Решением директора

ООО «Туристическая компания «Лагуна Тур»

от 07.11.20 11г.

Статья 1. 0бщие положения
1. Настоящим Положением устанавливается порядок обработки персональных данных Клиентов, для которых Общество с ограниченной ответственностью «Туристическая кампания «Лагуна-тур» (далее по тексту - Турагент) осуществляет бронирование и реализацию туристического продукта.
2. Клиентам Турагента являются:
- физические лица (субъекты персональных данных), заключившие с Турагентом письменный договор на реализацию туристского продукта, который формируется Туроператором;
2.1. Туроператор - туристическая организация , состоящая в Едином федеральном реестре туроператоров , с которой Турагент заключил письменный договор о реализации туристского продукта, и которая формирует и предоставляет Турагенту туристский продукт, в интересах исполнения Турагентом обязательство по договору Турагент- Клиент.
3. Цель данного Положения - обеспечение требований защиты прав граждан при обработке персональных данных.
4. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничения прав граждан Российской Федерации на о'&юве использования информации об их социальном происхождения, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и наказывается в соответствии с законодательством.
5. Настоящее Положение и изменения к нему утверждаются Генеральным директором Турагента и вводятся приказом по основной деятельности ООО «Туристическая компания «Лагуна-тур». Все сотрудники Турагента должны быть ознакомлены под подпись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками Турагента, имеющими доступ к персональным данным Клиента.

 
Статья 2. Понятие и состав персональных данных Клиентов.
1. Под персональными данными Клиентов понимается информация , необходимая Турагенту в связи с исполнением им договорных обязательств, ф 2. Состав персональных данных Клиента, обработка которых осуществляется Турагентом:
- фамилия, имя, отчество;
- год, месяц, день рождения;
- пол;
- адрес регистрации;
- номер паспорта, удостоверяющего личность гражданина Российской Федерации, сведения о дате выдачи и выдавшем паспорт органе;
- номер заграничного паспорта и срок его действия;
- фамилия и имя, как они указаны в загранпаспорте.
3. При необходимости получения в интересах Клиента визы в посольстве страны планируемого пребывания, состав персональных данных, указанный в п.2, настоящей статьи, может быть дополнен сведениями, которые запрашиваются консульскими службами посольства страны планируемого посещения для рассмотрения вопроса о выдаче визы.

 
Статья 3. Конфиденциальность персональных данных
1. Сведения, перечисленные в статье 2. Положения, содержащие сведения о персональных данных Клиентов, являются конфиденциальными. Турагент обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.
2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, либо при наличии письменного согласия Клиента на то, что его персональные данные являются общедоступными персональными данными.

 
Статья 4. Права и обязанности Турагента
1. Турагент имеет право без согласия Клиента осуществлять обработку его персональных данных в следующих случаях:
1) если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных - Клиент (см.пп.2.п.2.ст.6. Федерального закона РФ № 152-ФЗ от 27.07.2006 года «О персональных данных» - далее по тексту Закон «О персональных данных»);
2) когда обработка персональных данных Клиента осуществляется для статистических или иных научных целей при условии обязательного обезличивания его персональных данных (см.пп.3.п.2.ст.6. Закона «О персональных данных»);
3) если обработка персональных данных Клиента необходима для защиты жизни, здоровья или иных жизненно важных интересов Клиента, если получение его согласия невозможно (см.пп.4.п.2.ст.6. Закона «О персональных данных»).
2. Если договор на реализацию туристского продукта с Турагентом заключается Клиентом, который в том числе на законных основаниях представляет интересы третьих лиц, по Турагент обязан до начала обработки персональных данных этих третьих лиц получить их письменные согласия на обработку их персональных данных. Форма письменного согласия Клиента приведена в Приложении №3 к настоящему Положению.
Согласие на обработку персональных данных по основаниям данного пункта может быть отозвано Клиентом. Обязанность предоставить доказательство получения согласия Клиента на обработку его персональных данных по основаниям данного пункта возлагается на Турагента.
3. В целях обеспечения прав и свобод человека и гражданина Турагент и его представители при обработке персональных данных Клиента обязаны соблюдать следующие общие требования:
3.1. При определении объема и содержания персональных данных Клиента, подлежащих обработке, Турагент должен руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», Федеральным законом № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации», договорными обязательствами, взятыми на себя сторонами по договору между Клиентом и Турагентом. Турагент получает персональные данные Клиентов только в объеме, необходимом для достижения целей, указанных в договоре с Клиентом. 
3.2. Турагент не имеет права получать и обрабатывать персональные данные Клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни.
3.3. Турагент не имеет права получать и обрабатывать персональные данные Клиента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.4. Турагент не должен запрашивать информацию о состоянии здоровья Клиента, за исключением тех сведений, которые относятся к вопросу организации безопасного отдыха для Клиента.
4. Турагент должен обеспечить защиту персональных данных Клиента от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.

