Краснодарский край,
ст. Должанская
+7 (938) 521-26-12
ст. Должанская
+7 (938) 521-26-12
Номер реестровой записи:
С232024000267 в едином реестре объектов классификации в сфере туристской индустрии
1.1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана в соответствии с пп. 2 п.1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и определяет политику ООО «Серфприют» (далее по тексту – Оператор, Общество) в отношении действий (операций) по обработке персональных данных и защите персональных данных, а также основные принципы, условия, способы и цели в отношении обработки информации о Субъектах персональных данных, которую Оператор и/или его партнеры могут обрабатывать при осуществлении своей хозяйственной деятельности.
1.2. Сфера действия
1.2.1. Действие настоящей Политики распространяется на все процессы Оператора, в рамках которых осуществляется Обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
1.2.2. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными Оператором к Обработке персональных данных, и лицами, участвующими в организации процессов Обработки персональных данных и обеспечения безопасности Персональных данных.
1.2.3. Для реализации целей настоящей Политики Оператор может разрабатывать и утверждать соответствующие документы.
1.2.4. Использование услуг Оператора подтверждает согласие Субъекта персональных данных с настоящей Политикой и указанными в ней условиями Обработки персональных данных.
1.2. Законодательная и нормативно-правовая база
2.1. Правовым основанием обработки персональных данных Оператором являются:
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма»;
- Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
- Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
- Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- Постановление Правительства РФ от 18 ноября 2020 г. N 1853 "Об утверждении Правил предоставления гостиничных услуг в Российской Федерации";
- иные нормативные правовые акты органов государственной власти Российской Федерации;
- Устав ООО «Серфприют»;
- согласия Субъектов персональных данных на обработку персональных данных;
- локальные нормативные акты Оператора, регулирующие вопросы Обработки персональных данных;
- заключаемые Оператором сделки, гражданско-правовые и иные договоры и соглашения.
Информация - сведения (сообщения, данные) независимо от формы их представления;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Субъект персональных данных - физическое лицо, к которому прямо или относятся Персональные данные;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Конфиденциальность персональных данных - обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством.
- отбор кандидатов на работу, ведение кадрового резерва соискателей;
- исполнение требований законодательства Российской Федерации (в частности: Налоговый кодекс, Гражданский кодекс, Трудовой кодекс, Федеральные законы: «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма», «Об организации страхового дела в Российской Федерации», «Об основах туристской деятельности в Российской Федерации», «Об обществах с ограниченной ответственностью», «О бухгалтерском учете» и др.);
- предоставление сведений в контролирующие и судебные органы, СОДФУ;
- обеспечение внутренних трудовых, корпоративных и производственных процессов;
- разработка и подготовка протоколов органов управления и комитетов, созданных в Обществе;
- создание внутреннего справочника работников;
- кадровый учет и начисление заработной платы работникам Общества;
- предоставление социальной помощи;
- организация пропускного режима;
- обеспечение личной безопасности – обеспечение безопасных условий деятельности, отвечающих требованиям действующего законодательства, требованиям по предупреждению и локализации аварийных ситуаций, правилам электробезопасности, правилам пожарной безопасности, требованиям по охране труда;
- учет рабочего времени;
- обеспечение сохранности имущества;
- заключение, сопровождение и расторжение договоров страхования, в том числе при помощи посредников;
- выполнения обязательств Оператора по гражданско-правовым договорам и иным сделкам;
- организации операционной деятельности Оператора и иных процессов, в которых участвует Оператор, обеспечения функционирования принадлежащей Оператору инфраструктуры;
- организация пользования Интернет и Интранет-ресурсами Оператора;
- подготовки доверенностей и писем от имени Оператора;
- защиты прав и законных интересов Оператора и его работников в судах, органах по разрешению споров, а также органах административной юрисдикции;
- оказания услуг физическим и юридическим лицам;
- обработки жалоб/сообщений посетителей и третьих лиц (обратная связь);
- сбора и анализа статистических данных и показателей Оператора;
- бронирование номеров и помещений для отдыха и проведения мероприятий на базе отдыха;
- реализации иных целей, в т.ч. предусмотренных заключаемыми Оператором договорами, соглашениями и другими сделками.
