключительно в служебных целях.

3.16. Ответы на письменные запросы других организаций и учреждений о персональных данных Туриста даются только с письменного согласия самого Туриста, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Турагента, и в том объеме, который позволяет не разглашать излишний объем персональных данных Туриста.

3.17. Туристы и их представители должны быть ознакомлены с документами агентства, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3.18. Туристы не должны отказываться от своих прав на сохранение и защиту тайны.

3.19. Турагент при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.20. Турагент осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных, требованиям к защите персональных данных, политике агентства в отношении обработки персональных данных, настоящему положению.

3.21. Турагент обеспечивает безопасность персональных данных Туриста следующими способами:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3.22. Турагент обеспечивает защиту персональных данных с учетом определенного типа угроз безопасности и уровня защищенности персональных данных.

4. Передача персональных данных Туриста

4.1. При передаче персональных данных Туриста Турагент должен соблюдать следующие требования:

- не сообщать персональные данные Туриста третьей стороне без письменного согласия Туриста, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Туриста, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;

- не сообщать персональные данные Туриста в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные Туриста, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Туриста, обязаны соблюдать режим секретности (конфиденциальности);

- разрешать доступ к персональным данным Туриста только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Туриста, которые необходимы для выполнения конкретных функций;

- передавать персональные данные Туриста представителям Туриста в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций;

- все меры конфиденциальности при сборе, обработке и хранении персональных данных Туриста распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

4.2. Все сведения о передаче персональных данных Туриста учитываются для контроля правомерности использования данной информации лицами, ее получившими.

4.3. Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством Российской Федерации, допускается исключительно с согласия Туриста на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.

4.4. Передача информации, содержащей сведения о персональных данных Туриста, по телефону, в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.

4.5. Передача (распространение, предоставление, доступ) персональных данных, разрешенных Туристом для распространения, должна быть прекращена в любое время по его требованию. Указанные в данном требовании персональные данные могут обрабатываться только агентством и лицами уполномоченными на обработку.

5. Права и обязанности Туриста в целях обеспечения защиты персональных данных, хранящихся в агентстве

5.1. В целях обеспечения защиты персональных данных, хранящихся в агентстве, Турист имеет право на:

- полную информацию об их персональных данных и обработке этих данных, в том числе содержащую:

- подтверждение факта обработки персональных данных;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Турагентом способы обработки персональных данных;

- сроки обработки персональных данных, в том числе сроки их хранения;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- информацию о способах исполнения Турагентом обязанностей при обработке персональных данных;

- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Туриста, за исключением случаев, предусмотренных федеральным законом;

- определение своих представителей для защиты своих персональных данных;

- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. При отказе Турагента исключить или исправить персональные данные Туриста он имеет право заявить в письменной форме в агентство о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

- требование об извещении агентством всех лиц, которым ранее были сообщены неверные или неполные персональные данные Туриста, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- согласие на обработку персональных данных может быть отозвано Туристом;

- обжалование в суд любых неправомерных действий или бездействия в агентстве при обработке и защите его персональных данных.

5.2. Турист обязан передавать Турагенту достаточные, достоверные, документированные персональные данные, полный состав которых установлен в договорах на реализацию туристского продукта, заключенных между Туристом и Турагентом.

5.3. Турист должен без неоправданной задержки сообщать Турагенту об изменении своих персональных данных.

6. Права и обязанности Турагента в целях обеспечения

защиты персональных данных

6.1. Турагент осуществляет обработку персональных данных Клиентов, указанных в п.п. 2.4. - 2.6. настоящего Положения, только по ниже следующим основаниям:

- обработка персональных данных Туриста необходима для осуществления и выполнения возложенных Федеральным законом № 132-ФЗ от 24.11.1996 года "Об основах туристской деятельности в Российской Федерации" на Индивидуального предпринимателя, как на турагента, функций, полномочий и обязанностей;

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Турист, а также для заключения договора по инициативе Туриста или договора, по которому Турист будет являться выгодоприобретателем или поручителем;

- обработка персональных данных Туриста необходима для осуществления прав и законных интересов Турагента или иных третьих лиц при соблюдении условия, что при этом не нарушаются права и свободы Туриста;

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен самим Туристом либо по его просьбе.

6.2. Турагент вправе поручить обработку персональных данных третьему лицу с согласия Туриста, на основании заключенного с этим третьим лицом договора. В этом случае Турагент должен на договорной основе обязать третье лицо, осуществляющее обработку персональных данных по поручению Турагента, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом "О персональных данных" и настоящим Положением.

6.3. В договоре Турагента с третьим лицом должны быть определены:

- перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных Туриста;

- цели обработки персональных данных Туриста;

- обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;

- требования к защите обрабатываемых персональных данных в соответствии с Законом "О персональных данных".

6.4. Если Турагент поручает обработку персональных данных Туриста третьему лицу, то ответственность перед Туристом за действия указанного лица несет непосредственно Турагент.