 
Статья 5. Права и обязанности Клиента
1. Клиент обязан передавать Турагенту или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен настоящим Положением и договорными обязательствами, взятыми на себя сторонами по договору между Клиентом - Турагентом.
2. Клиент должен без неоправданной задержки сообщать Турагенту об изменении своих персональных данных.
3. Клиент имеет право на получение сведений о Турагенте и Туроператоре, о месте их нахождения, о наличии у Турагента и Туроператора' персональных данных, относящихся к Клиенту, а также на ознакомление с такими персональными данными.
Клиент вправе требовать от Турагента уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.1. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3.2. Доступ к своим персональным данным предоставляется Клиенту или его законному представителю Турагентом при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Турагентом, а также цель такой обработки;
2) способы обработки персональных данных, применяемые Турагентом;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для Клиента может повлечь за собой обработка его персональных данных.
5. Клиент имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.
6. Клиент вправе обжаловать действия или бездействие Турагента в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7. Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

 
Статья 6. Порядок получения персональных данных
1. Турагент получает персональные данные Клиента:
1.1. Непосредственно от субъекта персональных данных - Клиента, на основании заключения с Клиентом письменного договора о реализации туристского продукта и письменного согласия на обработку персональных данных.
1.1.1. Заключая договор с Турагентом, Клиент и все третьи лица, интересы которых на законном основании представляет Клиент в рамках договора о реализации туристского продукта, предоставляют письменное согласие на то, что они согласны, чтобы в период действия договора о реализации туристского продукта, их персональные данные считались бы общедоступными персональными данными. Форма письменного согласия указанна в Приложении №3 к настоящему Положению.
2. Турагент до начала обработки персональных данных обязан предоставить Клиенту письменную информацию о наименовании и адресе Туроператора, правовом основании и цели обработки Туроператором персональных данных Клиента, о предполагаемых пользователях персональных данных и установленных настоящим Законом «О персональных данных» правах Клиента.
2.1. Исполнение условий п.п.2, необязательно, если Клиент предоставил Турагенту письменное согласие на то, чтобы на период действия договора Турагент - Клиент считать его персональные данные - общедоступными персональными данными. 

Статья 7. Обработка персональных данных
1. Обработка персональных данных Клиента осуществляется Турагентом исключительно для достижения целей, определенных письменным договором между Клиентом - Турагентом, в частности для оказания услуг Клиенту по подбору, формированию и предоставлению ему туристского продукта.
2. Обработка персональных данных Турагентом в интересе Клиента заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов.
3. Обработка персональных данных Клиентов ведется методом смешанный (в том числе автоматизированной) обработки.
4. К обработке персональных данных Клиента могут иметь доступ только сотрудники Турагента, допущенные к работе с персональными данными Клиента.
5. В случае отзыва Клиентом согласия на обработку своих персональных данных Турагент незамедлительно прекращает обработку персональных данных Клиента. Турагент уничтожает персональные данные Клиента в следующие сроки:
- хранящиеся на электронных носителях в течение трех рабочих дней со дня окончания срока исковой давности по договору Клиент-Турагент или Клиент-Субагент;
- хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока исковой давности по договору Клиент-Турагент или Клиент-Субагент;
- хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
Об уничтожении персональных данных Турагент обязан уведомить Клиента, если иное не установлено законодательством РФ либо договором с Клиентом.

