УТВЕРЖДЕНО:
Приказом №1 от 03.03.2025г.
ИП Коновалова Е.П.
Агентство туризма «АВАНТАЖ»
https://avantazhtours.ru/
1.1. Настоящее Положение о защите, хранении, обработке и передаче персональных данных (далее - Положение) Агентства туризма «АВАНТАЖ» (далее – агентство) регулирует отношения, связанные с обработкой персональных данных, включающие в себя производимые индивидуальным предпринимателем Коноваловой Еленой Петровной (далее - Турагент) действия по получению, обработке, хранению, передаче персональных данных заказчиков, туристов туристской услуги (далее – Туристов) заключившие с Турагентом договор о реализации туристского продукта, формируемого туроператором, стороной которого является субъект персональных данных, в целях защиты персональных данных от несанкционированного доступа, а также неправомерного их использования и утраты.
1.2. Настоящим Положением устанавливается порядок обработки персональных данных Туристов, для которых Турагент осуществляет бронирование и реализацию туристского продукта, сформированного туроператором (туроператор - юридическое лицо, состоящее в Едином федеральном реестре туроператоров, с которым Турагент заключил договор о реализации туристского продукта, и который формирует и предоставляет Турагенту туристский продукт, в интересах исполнения Турагентом обязательств по договору с Туристом).
1.3. Цель данного Положения - обеспечение требований защиты прав Туристов при обработке их персональных данных Турагентом.
1.4. Персональные данные не могут быть использованы Турагентом в целях причинения имущественного и морального вреда Туристам. Турагент обязан осуществлять обработку персональных данных только на законной и справедливой основе.
1.5. Обработка персональных данных Туристов должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с Туристами целей. Обработке подлежат только те персональные данные Туристов, и только в том объеме, которые отвечают целям их обработки, определенным в договоре с Туристом или законодательством Российской Федерации.
1.6. Обрабатываемые персональные данные Клиентов подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации, договором или соглашением.
1.7. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и иными нормативно-правовыми актами в области обработки и защиты персональных данных.
1.8. Настоящее Положение и изменения к нему утверждаются Индивидуальным предпринимателем и вводятся приказом.
2.1. В целях настоящего положения под персональными данными понимается любая информация, прямо или косвенно относящаяся к Туристу и необходимая Турагенту в связи с исполнением им договорных обязательств перед Туристом.
2.2. Турист - физические лица (субъекты персональных данных), заключившие с Турагентом договор на реализацию туристского продукта, формируемого туроператором. В данных правоотношениях с Туристами Турагент по терминологии Федерального закона № 152-ФЗ от 27 июля 2006 года "О персональных данных" (далее по тексту - Закон "О персональных данных") выступает в качестве оператора персональных данных; физические лица (субъекты персональных данных), от имени которых заказчик (который приобретал туристский продукт, в том числе для лиц, интересы которых он представляет, при условии, что заказчик предоставил оператору - Турагенту основания правомерности его действий в чужом интересе) туристского продукта заключил с Турагентом договор на реализацию туристского продукта, который формируется туроператором. В правоотношениях, указанных в настоящем пункте Положения, туроператор по терминологии Закона "О персональных данных" выступает в качестве третьего лица, которому оператор персональных данных - Турагент на договорной основе поручил обработку персональных данных Туристов с их согласия и на основании договора, заключенного между Турагентом и Туристом или заказчиком.
2.3. Обработка Персональных данных осуществляется с согласия субъектов Персональных данных на обработку их Персональных данных.
Согласие на обработку персональных данных осуществляется в любой позволяющей подтвердить факт его получения форме.
Согласие на обработку Персональных данных, разрешенных субъектом Персональных данных для распространения, оформляется отдельно от иных согласий субъекта Персональных данных на обработку его Персональных данных.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
2.4. При заключении договора о реализации туристской услуги, Турист предоставляет агентству следующие данные:
2.5. При заключении договора о реализации туристской услуги, в целях сбора сведений для консульских служб посольства страны планируемого посещения при необходимости получения в интересах заказчика (туриста) визы в посольстве страны планируемого пребывания, Турист предоставляет агентству следующие данные:
2.6. При заключении договора о реализации туристской услуги, в целях сбора сведений, которые могут быть запрошены страховыми компаниями в интересах заключения договора, выгодоприобретателем по которому является заказчик Турист, могут включать:
2.7. Запрещается требовать от Туриста, документы, помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
2.8. К персональным данным относятся:
2.9. Указанные сведения и документы являются конфиденциальными. Агентство как оператор персональных данных не вправе распространять персональные данные без согласия работника, если иное не предусмотрено федеральным законом.
3.1. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.2. В целях обеспечения прав и свобод человека и гражданина Турагент при обработке персональных данных Туриста обязан соблюдать следующие общие требования:
3.3. Защита персональных данных Туриста от неправомерного их использования или утраты обеспечивается Турагентом за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации, иными федеральными законами и настоящим положением.
3.4. Защите подлежат следующие объекты персональные данные Туриста, если только с них на законном основании не снят режим конфиденциальности: документы, содержащие персональные данные Туриста; бумажные носители, содержащие персональные данные Туриста; информация, содержащая персональные данные Туриста, размещенная на электронных носителях.