- работники Оператора;
- представители работников Оператора;
- родственники работников Оператора;
- кандидаты, рассматриваемые Оператором с целью заключения трудовых договоров;
- работники контрагентов и третьих лиц;
- посетители сайтов, мобильных приложений Оператора;
- физические лица, заключившие гражданско-правовые сделки с Оператором;
- представители/работники клиентов и контрагентов Оператора;
- физические лица в цепочке собственников/участников контрагентов Оператора;
- физические лица, состоявшие ранее в трудовых отношениях с Оператором;
- потенциальные контрагенты (физические лица) Оператора, учредители/участники/акционеры/представители (физические лица) потенциальных контрагентов Оператора;
- адвокаты, нотариусы, осуществляющие взаимодействие с Оператором;
- авторы письменных и иных обращений в адрес Оператора;
- иные Субъекты персональных данных (для обеспечения реализации целей Обработки, указанных в Разделе III).
4.2. Перечень, категории и объем Персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации, локальными нормативными актами Оператора и подготавливаемыми на их основании документами отдельно для каждого процесса, связанного с Обработкой персональных данных, с учетом целей, указанных в Разделе III.
- фамилия, имя, отчество;
- фотографическое изображение;
- пол;
- сведения о документе, удостоверяющем личность (серия; номер; дата выдачи; наименование органа, выдавшего документ; код подразделения), данные миграционной карты, вида на жительство;
- номер страхового свидетельства государственного пенсионного страхования;
- идентификационный номер налогоплательщика;
- дата, месяц и год, место рождения;
- гражданство, национальность;
- адрес регистрации;
- адрес проживания;
- контактный телефон;
- адрес электронной почты;
- сведения паспорта технического средства;
- сведения водительского удостоверения;
- сведения об образовании;
- сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу;
- сведения о трудовой деятельности;
- сведения о повышении квалификации и переподготовке;
- семейное положение;
- сведения о ближайших родственниках;
- сведения, касающиеся состояния здоровья, в том числе об отсутствии у гражданина заболевания, препятствующего его работе в Обществе;
- данные о регистрации физического лица в качестве индивидуального предпринимателя;
- сведения о наличии или отсутствии судимости;
- сведения об оформленных допусках к государственной тайне;
- номер банковского счета, банковской карты;
- наименование компании, подразделение, должность;
- сведения о пользовательском устройстве;
- сведения о доходах;
- сведения об имуществе;
- номер транспортного средства;
- для иностранных граждан данные визы и миграционной карты;
- общедоступные.
6.1. Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Общества в области обработки персональных данных;
6.2. Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;
6.3. Назначает лицо, ответственное за организацию обработки персональных данных в Обществе.
6.4. Издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Обществе.
6.5. Осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Общества в области обработки персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
6.6. Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации.
6.7. Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации.
6.8. Совершает иные действия, предусмотренные законодательством Российской Федерации в области обработки персональных данных.
7.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом "О персональных данных".
7.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации. Такое согласие может быть получено в любой форме, позволяющей подтвердить факт его получения.
7.4. Без согласия субъекта персональных данных Общество не передает третьим лицам и не распространяет его персональные данные, если иное не предусмотрено законодательством Российской Федерации.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Общество обязано обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
7.5. Доступ к обрабатываемым в Обществе персональным данным разрешается только работникам Общества, занимающими должности, включенные на основании приказа Общества в перечень должностей структурных подразделений Общества, при замещении которых осуществляется обработка персональных данных.
Лицо, осуществляющее Обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила Обработки персональных данных и несет ответственность перед Оператором.
Оператор несет ответственность перед Субъектом персональных данных за действия уполномоченного лица, которому Оператор поручил Обработку персональных данных.
7.6. В целях внутреннего информационного обеспечения деятельности ООО «Серфприют» могут создаваться внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
7.7. Обработка персональных данных Обществом ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
7.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7.9. При осуществлении хранения персональных данных Общество обязано использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона "О персональных данных".
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
7.10. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Кроме того, Общество вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
7.11. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных.
7.12. Актуализация, исправление, удаление и уничтожение персональных данных.
7.12.1. При достижении целей обработки Персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению.