 
Статья 8. Передача персональных данных
1. Передача персональных данных Клиента осуществляется Турагентом исключительно для достижения целей, определенных письменными договорами между Клиентом - Турагентом, в частности для формирования туристского продукта, заказанного Клиентом.
2. Передача персональных данных Клиента третьим лицам осуществляется Турагентом только на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Клиента и безопасности персональных данных при их обработке.
Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.
3. Передача персональных данных третьим лицам осуществляется с использованием сети общего пользования Интернет и на бумажных носителях.
4. Турагент осуществляет трансграничную передачу персональных данных Клиента, в том числе на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, только в исполнение договора Клиент - Турагент, либо при наличии соответствующего письменного согласия Клиента.

 
Статья 9. Хранение персональных данных
1. Персональные данные Клиентов могут храниться, как на бумажных носителях, так и в электронном виде.
2. Персональные данные Клиентов содержатся в следующих группах документов:
- письменные заявки на бронирование туристского продукта для Клиентов;
- письменные договора с Клиентами на реализацию им туристского продукта;
- приложения к письменным договорам на реализацию туристского продукта с Туроператорами;
- письменные претензии Клиентов по качеству предоставленных туристских услуг;
- письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по искам Клиентов против Турагента либо Турагента против Туроператора.
3. Персональные данные Клиентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных железных шкафах.
3.1. Ключи от железных шкафов хранятся лично у менеджеров, допущенных к обработке персональных данных Клиентов, а их копии - у директора Турагента.
4. Персональные данные Клиентов также хранятся в электронном виде: в локальной компьютерной сети Турагента, в электронных папках и файлах в ПК генерального директора и менеджеров, допущенных к обработке персональных данных Клиентов.
5. Персональные данные, содержащиеся на электронных носителях Информации, уничтожаются в течение трех рабочих дней со дня окончания срока исковой давности по договору Клиент-Турагент.
6. Персональные данные Клиентов, содержащиеся на бумажных носителях, уничтожаются в следующие сроки:
- хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока исковой давности по договору Клиент-Турагент;
- хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству
РФ, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
7. Об уничтожении персональных данных Турагент обязан уведомить Клиента, если иное не установлено законодательством РФ либо договором с Клиентом.

 
Статья 10. Доступ к персональным данным Клиента
1. Право доступа к персональным данным Клиента у Турагента имеют:
- Директор Турагента;
- Старшие менеджеры Турагента, осуществляющие непосредственную работу с Клиентами.
- Менеджеры Турагента, осуществляющие непосредственную работу с Клиентами.
- Другие сотрудники Турагента при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения Генерального директора;
- Руководитель технического отдела Турагента;
- Клиент, как субъект персональных данных.
2. Перечень сотрудников Турагента, имеющих доступ к персональным данным Клиентов, определяется приказом директора Турагента.
3. Доступ Клиента к своим персональным данным предоставляется при обращении либо при получении запроса Клиента. Турагент обязан сообщить Клиенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.
4. При передаче персональных данных Клиента Турагент должен соблюдать следующие требования:
- не сообщать персональные данные Клиента третьей стороне без письменного согласия Клиента, за исключением случаев, установленных федеральным законой1;
- не сообщать персональные данные Клиента в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные Клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
- разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.
5. Согласия Клиента на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Клиента, и когда третьи лица оказывают услуги Турагенту на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
6. Турагент обеспечивает ведение журнала учета выданных персональных данных Клиентов, в котором фиксируются сведения о лице, которому передавались персональные данные Клиентов, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