3.5. Турагент в интересах обеспечения выполнения обязанностей, возложенных на него Законом "О персональных данных" и другими нормативными актами, регламентирующими деятельность юридических лиц по обработке персональных данных, принимает меры, предусмотренные настоящим Положением.
3.6. При наличии сотрудников индивидуальный предприниматель обеспечивает: ознакомление сотрудников под роспись с настоящим Положением; истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Туриста и соблюдении правил их обработки; ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных в Турфирме.
3.7. Защита информационных систем Индивидуального предпринимателя в которых обрабатываются персональные данные Туриста, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
3.8. Доступ к персональным данным Туриста имеют сотрудники Турагента, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей, утверждаемого приказом индивидуального предпринимателя.
3.9. Процедура оформления доступа к персональным данным Туриста включает в себя: ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Туриста, с данными актами также производится ознакомление под роспись; истребование с сотрудника (за исключением руководителя) письменного обязательства о соблюдении конфиденциальности персональных данных Туриста и соблюдении правил их обработки.
3.10. Сотрудник Турагента, имеющий доступ к персональным данным Туриста в связи с исполнением трудовых обязанностей: обеспечивает хранение информации, содержащей персональные данные Туриста, исключающее доступ к ним третьих лиц; в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Туриста; при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Туриста лицу, на которое приказом Индивидуального предпринимателя будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Туриста, передаются другому сотруднику, имеющему доступ к персональным данным Туриста по указанию индивидуального предпринимателя.
3.11. При увольнении сотрудника, имеющего доступ к персональным данным Туриста, документы и иные носители, содержащие персональные данные Туриста, передаются другому сотруднику, имеющему доступ к персональным данным Туриста по указанию индивидуального предпринимателя.
3.12. Допуск к персональным данным Туриста других сотрудников Турагента, не имеющих надлежащим образом оформленного доступа, запрещается.
3.13. Документы, содержащие персональные данные Туриста, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Туриста, помещаются в шкафы, обеспечивающие защиту от несанкционированного доступа.
3.14. Защита доступа к электронным носителям, содержащим персональные данные Туриста, обеспечивается, в том числе: организацией контроля доступа в помещения информационной системы посторонних лиц; использованием лицензированных антивирусных программ, не допускающих несанкционированный доступ к персональным данным; разграничением прав доступа с использованием учетной записи; установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных; учетом машинных носителей персональных данных; обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер; контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.
3.15. Копировать и делать выписки персональных данных Туриста разрешается исключительно в служебных целях.
3.16. Ответы на письменные запросы других организаций и учреждений о персональных данных Туриста даются только с письменного согласия самого Туриста, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Турагента, и в том объеме, который позволяет не разглашать излишний объем персональных данных Туриста.
3.17. Туристы и их представители должны быть ознакомлены с документами агентства, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.18. Туристы не должны отказываться от своих прав на сохранение и защиту тайны.
3.19. Турагент при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.20. Турагент осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных, требованиям к защите персональных данных, политике агентства в отношении обработки персональных данных, настоящему положению.
3.21. Турагент обеспечивает безопасность персональных данных Туриста следующими способами:
3.22. Турагент обеспечивает защиту персональных данных с учетом определенного типа угроз безопасности и уровня защищенности персональных данных.
4.1. При передаче персональных данных Туриста Турагент должен соблюдать следующие требования:
4.2. Все сведения о передаче персональных данных Туриста учитываются для контроля правомерности использования данной информации лицами, ее получившими.
4.3. Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством Российской Федерации, допускается исключительно с согласия Туриста на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.
4.4. Передача информации, содержащей сведения о персональных данных Туриста, по телефону, в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
4.5. Передача (распространение, предоставление, доступ) персональных данных, разрешенных Туристом для распространения, должна быть прекращена в любое время по его требованию. Указанные в данном требовании персональные данные могут обрабатываться только агентством и лицами уполномоченными на обработку.
5.1. В целях обеспечения защиты персональных данных, хранящихся в агентстве, Турист имеет право на:
5.2. Турист обязан передавать Турагенту достаточные, достоверные, документированные персональные данные, полный состав которых установлен в договорах на реализацию туристского продукта, заключенных между Туристом и Турагентом.
5.3. Турист должен без неоправданной задержки сообщать Турагенту об изменении своих персональных данных.
6.1. Турагент осуществляет обработку персональных данных Клиентов, указанных в п.п. 2.4. - 2.6. настоящего Положения, только по ниже следующим основаниям:
6.2. Турагент вправе поручить обработку персональных данных третьему лицу с согласия Туриста, на основании заключенного с этим третьим лицом договора. В этом случае Турагент должен на договорной основе обязать третье лицо, осуществляющее обработку персональных данных по поручению Турагента, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом "О персональных данных" и настоящим Положением.
6.3. В договоре Турагента с третьим лицом должны быть определены:
6.4. Если Турагент поручает обработку персональных данных Туриста третьему лицу, то ответственность перед Туристом за действия указанного лица несет непосредственно Турагент.