7.12.2. Основанием для уничтожения персональных данных является:
- достижение цели обработки персональных данных;
- утрата необходимости в достижении цели обработки персональных данных;
- отзыв субъектом персональных данных согласия на обработку своих персональных данных, за исключением случаев, когда обработка указанных персональных данных является обязательной в соответствии с законодательством Российской Федерации или договором
7.12.3. В случае подтверждения факта неточности Персональных данных Персональные данные подлежат их актуализации, а в случае неправомерности их получения и обработки – прекращению и дальнейшему уничтожению.
7.12.4. Согласия субъекта персональных данных на обработку его персональных данных получается на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и/или действующим законодательством РФ.
7.13. Порядок и условия обработки биометрических персональных данных
7.13.1. К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
7.13.2. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, связанных с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
7.13.3. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных пунктом 7.13.2 настоящей Политики. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
7.13.4. Обработка биометрических персональных данных осуществляется оператором в соответствии с требованиями к защите биометрических персональных данных, установленными в соответствии со статьей 19 Закона о персональных данных.
7.13.5. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
7.13.6. Под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность.
7.13.7. Оператор утверждает порядок передачи материальных носителей уполномоченным лицам.
7.13.8. Материальный носитель должен использоваться в течение срока, установленного оператором, осуществившим запись биометрических персональных данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя.
7.13.9. Оператор обязан:
- осуществлять учет количества экземпляров материальных носителей;
- осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.
7.13.10. Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать:
- доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц;
- применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;
- проверку наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой персональных данных.
7.13.11. При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.
8.2. Обработка персональных данных в Обществе осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
9.2. К основным методам и способам обеспечения безопасности Персональных данных относятся:
- назначение Оператором, лица, ответственного за организацию Обработки персональных данных;
- издание Оператором, документов, определяющих политику оператора в отношении обработки персональных данных (Политика), локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований (в т.ч. Положения об обработке и защите персональных данных), а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений (в т.ч. Регламента управления инцидентами безопасности).
9.3. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на Оператора не предусмотренные законодательством Российской Федерации полномочия и обязанности;
9.4. Применение правовых, организационных и технических мер по обеспечению безопасности Персональных данных в соответствии действующим законодательством, в том числе:
- применением организационных и технических мер по обеспечению безопасности Персональных данных при обработке персональных данных в информационных системах персональных данных, необходимых для выполнения требований к защите Персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- учетом машинных носителей Персональных данных;
- обнаружением фактов несанкционированного доступа к Персональным данным и принятием мер к предотвращению несанкционированного доступа;
- восстановлением Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к Персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с Персональными данными в Информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности Персональных данных и уровня защищенности информационных систем персональных данных.
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных действующему законодательству, требованиям к защите Персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
- ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о Персональных данных, в том числе требованиями к защите Персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
9.5. Обеспечение неограниченного доступа к документу, определяющему политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите Персональных данных. Опубликование в соответствующих информационно-телекоммуникационных сетях (в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети "Интернет") документа, определяющего политику Оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите Персональных данных, а также обеспечение возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
9.6. Оператор вправе принимать иные меры необходимые для защиты Персональных данных в соответствии с действующим законодательством и локальными нормативными актами Оператора.
10.2. Внутренний контроль за соблюдением работниками Общества законодательства Российской Федерации, локальных нормативных актов Общества в области обработки персональных данных, в том числе требований к защите персональных данных, осуществляет лицо, ответственное за организацию обработки персональных данных.
10.3. Работники Общества несут персональную ответственность за соблюдение требований законодательства Российской Федерации, локальных нормативных актов Общества в области обработки персональных данных, в том числе требований к защите персональных данных.
С232024000267 в едином реестре объектов классификации в сфере туристской индустрии
Политика обработки персональных данных
I. ОБЩИЕ ПОЛОЖЕНИЯ
1. Назначение документа1.1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана в соответствии с пп. 2 п.1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и определяет политику ООО «Серфприют» (далее по тексту – Оператор, Общество) в отношении действий (операций) по обработке персональных данных и защите персональных данных, а также основные принципы, условия, способы и цели в отношении обработки информации о Субъектах персональных данных, которую Оператор и/или его партнеры могут обрабатывать при осуществлении своей хозяйственной деятельности.
