Политика в отношении обработки персональных данных ООО "Морское агентство группы Посейдон"

1.      Общие положения

1.1.       Политика обработки персональных данных в ООО «Морское агентство группы Посейдон» (далее - Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») и устанавливает цели, основные принципы и правила обработки персональных данных, а также определяет основные меры по обеспечению их безопасности.

1.2.       Настоящая Политика разработана в целях соблюдения в ООО «Морское агентство группы Посейдон» требований законодательства Российской Федерации в области персональных данных, а также обеспечения защиты прав физических лиц при обработке их персональных данных.

1.3.       Положения настоящей Политики обязательны для исполнения работниками
ООО «Морское агентство группы Посейдон», имеющими доступ к персональным данным.

1.4.       Требования настоящей Политики учитываются в отношениях с третьими лицами при необходимости их участия в процессе обработки персональных данных ООО «Морское агентство группы Посейдон», а также в случаях передачи им персональных данных в установленном порядке на основании гражданско-правовых договоров.

2.      Основные понятия и определения

2.1.            В настоящей Политике используются следующие основные понятия:

2.1.1.      автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

2.1.2.      блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);

2.1.3.      информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.1.4.     обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;

2.1.5.     обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.1.6.         оператор – ООО «Морское агентство группы Посейдон», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.1.7.         персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.1.8.         предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.1.9.         распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

2.1.10.     уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3.      Основные права и обязанности оператора и субъекта персональных данных

3.1.            Оператор вправе:

3.1.1.      обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;

3.1.2.      требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации;

3.1.3.     поручать обработку персональных данных другому лицу с согласия субъекта персональных данных;

3.1.4.     предоставлять персональные данные третьим лицам в случаях, предусмотренных действующим законодательством Российской Федерации;

3.1.5.     осуществлять иные права, предусмотренные действующим законодательством Российской Федерации.

3.2.            Оператор обязан:

3.2.1.         предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ч. 7 ст. 14 ФЗ «О персональных данных»;

3.2.2.         разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку в случае, если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными;

3.2.3.         до начала обработки персональных данных, полученных не от субъекта персональных данных, предоставить субъекту персональных данных следующую информацию: наименование либо фамилия, имя, отчество и адрес оператора или его представителя, цель обработки персональных данных и ее правовое основание, перечень персональных данных, предполагаемых пользователей персональных данных, права субъекта персональных данных, а также источник получения персональных данных, за исключением случаев, когда:

- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных;

- обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ФЗ «О персональных данных»;

- оператор осуществляет обработку персональных данных для статистических целей, а также в иных случаях, предусмотренных ст. 18 ФЗ «О персональных данных», если при этом не нарушаются права и законные интересы субъекта персональных данных;

- предоставление субъекту персональных данных сведений, предусмотренных ч. 3 ст. 18 ФЗ «О персональных данных», нарушает права и законные интересы третьих лиц;

3.2.4. исполнять иные обязанности, предусмотренные действующим законодательством Российской Федерации.

3.3. Субъект персональных данных вправе:

3.3.1. получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные ФЗ «О персональных данных»;

3.3.2. требовать уточнения своих персональных данных, их блокирования или уничтожения в случаях, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных;

3.3.3. принимать предусмотренные законом меры по защите своих прав;

3.3.4. обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

3.3.5. защищать свои права и законные интересы, в том числе по возмещению убытков и (или) компенсации морального вреда в судебном порядке;

3.3.6. осуществлять иные права, предусмотренные действующим законодательством Российской Федерации.

3.4. Субъект персональных данных обязан:

3.4.1. сообщать оператору достоверные персональные данные;

3.4.2. своевременно информировать оператора об изменениях своих персональных данных;

3.4.3. исполнять иные обязанности, предусмотренные действующим законодательством Российской Федерации.

4.      Цели сбора персональных данных

4.1.            Обработка персональных данных ООО «Морское агентство группы Посейдон» осуществляется в целях:

4.1.1.     обеспечения соблюдения Конституции Российской Федерации, законодательных
и иных нормативных правовых актов Российской Федерации, а также внутренних документов ООО «Морское агентство группы «Посейдон»;

4.1.2.     заключения и исполнения любых договоров с субъектами персональных данных;

4.1.3.     подбора персонала;

4.1.4.     обеспечения пропускного режима на территорию оператора, обеспечения безопасности работников и сохранности имущества оператора;

4.1.5.     предоставления субъектам персональных данных сведений о сервисах и услугах оператора, а также о проводимых акциях и специальных предложениях;

4.1.6.     проведения акций, опросов, маркетинговых, статистических и иных исследовательских мероприятий;

4.1.7.     осуществления контроля за предоставляемыми услугами и улучшения их качества;

4.1.8.     осуществления иных функций, полномочий и обязанностей, возложенных на оператора действующим законодательством Российской Федерации.