6.5. При определении объема и содержания персональных данных Туриста, подлежащих обработке, Турагент обязан руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года "О персональных данных", Федеральным законом № 132-ФЗ от 24.11.1996 года "Об основах туристской деятельности в Российской Федерации", договорными обязательствами, взятыми на себя сторонами по договору между Туристом - Турагентом. Турагент получает персональные данные Туриста только в объеме, необходимом для достижения целей, указанных в договоре с Туристом.

6.6. Заключая с Туристом договор о реализации турпродукта Турагент должен письменно уведомлять Туриста о передаче его персональных данных для обработки туроператору.

6.7. Турагент не имеет права получать и обрабатывать персональные данные Туриста о его судимости, политических, религиозных и иных убеждениях и частной жизни.

6.8. Турагент не должен запрашивать информацию о состоянии здоровья Туриста, за исключением тех сведений, которые относятся к вопросу организации безопасного отдыха для Туриста, либо заключения от имени Туриста договоров страхования.

6.9. Турагент не имеет права собирать и обрабатывать биометрические персональные данные Туриста.

6.10. Турагент получает от Туриста по его инициативе фотографии Туриста для получения въездных виз и ведет их обработку только на бумажных носителях без использования средств автоматизации.

6.11. Фотографии, которые Турагент получает от Туриста, не удовлетворяют требованиям ГОСТ РИСО/МЭК 19794-5-2006, и их следует считать не биометрическими персональными данными Туриста, а "Изображением гражданина". Обработка "Изображений гражданина" должна осуществляться согласно нормам статьи 152.1 ГК РФ.

7. Хранение и уничтожение персональных данных туриста

7.1. Персональные данные Туриста могут храниться, как на бумажных носителях, так и в электронном виде.

7.2. Персональные данные Туриста содержатся в следующих группах документов: письменные заявки Туриста на бронирование туристского продукта; письменные договора с Туристом на реализацию им туристского продукта; приложения к письменным договорам с Туристом на реализацию им туристского продукта; бухгалтерские документы, которыми оформляются сделки между Туристом и Турагентом или Турагентом и Туроператором; страхование жизни и здоровья туриста на время совершения путешествия; получение визы в интересах Туриста; письменные претензии Туристов по качеству предоставленных им туристских услуг; письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по искам Туристов против Турагента либо Турагента против Туриста или Туроператора.

7.3. Персональные данные Туриста на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных шкафах.

7.4. Персональные данные Туриста также хранятся в электронном виде: на машинных носителях персональных данных, в электронных папках и файлах в ПК.

7.5. После достижения цели обработки персональных данных Турагент обязан прекратить обработку персональных данных Туристов и уничтожить их персональные данные, если срок хранения Персональных данных не установлен законодательством Российской Федерации, договором или соглашением.

8. Доступ к персональным данным Туриста

8.1. Право доступа к персональным данным Туриста у Турагента имеют: сам индивидуальный предприниматель; работники индивидуального предпринимателя, допущенные к обработке персональных данных Туриста в соответствии с Перечнем сотрудников Турагента, имеющих доступ к персональным данным Туриста; другие сотрудники Турагента при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения индивидуального предпринимателя; Турист, как субъект персональных данных.

8.2. Перечень сотрудников Турагента, имеющих доступ к персональным данным Туриста, определяется приказом индивидуального предпринимателя.

8.3. Доступ Туриста к своим персональным данным предоставляется при обращении либо при получении запроса Туриста. Турагент обязан в течение десяти рабочих дней с даты получения запроса сообщить Туристу информацию о наличии персональных данных о нем, и при необходимости предоставить возможность ознакомления с ними, либо в течение этого же срока дать мотивированный отказ в предоставлении информации.

8.4. Турагент обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса.

8.5. При передаче персональных данных Туриста Турагент должен соблюдать следующие требования: не сообщать персональные данные Туриста третьей стороне без письменного согласия Туриста, за исключением случаев, установленных федеральным законом; предупредить лиц, получающих персональные данные Туриста, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено; разрешать доступ к персональным данным Туриста только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Туриста, которые необходимы для выполнения конкретных функций.

8.6. Согласия Туриста на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Туриста, а также в случаях, установленных федеральным законом и настоящим Положением.

8.7. Турагент обеспечивает ведение журнала учета выданных персональных данных Туриста, в котором фиксируются сведения о лице, которому передавались персональные данные Туриста, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Туриста

9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Туриста, привлекаются к ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами.

9.2. Моральный вред, причиненный Туристу вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральным законодательством, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных заказчиком (туристом) убытков.

9.3. Турагент несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Туриста. Турагент закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.

9.4. Турагент несет ответственность за соблюдение сотрудниками норм, регламентирующих получение, обработку и защиту персональных данных Туриста.

9.5. Каждый сотрудник Турагента, получающий для работы документ, содержащий персональные данные Туриста, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

9.6. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Туриста, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

9.7. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Клиентов Турагент вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.

9.8. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Туриста, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

10. Заключительные положения

10.1. Настоящее положение вступает в силу с момента его утверждения.

10.2. Агентство обеспечивает неограниченный доступ к настоящему документу.