1.2. Сфера действия
1.2.1. Действие настоящей Политики распространяется на все процессы Оператора, в рамках которых осуществляется Обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
1.2.2. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными Оператором к Обработке персональных данных, и лицами, участвующими в организации процессов Обработки персональных данных и обеспечения безопасности Персональных данных.
1.2.3. Для реализации целей настоящей Политики Оператор может разрабатывать и утверждать соответствующие документы.
1.2.4. Использование услуг Оператора подтверждает согласие Субъекта персональных данных с настоящей Политикой и указанными в ней условиями Обработки персональных данных.
1.2. Законодательная и нормативно-правовая база
2.1. Правовым основанием обработки персональных данных Оператором являются:
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма»;
- Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
- Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
- Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- Постановление Правительства РФ от 18 ноября 2020 г. N 1853 "Об утверждении Правил предоставления гостиничных услуг в Российской Федерации";
- иные нормативные правовые акты органов государственной власти Российской Федерации;
- Устав ООО «Серфприют»;
- согласия Субъектов персональных данных на обработку персональных данных;
- локальные нормативные акты Оператора, регулирующие вопросы Обработки персональных данных;
- заключаемые Оператором сделки, гражданско-правовые и иные договоры и соглашения.
II. Основные термины, понятия и определения
В настоящей Политике используются следующие основные термины, понятия и определения:Информация - сведения (сообщения, данные) независимо от формы их представления;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Субъект персональных данных - физическое лицо, к которому прямо или относятся Персональные данные;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Конфиденциальность персональных данных - обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством.
III. Цели обработки персональных данных
3.1. В Обществе определены следующие цели обработки персональных данных:- отбор кандидатов на работу, ведение кадрового резерва соискателей;
- исполнение требований законодательства Российской Федерации (в частности: Налоговый кодекс, Гражданский кодекс, Трудовой кодекс, Федеральные законы: «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма», «Об организации страхового дела в Российской Федерации», «Об основах туристской деятельности в Российской Федерации», «Об обществах с ограниченной ответственностью», «О бухгалтерском учете» и др.);
- предоставление сведений в контролирующие и судебные органы, СОДФУ;
- обеспечение внутренних трудовых, корпоративных и производственных процессов;
- разработка и подготовка протоколов органов управления и комитетов, созданных в Обществе;
- создание внутреннего справочника работников;
- кадровый учет и начисление заработной платы работникам Общества;
- предоставление социальной помощи;
- организация пропускного режима;
- обеспечение личной безопасности – обеспечение безопасных условий деятельности, отвечающих требованиям действующего законодательства, требованиям по предупреждению и локализации аварийных ситуаций, правилам электробезопасности, правилам пожарной безопасности, требованиям по охране труда;
- учет рабочего времени;
- обеспечение сохранности имущества;
- заключение, сопровождение и расторжение договоров страхования, в том числе при помощи посредников;
- выполнения обязательств Оператора по гражданско-правовым договорам и иным сделкам;
- организации операционной деятельности Оператора и иных процессов, в которых участвует Оператор, обеспечения функционирования принадлежащей Оператору инфраструктуры;
- организация пользования Интернет и Интранет-ресурсами Оператора;
- подготовки доверенностей и писем от имени Оператора;
- защиты прав и законных интересов Оператора и его работников в судах, органах по разрешению споров, а также органах административной юрисдикции;
- оказания услуг физическим и юридическим лицам;
- обработки жалоб/сообщений посетителей и третьих лиц (обратная связь);
- сбора и анализа статистических данных и показателей Оператора;
- бронирование номеров и помещений для отдыха и проведения мероприятий на базе отдыха;
- реализации иных целей, в т.ч. предусмотренных заключаемыми Оператором договорами, соглашениями и другими сделками.