6.5. При определении объема и содержания персональных данных Туриста, подлежащих обработке, Турагент обязан руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года "О персональных данных", Федеральным законом № 132-ФЗ от 24.11.1996 года "Об основах туристской деятельности в Российской Федерации", договорными обязательствами, взятыми на себя сторонами по договору между Туристом - Турагентом. Турагент получает персональные данные Туриста только в объеме, необходимом для достижения целей, указанных в договоре с Туристом.
6.6. Заключая с Туристом договор о реализации турпродукта Турагент должен письменно уведомлять Туриста о передаче его персональных данных для обработки туроператору.
6.7. Турагент не имеет права получать и обрабатывать персональные данные Туриста о его судимости, политических, религиозных и иных убеждениях и частной жизни.
6.8. Турагент не должен запрашивать информацию о состоянии здоровья Туриста, за исключением тех сведений, которые относятся к вопросу организации безопасного отдыха для Туриста, либо заключения от имени Туриста договоров страхования.
6.9. Турагент не имеет права собирать и обрабатывать биометрические персональные данные Туриста.
6.10. Турагент получает от Туриста по его инициативе фотографии Туриста для получения въездных виз и ведет их обработку только на бумажных носителях без использования средств автоматизации.
6.11. Фотографии, которые Турагент получает от Туриста, не удовлетворяют требованиям ГОСТ РИСО/МЭК 19794-5-2006, и их следует считать не биометрическими персональными данными Туриста, а "Изображением гражданина". Обработка "Изображений гражданина" должна осуществляться согласно нормам статьи 152.1 ГК РФ.
7.1. Персональные данные Туриста могут храниться, как на бумажных носителях, так и в электронном виде.
7.2. Персональные данные Туриста содержатся в следующих группах документов: письменные заявки Туриста на бронирование туристского продукта; письменные договора с Туристом на реализацию им туристского продукта; приложения к письменным договорам с Туристом на реализацию им туристского продукта; бухгалтерские документы, которыми оформляются сделки между Туристом и Турагентом или Турагентом и Туроператором; страхование жизни и здоровья туриста на время совершения путешествия; получение визы в интересах Туриста; письменные претензии Туристов по качеству предоставленных им туристских услуг; письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по искам Туристов против Турагента либо Турагента против Туриста или Туроператора.
7.3. Персональные данные Туриста на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных шкафах.
7.4. Персональные данные Туриста также хранятся в электронном виде: на машинных носителях персональных данных, в электронных папках и файлах в ПК.
7.5. После достижения цели обработки персональных данных Турагент обязан прекратить обработку персональных данных Туристов и уничтожить их персональные данные, если срок хранения Персональных данных не установлен законодательством Российской Федерации, договором или соглашением.
8.1. Право доступа к персональным данным Туриста у Турагента имеют: сам индивидуальный предприниматель; работники индивидуального предпринимателя, допущенные к обработке персональных данных Туриста в соответствии с Перечнем сотрудников Турагента, имеющих доступ к персональным данным Туриста; другие сотрудники Турагента при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения индивидуального предпринимателя; Турист, как субъект персональных данных.
8.2. Перечень сотрудников Турагента, имеющих доступ к персональным данным Туриста, определяется приказом индивидуального предпринимателя.
8.3. Доступ Туриста к своим персональным данным предоставляется при обращении либо при получении запроса Туриста. Турагент обязан в течение десяти рабочих дней с даты получения запроса сообщить Туристу информацию о наличии персональных данных о нем, и при необходимости предоставить возможность ознакомления с ними, либо в течение этого же срока дать мотивированный отказ в предоставлении информации.
8.4. Турагент обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса.
8.5. При передаче персональных данных Туриста Турагент должен соблюдать следующие требования: не сообщать персональные данные Туриста третьей стороне без письменного согласия Туриста, за исключением случаев, установленных федеральным законом; предупредить лиц, получающих персональные данные Туриста, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено; разрешать доступ к персональным данным Туриста только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Туриста, которые необходимы для выполнения конкретных функций.
8.6. Согласия Туриста на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Туриста, а также в случаях, установленных федеральным законом и настоящим Положением.
8.7. Турагент обеспечивает ведение журнала учета выданных персональных данных Туриста, в котором фиксируются сведения о лице, которому передавались персональные данные Туриста, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.
9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Туриста, привлекаются к ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами.
9.2. Моральный вред, причиненный Туристу вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральным законодательством, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных заказчиком (туристом) убытков.
9.3. Турагент несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Туриста. Турагент закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.
9.4. Турагент несет ответственность за соблюдение сотрудниками норм, регламентирующих получение, обработку и защиту персональных данных Туриста.
9.5. Каждый сотрудник Турагента, получающий для работы документ, содержащий персональные данные Туриста, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
9.6. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Туриста, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
9.7. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Клиентов Турагент вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
9.8. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Туриста, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
10.1. Настоящее положение вступает в силу с момента его утверждения.
10.2. Агентство обеспечивает неограниченный доступ к настоящему документу.
