Положение о политике в отношении обработки и защиты персональных данных

1. Общие положения
1.1 Настоящее Положение (далее - Положение) разработано в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон) и является основополагающим внутренним регулятивным документом Общества с ограниченной ответственностью "Кий Авиа Крым" (далее - Общество), определяющим ключевые направления его деятельности в области политики обработки и защиты персональных данных (далее - ПД), оператором которых является Общество.
1.2 Положение разработано в целях реализации требований законодательства в области обработки и защиты ПД и направлено на обеспечение защиты прав и свобод человека и гражданина при обработке его ПД в Обществе, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.3 Положение распространяется на отношения по обработке и защите ПД, полученных Обществом как до, так и после утверждения Положения, за исключением случаев, когда по причинам правового, организационного и иного характера правила Положения не могут быть распространены на отношения по обработке и защите ПД, полученных до его утверждения.
1.4 Общество во исполнение требований Закона и для обеспечения неограниченного доступа к сведениям о реализуемых в Обществе мероприятиях по защите персональных данных, и к документам, определяющим политику Общества в отношении обработки персональных данных, размещает текст настоящего Положения на своем официальном сайте: www.kiyaviakrym.com

 

2. Основания обработки и состав персональных данных, обрабатываемых в Обществе
2.1 Обработка ПД в Обществе осуществляется в связи с выполнением Обществом уставной деятельности, определяемых: Федеральным законом от 24.11.1996 N 132-ФЗ "Об основах туристской деятельности в Российской Федерации", Воздушным кодексом Российской Федерации от 19.03.1997 N 60-ФЗ, Общими правилами воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Министерства транспорта России от 28.06.2007 N 82 "Об утверждении Федеральных авиационных правил», иными нормативными правовыми актами Российской Федерации в сфере гражданской авиации и туристической деятельности.
Кроме того, в Обществе осуществляется обработка ПД в сфере трудовых и иных, непосредственно связанных с ними отношениях, в которых Общество выступает в качестве работодателя (гл. 14 Трудового кодекса Российской Федерации), а также в связи с реализацией Обществом своих прав и обязанностей как юридического лица.
2.2 Обработка ПД осуществляется в рамках деятельности по заключению договоров воздушной перевозки пассажира и иных договоров перевозки (автомобильным, железнодорожным, др. видов транспорта), когда требуется обработка персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора перевозки.
При обработке ПД, в целях реализации положений частей 2 и 3 статьи 105 Воздушного кодекса Российской Федерации, Общество действует от имени авиаперевозчиков (уполномоченный агент), деятельность которого предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил "Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей» в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах. Вышеуказанная деятельность предусмотрена законодательством Российской Федерации и соответствующими международными договорами в сфере гражданской авиации, в том числе для целей обеспечения авиационной безопасности.
2.3 Обработка ПД осуществляется в рамках предоставления консультаций, бронирования и реализации туристского продукта, сопутствующих услуг в целях исполнения договора, стороной которого является субъект персональных данных - Клиент, а также для заключения договоров по инициативе субъекта персональных данных.
При этом персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются Обществом исключительно для исполнения указанного договора и заключения договоров с субъектом ПД.
Если договор с Обществом заключается Клиентом, который в том числе на законных основаниях представляет интересы третьих лиц, то Общество обязано до начала обработки персональных данных этих третьих лиц получить их письменные согласия на обработку их персональных данных.
При определении объема и содержания персональных данных Клиента, подлежащих обработке, Общество руководствуется Федеральным законом «О персональных данных» от 27 июля 2006 г. N 152-ФЗ, Федеральным законом «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 г. № 132-ФЗ, договорными обязательствами, взятыми на себя сторонами по договору между Клиентом и Обществом. Общество получает персональные данные Клиентов только в объеме, необходимом для достижения целей, указанных в договоре с Клиентом.
2.4 Обработка ПД осуществляется в связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых Общество выступает в качестве работодателя, обрабатываются ПД лиц, претендующих на трудоустройство в Общество, работников Общества (далее - Работники) и бывших Работников.
ПД сотрудников Общества, размещены на сайте только с их согласия, при общении Клиента с сотрудником Общества в процессе оказания услуг, выражая просьбу предоставить контактный номер телефона сотрудника, Клиент должен знать, что на это есть его согласие на передачу ПД.
