Политика конфиденциальности и обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая Политика   обработки   персональных   данных (далее – политика) разработана  в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006. № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и иными нормативными актами в области обработки и защиты персональных данных, действующими на территории Российской Федерации.

Политика определяет порядок сбора, обработки, хранения персональных данных и меры по обеспечению безопасности персональных данных в ООО «СТЕЛЛА» (далее по тексту –  Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных. Политика является общедоступной и размещена на официальном сайте Оператора https://stellakarelia.ru (далее – сайт).

В политике используются следующие основные термины:

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

Турист – физическое лицо, потребитель туристских услуг, субъект персональных данных, имеющий доступ к сайту, посредством сети Интернет;

Туристские услуги – комплекс услуг, в которые могут сходить: услуги по размещению услуги по перевозке, трансфер, экскурсионные услуги, медицинское страхование и иные услуги, включая сопутствующие дополнительные услуги, перечень которых определяется Оператором;

Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Все сотрудники Оператора, в обязанности которых входит работа с персональными данными, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных, соблюдают режим конфиденциальности и защиты информации. Должностные лица Оператора, в обязанности которых входит обработка запросов и обращений субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом. Работники Оператора обязуются не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных Оператором осуществляется на основе следующих принципов:

—   законности и справедливой основы;

—    недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;

—   обработки только тех персональных данных, которые отвечают целям их обработки;

—    соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;

—   недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;

—     обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

—   уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.

3. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1.     Оператор собирает и хранит только те персональные данные, которые необходимы для предоставления туристских услуг.

3.2.   Персональные данные являются конфиденциальной и охраняемой информацией в соответствии с законодательством.

3.3.      Оператором обрабатываются следующие категории персональных данных потребителей туристских услуг:

—   Фамилия, имя, отчество;

—   Дата и место рождения;

—   Адрес регистрации и проживания;

—   Паспортные данные (серия, номер паспорта, кем и когда выдан);

—   Контактный телефон;

—   Адрес электронной почты;

—   Сведения о гражданстве.

3.4.     Все персональные данные Оператор получает непосредственно от субъекта персональных данных – туриста и/или их законных представителей, юридических лиц.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.    Целью политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.

4.2.   Персональные данные обрабатываются в целях исполнения договора по предоставлению услуг       по проживанию или временному размещению, оказанию дополнительных туристских услуг туристу.  Оператор собирает данные только в объеме, необходимом для достижения названной цели.

4.3.     В целях надлежащего исполнения своих обязанностей Оператор обрабатывает персональные данные туристов, необходимые для надлежащего исполнения договорных обязательств.

5. ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.   К обработке персональных данных туристов могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными и подписавшие Соглашение о неразглашении персональных данных.

5.2.     Обработка персональных данных Оператором допускается при наличии согласия на их обработку от туриста, которое осуществляется посредством активации ссылки «Даю согласие на обработку моих персональных данных» и/или при подписании договора.

5.3.        Обработка персональных данных в интересах туристов заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа к персональным данным.

5.4. Обработка персональных данных осуществляется следующими способами:

—       без использования средств вычислительной техники (неавтоматизированная обработка персональных данных);

—   автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

5.5.    Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

5.6.   Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

5.7.    Персональные данные туриста никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.

5.8.   Персональные данные туристов на бумажных носителях хранятся в архивных папках в течение

3-х лет с защитой от несанкционированного доступа, далее подлежат уничтожению, исключая возможность последующего восстановления. Персональные данные туристов в электронном виде хранятся в локальной компьютерной сети, в электронных папках и файлах в персональных компьютерах сотрудников, допущенных к обработке персональных данных.

5.9.    В случае предоставления субъектом персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных, Оператор обязан внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных. В случае подтверждения факта неточности персональных данных персональные данные подлежат актуализации Оператором, а при неправомерности их обработки такая обработка должна быть прекращена.

5.10.    При достижении целей обработки персональных данных, а также в случае истечения срока согласия на обработку персональных данных или отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению.

5.11.   Оператор вправе предоставлять или передавать персональные данные туриста и иные данные туриста без согласия третьим лицам в следующих случаях:

—  если раскрытие этой информации требуется для соблюдения закона, выполнения судебного акта;

—    государственным органам, в том числе органам дознания и следствия, и органам местного самоуправления по их мотивированному запросу;

—   партнерам Оператора c целью выполнения договорных обязательств перед туристом;

—   в иных случаях, прямо предусмотренных действующим законодательством РФ;

—   для защиты законных прав туриста и Оператора.

