Политика обработки персональных данных и реализуемых требований к их защите

  • Главная
  • Политика обработки персональных данных и реализуемых требований к их защите

ООО «ЖАССО ТУР»

Юридический адрес: 670031, Республика Бурятия, г. Улан-Удэ, ул. Бабушкина, д. 164

1. Общие положения

1.1. Настоящая Политика (далее – Политика) является внутренним документом Оператора – ООО «ЖАССО ТУР» (далее – Оператор) – и определяет организационные, правовые и технические меры по обеспечению безопасности персональных данных (ПД) при их обработке.

1.2. Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПД), Постановления Правительства РФ от 01.11.2012 № 1119, Приказа ФСТЭК России № 21.

1.3. Действие Политики распространяется на всех работников Оператора, имеющих доступ к ПД, а также на всех субъектов ПД, чьи данные обрабатываются Оператором.

2. Цели и правовые основания обработки ПД

2.1. Цели обработки ПД в ООО «ЖАССО ТУР»:

- обеспечение соблюдения законов и иных нормативных правовых актов;

- ведение кадрового и бухгалтерского учёта;

- предоставление услуг (туристские продукты, консультации) физическим и юридическим лицам;

- обработка обращений пользователей сайта https://jassotour.ru;

- маркетинг и анализ поведения посетителей сайта (через Яндекс.Метрику).

2.2. Правовые основания: Конституция РФ, Трудовой кодекс РФ, Налоговый кодекс РФ, Федеральный закон № 152-ФЗ, договоры с субъектами ПД, согласия на обработку ПД.

3. Категории субъектов и перечень обрабатываемых ПД

3.1. Оператор обрабатывает ПД следующих категорий субъектов:

- работники Оператора (штатные и внештатные);

- клиенты (физические лица, заказывающие услуги);

- контрагенты (физические лица – индивидуальные предприниматели);

- пользователи сайта (посетители, заполняющие формы обратной связи, регистрации, подписки).

3.2. Перечень ПД:

- ФИО, дата рождения, паспортные данные (для работников – ИНН, СНИЛС);

- контактные данные (телефон, e-mail);

- иные данные, необходимые для исполнения договора или обработки запроса.

3.3. Специальные категории ПД (раса, религия, здоровье и т.п.) не обрабатываются.

4. Условия и способы обработки ПД

4.1. Обработка включает в себя все действия, предусмотренные ст. 3 Закона о ПД: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

4.2. Способы обработки: автоматизированная, неавтоматизированная, смешанная, с передачей по сетям связи.

4.3. Обработка ПД осуществляется с согласия субъекта, за исключением случаев, установленных законом (исполнение договора, обязательные требования и др.).

5. Поручение обработки третьим лицам

5.1. Оператор вправе поручить обработку ПД другому лицу при условии заключения договора поручения, содержащего обязанность соблюдать принципы обработки и конфиденциальность.

5.2. Перечень лиц, которым поручена обработка ПД:

- ООО «Яндекс» (119021, г. Москва, ул. Льва Толстого, д. 16) – сервис «Яндекс.Метрика» (обработка технических данных о посещениях сайта);

- ООО «Битрикс» (или иной хостинг-провайдер) – размещение и техническая поддержка сайта.

6. Сроки обработки и уничтожения ПД

6.1. Общий срок хранения ПД – не более 5 лет с момента последнего взаимодействия с субъектом, если иной срок не установлен договором или законом.

6.2. Уничтожение ПД производится в следующих случаях и сроки:

- достижение цели обработки – в течение 30 дней;

- отзыв субъектом согласия (при отсутствии иных законных оснований для обработки) – в течение 30 дней с даты получения отзыва;

- выявление неправомерной обработки – в течение 3 рабочих дней (блокирование), затем в течение 10 рабочих дней – уничтожение (при подтверждении неправомерности);

- истечение срока хранения документов по законодательству об архивном деле – в течение 30 дней.

6.3. Уничтожение ПД осуществляется комиссией, назначенной приказом генерального директора, с составлением акта об уничтожении. Способы уничтожения: механическое повреждение носителя, затирание информации (для электронных носителей), удаление из баз данных с подтверждением невозможности восстановления.

7. Использование Яндекс.Метрики и cookie

7.1. На сайте Оператора используется сервис «Яндекс.Метрика» для сбора статистических данных. Правовое основание – согласие пользователя, выраженное через cookie-баннер.

7.2. Оператор обеспечивает информирование пользователей о сборе данных через всплывающее уведомление с кнопкой «Принимаю» и ссылкой на Политику конфиденциальности.

7.3. На сайте размещена ссылка на инструмент отключения Яндекс.Метрики: https://yandex.ru/support/metrika/general/opt-out.html.

8. Меры по защите ПД

Оператор принимает следующие меры:

- назначение ответственного за обработку ПД (приказом);

- проведение внутреннего контроля соответствия обработки требованиям Закона о ПД;

- разработка и актуализация локальных актов (настоящая Политика, Порядок уничтожения ПД, Перечень мер по защите ПД, Согласие на обработку);

- ознакомление работников с законодательством и внутренними документами;

- определение угроз безопасности ПД при обработке в информационных системах;

- применение сертифицированных средств защиты информации (при необходимости);

- ограничение доступа к ПД, ведение журналов доступа;

- резервное копирование и антивирусная защита.

9. Ответственность

Работники Оператора, виновные в нарушении правил обработки и защиты ПД, привлекаются к дисциплинарной, административной, гражданско-правовой или уголовной ответственности в соответствии с законодательством РФ.

10. Заключительные положения

10.1. Политика вступает в силу с даты утверждения генеральным директором. Изменения вносятся приказом директора и публикуются в свободном доступе (для части, касающейся прав субъектов ПД).

10.2. Контроль исполнения Политики возлагается на ответственное лицо, назначенное приказом.