4.2.            Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

5.      Правовые основания обработки персональных данных

5.1. Правовыми основаниями обработки персональных данных для достижения целей, предусмотренных разделом 4 настоящей Политики, являются:

- Конституция Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральный закон от 24 ноября 1996 № 132-ФЗ «Об основах туристской деятельности
в Российской Федерации»;

- Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц
и индивидуальных предпринимателей при осуществлении государственного контроля (надзора)
и муниципального контроля»;

- Постановление Правительства РФ от 18 ноября 2020 № 1853 «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации»;

- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119
«Об утверждении требований к защите персональных данных при их обработке
в информационных системах персональных данных»;

- Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

- устав ООО «Морское агентство группы «Посейдон»;

- договоры, заключаемые между оператором и субъектами персональных данных;

- согласия субъектов персональных данных на обработку персональных данных;

- иные нормативные правовые акты и внутренние документы оператора.

6.         Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

6.1.       Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

6.2.       Оператор обрабатывает персональные данные в объеме, определяемом действующим законодательством Российской Федерации и внутренними документами оператора с учетом целей, предусмотренных разделом 4 настоящей Политики, в том числе: фамилия, имя, отчество, пол, возраст, гражданство, дата и место рождения, паспортные данные, адрес регистрации по месту жительства и адрес фактического проживания, номер телефона, адрес электронной почты, данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации, семейное положение, отношение к воинской обязанности, сведения о трудовом стаже, предыдущих местах работы, сведения о документе, подтверждающем регистрацию в системе индивидуального персонифицированного учета, в том числе в форме электронного документа, либо страховом свидетельстве государственного пенсионного страхования, ИНН, информацию о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности, сведения о доходах, фотографии и видеозаписи, сведения о деловых и иных личных качествах, файлы cookie.

6.3.       К основным категориям субъектов персональных данных, чьи данные обрабатываются оператором, относятся:

- работники, состоящие в трудовых отношениях с оператором, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;

- физические лица, состоящие в договорных и иных гражданско-правовых отношениях
с оператором;

- физические лица, обратившиеся в ООО «Морское агентство группы «Посейдон» через электронные формы, расположенные на официальном сайте оператора;

- уполномоченные представители вышеуказанных категорий субъектов персональных данных.

7.      Порядок и условия обработки персональных данных

7.1.   Обработка персональных данных оператором осуществляется следующими способами:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

7.2.       Перечень действий, совершаемых оператором с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, а также любые иные действия в соответствии
с действующим законодательством Российской Федерации.

7.3.       Оператор вправе передавать персональные данные органам дознания и следствия, а также иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

7.4.       Обработка персональных данных осуществляется оператором при условии получения согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации, когда обработка персональных данных может осуществляться без такого согласия.

7.5.       Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных.

7.6.       Оператор прекращает обработку персональных данных при достижении целей обработки персональных данных, истечения предусмотренного действующим законодательством срока их хранения, истечения срока действия согласия на обработку персональных данных или его отзыва субъектом персональных данных, а также в случаях выявления неправомерной обработки персональных данных.

7.7.       Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе посредством:

- назначения лица, ответственного за организацию обработки персональных данных;

- утверждения политики и иных внутренних документов, определяющих порядок обработки персональных данных, а также устанавливающих процедуры, направленные на предотвращение и выявление нарушений действующего законодательства Российской Федерации о персональных данных, устранение последствий таких нарушений;

- ознакомления работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства Российской Федерации
о персональных данных, в том числе с требованиями к защите персональных данных, внутренними документами, касающимися вопросов обработки персональных данных, и (или) обучением указанных работников;

- обеспечения физической безопасности помещений и средств обработки персональных данных посредством пропускного режима и видеонаблюдения;

- установки и (или) запуска только разрешенного к использованию программного обеспечения;

- осуществления внутреннего контроля за соблюдением установленного порядка и эффективностью мер по обеспечению безопасности персональных данных;

- иных мер, предусмотренных действующим законодательством Российской Федерации
и внутренними документами оператора.

8.             Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

8.1.            В случае выявления неправомерной обработки персональных данных или неточных персональных данных при обращении субъекта персональных данных или его представителя оператор осуществляет блокирование персональных данных с момента такого обращения на период проверки.

8.2.            В случае подтверждения факта неточности персональных данных оператор уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих неточность персональных данных.

8.3.            В случае выявления неправомерной обработки персональных данных оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.

8.4.            Оператор уничтожает персональные данные в следующих случаях:

- при достижении целей обработки персональных данных, при утрате необходимости в достижении этих целей или истечении предусмотренного действующим законодательством срока хранения персональных данных – в течение 30 (тридцати) дней с даты наступления соответствующего события;

- представления субъектом персональных данных (его представителем) сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 (семи) рабочих дней со дня представления таких сведений;

- выявления неправомерной обработки персональных данных, если невозможно обеспечить ее правомерность, - в течение 10 (десяти) рабочих дней с даты выявления неправомерной обработки;

- при отзыве субъектом персональных данных согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки персональных данных, - в течение 30 (тридцати) дней с даты поступления указанного отзыва;

- при обращении субъекта персональных данных с требованием о прекращении обработки персональных данных - в срок не более 10 (десяти) рабочих дней со дня получения такого требования.

8.5. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение 10 (десяти) рабочих дней с даты получения запроса субъекта персональных данных или его представителя.

8.6. Указанный в п. 8.5 настоящей Политики запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

Подпись