5.12.    Оператор не осуществляет трансграничную передачу персональных данных на территорию иностранных государств. В случае необходимости, такая передача может осуществляться только при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

6. ПРАВА И ОБЯЗАННОСТИ

6.1.   Турист имеет право на:

—   доступ к информации о самом себе, в том числе содержащей информацию подтверждения факта обработки персональных данных, а также цель такой обработки;

—   доступ к информации о способах обработки персональных данных, применяемые Оператором;

—    сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

—    перечень обрабатываемых персональных данных и источник их получения, сроки обработки персональных данных, в том числе сроки их хранения;

—   сведения о том, какие юридические последствия для туриста может повлечь за собой обработка его персональных данных;

—   определение форм и способов обработки его персональных данных;

—   ограничение способов и форм обработки персональных данных;

—   запрет на распространение персональных данных без его согласия;

—   изменение информации;

—     вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

—  в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора: info@stellakarelia.ru с пометкой «Отзыв согласия на обработку персональных данных»;

—    обжалование неправомерных действий или бездействий по обработке персональных данных и соответствующую компенсацию в судебном порядке;

—   иные права, предусмотренные законодательством Российской Федерации.

6.2. Сотрудники Оператора имеют право проверить точность и актуальность предоставленных персональных данных.

6.3.   Оператор обязан:

—     осуществлять обработку персональных данных туристов исключительно в целях оказания законных услуг;

—    получать персональные данные туриста непосредственно у него самого. Если персональные данные возможно получить только у третьей стороны (законные представители, юридические лица), то турист должен быть уведомлен об этом заранее. Оператор должен сообщить туристу о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа туриста дать согласие на их получение;

—    не получать и не обрабатывать персональные данные туриста о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом;

—    предоставлять доступ к своим персональным данным туристу или его законному представителю при обращении либо при получении запроса, содержащего номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. Сведения о наличии персональных данных должны быть предоставлены туристу в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

—   ограничивать право туриста на доступ к своим персональным данным, если:

• обработка персональных   данных,  в   том   числе   персональных   данных,   полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

• обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

• предоставление персональных данных нарушает конституционные права и свободы других лиц.

—       обеспечить хранение и защиту персональных данных туриста от неправомерного их использования или утраты.

—   в случае выявления недостоверных персональных данных или неправомерных действий с ними, при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

—   в случае подтверждения факта недостоверности персональных данных Оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, обязан уточнить персональные данные и снять их блокирование;

—    в случае выявления неправомерных действий с персональными данными Оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные.

7.  КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Сведения о персональных данных туриста являются конфиденциальными.

7.2. Оператор обеспечивает конфиденциальность персональных данных и обязан не допускать их распространения третьим лицам без согласия туриста либо наличия иного законного основания.

7.3. Лица, имеющие доступ к персональным данным, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.

7.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются на все носители информации, как на бумажные, так и на автоматизированные.

7.5. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.

8.  ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1.     Оператор несет ответственность за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.

8.2.    Каждый сотрудник, получающий для работы документ, содержащий персональные данные туриста, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

8.3.     Любое лицо может обратиться к сотруднику Оператора с жалобой на нарушение данной политики. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в трехдневный срок со дня поступления, установленный законодательством Российской Федерации.

8.4.     Сотрудники Оператора обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб туристов, а также содействовать исполнению требований компетентных органов.

8.5.  Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных туристов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8.6.     Перечень лиц, ответственных за реализацию мер по сохранности персональных данных, исключающих несанкционированный к ним доступ, определяется приказом директора.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1.     Оператор оставляет за собой право при необходимости обновлять данную политику без предварительного уведомления. Иные права и обязанности Оператора, как оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.

9.2.  Турист может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты: info@stellakarelia.ru.

9.3.    В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.

9.4.    Актуальная версия политики в свободном доступе расположена в сети Интернет по адресу: https://stellakarelia.ru/p/3.

10.  КОНТАКТНАЯ ИНФОРМАЦИЯ

ООО «СТЕЛЛА» 

Реестровый номер туроператора: МВТ 010968

185003, Республика Карелия, г. Сортавала, ул. Садовая, д.1, помещ. 19

ИНН: 1005080700  

КПП: 100501001 

ОГРН: 1021000906981

ОКПО: 13501850 

Расчетный счет: 40702810625000003288 

Банк: КАРЕЛЬСКОЕ ОТДЕЛЕНИЕ N8628 ПАО СБЕРБАНК 

БИК: 048602673

Корр. счет: 30101810600000000673 

e-mail: info@stellakarelia.ru 

тел.: +7 (800) 550-41-29