IV. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператором производиться Обработка персональных данных следующих категорий Субъектов персональных данных:- работники Оператора;
- представители работников Оператора;
- родственники работников Оператора;
- кандидаты, рассматриваемые Оператором с целью заключения трудовых договоров;
- работники контрагентов и третьих лиц;
- посетители сайтов, мобильных приложений Оператора;
- физические лица, заключившие гражданско-правовые сделки с Оператором;
- представители/работники клиентов и контрагентов Оператора;
- физические лица в цепочке собственников/участников контрагентов Оператора;
- физические лица, состоявшие ранее в трудовых отношениях с Оператором;
- потенциальные контрагенты (физические лица) Оператора, учредители/участники/акционеры/представители (физические лица) потенциальных контрагентов Оператора;
- адвокаты, нотариусы, осуществляющие взаимодействие с Оператором;
- авторы письменных и иных обращений в адрес Оператора;
- иные Субъекты персональных данных (для обеспечения реализации целей Обработки, указанных в Разделе III).
4.2. Перечень, категории и объем Персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации, локальными нормативными актами Оператора и подготавливаемыми на их основании документами отдельно для каждого процесса, связанного с Обработкой персональных данных, с учетом целей, указанных в Разделе III.
V. Перечень персональных данных, обрабатываемых Оператором
6.1. Оператор обрабатывает следующие персональные данные:- фамилия, имя, отчество;
- фотографическое изображение;
- пол;
- сведения о документе, удостоверяющем личность (серия; номер; дата выдачи; наименование органа, выдавшего документ; код подразделения), данные миграционной карты, вида на жительство;
- номер страхового свидетельства государственного пенсионного страхования;
- идентификационный номер налогоплательщика;
- дата, месяц и год, место рождения;
- гражданство, национальность;
- адрес регистрации;
- адрес проживания;
- контактный телефон;
- адрес электронной почты;
- сведения паспорта технического средства;
- сведения водительского удостоверения;
- сведения об образовании;
- сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу;
- сведения о трудовой деятельности;
- сведения о повышении квалификации и переподготовке;
- семейное положение;
- сведения о ближайших родственниках;
- сведения, касающиеся состояния здоровья, в том числе об отсутствии у гражданина заболевания, препятствующего его работе в Обществе;
- данные о регистрации физического лица в качестве индивидуального предпринимателя;
- сведения о наличии или отсутствии судимости;
- сведения об оформленных допусках к государственной тайне;
- номер банковского счета, банковской карты;
- наименование компании, подразделение, должность;
- сведения о пользовательском устройстве;
- сведения о доходах;
- сведения об имуществе;
- номер транспортного средства;
- для иностранных граждан данные визы и миграционной карты;
- общедоступные.
VI. Функции Оператора при осуществлении обработки персональных данных
Оператор при осуществлении обработки персональных данных выполняет следующие функции:6.1. Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Общества в области обработки персональных данных;
6.2. Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;
6.3. Назначает лицо, ответственное за организацию обработки персональных данных в Обществе.
6.4. Издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Обществе.
6.5. Осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Общества в области обработки персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
6.6. Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации.
6.7. Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации.
6.8. Совершает иные действия, предусмотренные законодательством Российской Федерации в области обработки персональных данных.
VII. Порядок и условия обработки персональных данных
7.1. Общество осуществляет обработку персональных данных - операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.7.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом "О персональных данных".
7.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации. Такое согласие может быть получено в любой форме, позволяющей подтвердить факт его получения.
7.4. Без согласия субъекта персональных данных Общество не передает третьим лицам и не распространяет его персональные данные, если иное не предусмотрено законодательством Российской Федерации.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Общество обязано обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
7.5. Доступ к обрабатываемым в Обществе персональным данным разрешается только работникам Общества, занимающими должности, включенные на основании приказа Общества в перечень должностей структурных подразделений Общества, при замещении которых осуществляется обработка персональных данных.
Лицо, осуществляющее Обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила Обработки персональных данных и несет ответственность перед Оператором.
Оператор несет ответственность перед Субъектом персональных данных за действия уполномоченного лица, которому Оператор поручил Обработку персональных данных.
7.6. В целях внутреннего информационного обеспечения деятельности ООО «Серфприют» могут создаваться внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
7.7. Обработка персональных данных Обществом ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
7.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7.9. При осуществлении хранения персональных данных Общество обязано использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона "О персональных данных".
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
7.10. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Кроме того, Общество вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
7.11. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных.
7.12. Актуализация, исправление, удаление и уничтожение персональных данных.
7.12.1. При достижении целей обработки Персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению.