 
Статья 11. Защита персональных данных Клиентов
1. Защите подлежат следующие персональные данные Клиентов, если только с них на законном основании не снят режим конфиденциальности:
- документы, содержащие персональные данные Клиента, перечисленные в п.2.ст.9. настоящего Положения;
- информация, содержащая персональные данные Клиентов, размещенная на электронных носителях.
2. Турагент обязан при обработке персональных данных Клиентов принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
3. Общую организацию защиты персональных данных Клиентов осуществляет директор Турагента.
4. Защита персональных данных Клиентов, хранящихся в электронных-баз.^ данных Турагента, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системным администратором.
5. Доступ к персональным данным Клиента имеют сотрудники Турагента, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей (Приложение 2).
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Генерального директора, доступ к персональным данным Клиента может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным Клиента, и которым они необходимы в связи с исполнением трудовых обязанностей.
6. Все сотрудники, связанные с получением, обработкой и защитой персональных данных Клиентов, обязаны подписать обязательство о неразглашении персональных данных Клиентов (Приложение 1).
Процедура оформления доступа к персональным данным Клиента включает в себя:
- Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.
- Истребование с сотрудника (за исключением директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки, подготовленного по установленной форме (Приложение 1).
7. Сотрудник Турагента, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей:
- Обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц.
- В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов.
- При уходе в отпуск, во время служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов „дицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Генерального директора Турагента.
7.1. При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию директора.
8. Допуск к персональным данным Клиента других сотрудников Турагента, не имеющих надлежащим образом оформленного доступа, запрещается.
9. Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.
11. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:
- Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть ООО «Санаторно-курортный центр «Лагуна-тур».
- Разграничением прав доступа с использованием учетной записи.
- Двух ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются Руководителем технического отдела Турагента и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.
11.1. Несанкционированный вход в ПК, в которых содержатся персональные данные Клиентов, блокируется паролем, который устанавливается Руководителем технического отдела.
11.2. Все электронные папки и файлы, содержащие персональные данные Клиентов, защищаются паролем, который устанавливается ответственным за ПК сотрудником Турагента и сообщается Руководителю технического отдела.
11.3. Изменение паролей Руководителем технического отдела осуществляется не реже 1 раза в 3 месяца.
12. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения директора.
13. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Турагента, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.

 
Статья 12. Уведомление об обработке персональных данных Клиентов
1. В связи с тем, что:
1) Турагент осуществляет обработку персональных данных Клиентов, полученных Турагентом в связи с заключением договора с Клиентом, персональные данные Клиентов распространяются и предоставляются третьим лицам с согласия субъекта персональных данных и используются Турагентом исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
либо
2) Турагент осуществляет обработку персональных данных Клиентов, которые с письменного согласия Клиента являются общедоступными персональными данными;
то Турагент вправе осуществлять обработку персональных данных Клиентов без уведомления уполномоченного органа по защите прав субъектов персональных данных.

 
Статья 13. Ответственность за разглашение информации, содержащей персональные данные Клиента
1. Турагент несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение,
обработку и защиту персональных данных Клиента. Турагент закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.
2. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные Клиента, несет персональную ответственность за данное разрешение.
3. Каждый сотрудник Турагента, получающий для работы документ, содержащий персональные данные Клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
5. За неисполнение или ненадлежащее исполнение сотрудником по ‘егб вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Клиентов Турагент вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
6. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Клиентов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
7. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
Настоящее Положение разработано в соответствии с Конституцией РФ, Федеральным законом РФ № 149-ФЗ от 27.07.2006 г. «Об информации, информационных
технологиях и о защите информации», Федеральным законом РФ № 152-ФЗ от 27.07.2006 г. «О персональный данных», Указом Президента РФ №188 от 06.03.1997 г. «Об утверждении перечня сведений
конфиденциального характера».