7.12.2. Основанием для уничтожения персональных данных является:
- достижение цели обработки персональных данных;
- утрата необходимости в достижении цели обработки персональных данных;
- отзыв субъектом персональных данных согласия на обработку своих персональных данных, за исключением случаев, когда обработка указанных персональных данных является обязательной в соответствии с законодательством Российской Федерации или договором
7.12.3. В случае подтверждения факта неточности Персональных данных Персональные данные подлежат их актуализации, а в случае неправомерности их получения и обработки – прекращению и дальнейшему уничтожению.
7.12.4. Согласия субъекта персональных данных на обработку его персональных данных получается на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и/или действующим законодательством РФ.
7.13. Порядок и условия обработки биометрических персональных данных
7.13.1. К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
7.13.2. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, связанных с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
7.13.3. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных пунктом 7.13.2 настоящей Политики. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
7.13.4. Обработка биометрических персональных данных осуществляется оператором в соответствии с требованиями к защите биометрических персональных данных, установленными в соответствии со статьей 19 Закона о персональных данных.
7.13.5. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
7.13.6. Под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность.
7.13.7. Оператор утверждает порядок передачи материальных носителей уполномоченным лицам.
7.13.8. Материальный носитель должен использоваться в течение срока, установленного оператором, осуществившим запись биометрических персональных данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя.
7.13.9. Оператор обязан:
- осуществлять учет количества экземпляров материальных носителей;
- осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.
7.13.10. Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать:
- доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц;
- применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;
- проверку наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой персональных данных.
7.13.11. При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.
VIII. Перечень действий с персональными данными и способы их обработки
8.1. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.8.2. Обработка персональных данных в Обществе осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
IX. Меры, принимаемые Оператором для обеспечения выполнения обязанностей оператора при обработке персональных данных
9.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных Субъектов персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.9.2. К основным методам и способам обеспечения безопасности Персональных данных относятся:
- назначение Оператором, лица, ответственного за организацию Обработки персональных данных;
- издание Оператором, документов, определяющих политику оператора в отношении обработки персональных данных (Политика), локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований (в т.ч. Положения об обработке и защите персональных данных), а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений (в т.ч. Регламента управления инцидентами безопасности).
9.3. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на Оператора не предусмотренные законодательством Российской Федерации полномочия и обязанности;
9.4. Применение правовых, организационных и технических мер по обеспечению безопасности Персональных данных в соответствии действующим законодательством, в том числе:
- применением организационных и технических мер по обеспечению безопасности Персональных данных при обработке персональных данных в информационных системах персональных данных, необходимых для выполнения требований к защите Персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- учетом машинных носителей Персональных данных;
- обнаружением фактов несанкционированного доступа к Персональным данным и принятием мер к предотвращению несанкционированного доступа;
- восстановлением Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к Персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с Персональными данными в Информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности Персональных данных и уровня защищенности информационных систем персональных данных.
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных действующему законодательству, требованиям к защите Персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
- ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о Персональных данных, в том числе требованиями к защите Персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
9.5. Обеспечение неограниченного доступа к документу, определяющему политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите Персональных данных. Опубликование в соответствующих информационно-телекоммуникационных сетях (в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети "Интернет") документа, определяющего политику Оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите Персональных данных, а также обеспечение возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
9.6. Оператор вправе принимать иные меры необходимые для защиты Персональных данных в соответствии с действующим законодательством и локальными нормативными актами Оператора.
Х. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Общества в области обработки персональных данных, в том числе требований к защите персональных данных
10.1. Контроль за соблюдением работниками Общества законодательства Российской Федерации, локальных нормативных актов Общества в области обработки персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в Обществе законодательству Российской Федерации, локальным нормативным актам Общества в области обработки персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области обработки персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.10.2. Внутренний контроль за соблюдением работниками Общества законодательства Российской Федерации, локальных нормативных актов Общества в области обработки персональных данных, в том числе требований к защите персональных данных, осуществляет лицо, ответственное за организацию обработки персональных данных.
10.3. Работники Общества несут персональную ответственность за соблюдение требований законодательства Российской Федерации, локальных нормативных актов Общества в области обработки персональных данных, в том числе требований к защите персональных данных.