2.5 Обработка ПД осуществляется в связи с реализацией своих прав и обязанностей как юридического лица, Обществом обрабатываются ПД физических лиц, являющихся контрагентами (возможными контрагентами) Общества по гражданско-правовым договорам, ПД руководителей, членов коллегиальных исполнительных органов и представителей юридических лиц, ПД иных физических лиц, представленные участниками закупки, физических лиц, а также граждан, письменно обращающихся в Общество по вопросам его деятельности.
2.6 Обработка ПД осуществляется в рамках взаимодействия с физическими лицами - участниками Общества, членами органов управления Общества, в т.ч. Наблюдательного совета, ревизионной комиссии (ревизором) Общества, ПД обрабатываются в ходе ведения реестра участников Общества, формирования органов управления Обществом.
2.7 Наш веб-сайт использует IP адреса и куки-файлы (маленькие файлы, размещенные на жестких дисках пользователей), чтобы отделить вас от других пользователей нашего сайта. Данная технология способствует предоставлению вам позитивного опыта использования нашего сайта и позволяет нам совершенствовать свой сайт. Мы используем куки-файлы для помощи в анализе потока информации. Кроме того, они используются для индивидуальной настройки услуг, информационного наполнения и рекламы, а также для измерения эффективности рекламы. Определенные куки-файлы содержат ПД – например, при нажатии на «Запомнить меня» при входе куки-файл сохраняет имя Клиента. Большинство куки-файлов не собирают информацию, которая идентифицирует Клиента, а вместо этого собирают более общие данные, такие как способ входа, использование веб-сайта и обычное местонахождение Клиента.
В целом, куки-файлы выполняют четыре разные функции.
2.7.1 Основные куки-файлы. Некоторые куки-файлы существенно важны для работы на нашем веб-сайте. Например, они позволяют идентифицировать зарегистрированных пользователей и обеспечить им доступ ко всему веб-сайту. Если зарегистрированный пользователь отключит куки-файлы, некоторые страницы могут быть недоступны.
2.7.2 Эксплуатационные куки-файлы. Другие куки-файлы могут использоваться для анализа того, как пользователи используют веб-сайты и для мониторинга производительности веб-сайта. Это позволяет обеспечивать высококачественное обслуживание, индивидуально настраивая приложения, а также быстро идентифицируя и исправляя любые возникающие проблемы. Например, эксплуатационные куки-файлы могут использоваться для отслеживания наиболее популярных страниц и для определения того, почему некоторые страницы получают сообщения об ошибках. Эти куки-файлы могут также использоваться для определения продуктов и услуг, которые будут интересны пользователям на основании их истории посещений веб-сайта.
2.7.3 Функциональные куки-файлы. Функциональные куки-файлы используются для того, чтобы веб-сайт мог запоминать некоторые предпочтения пользователей.
2.7.4 Поведенчески-ориентированные рекламные куки-файлы. Общество может использовать куки-файлы для предоставления пользователям рекламы по интересам. Кроме того, Общество может использовать куки-файлы третьих сторон с целью исследований рынка, отслеживания доходов, а также улучшения функциональности веб-сайтов и мониторинга выполнения настоящих условий. Пользователи всегда могут отказаться от куки-файлов, если это позволяет их браузер, хотя это может помешать использованию некоторых Систем Общества.
2.8 ПД получаются и обрабатываются Обществом на основании федеральных законов и иных нормативных правовых актов Российской Федерации, а в необходимых случаях - при наличии письменного согласия субъекта ПД.
2.9 В целях исполнения возложенных на Общество функций Общество в установленном порядке вправе поручить обработку ПД третьим лицам с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
В договоры с лицами, которым Общество поручает обработку ПД, включаются условия, обязывающие таких лиц соблюдать требования, принципы и правила обработки и защите ПД, предусмотренные законодательством.
2.10 Общество предоставляет обрабатываемые им ПД государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих ПД.
2.11 В Обществе не производится обработка ПД, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПД в Обществе, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Обществом ПН уничтожатся или обезличиваются.
2.12 При обработке ПД обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Общество принимает необходимые меры по удалению или уточнению неполных или неточных ПД.

 

3. Принципы обеспечения безопасности персональных данных
3.1 Основной задачей обеспечения безопасности ПД при их обработке в Обществе является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПД, разрушения (уничтожения) или искажения их в процессе обработки.
3.2 Для обеспечения безопасности ПД Общество руководствуется следующими принципами:
3.2.1 законность: защита ПД основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПД;
3.2.2 системность: обработка ПД в Обществе осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПД;
3.2.3 комплексность: защита ПД строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Общества (далее - ИС) и других имеющихся в Агентстве систем и средств защиты;
3.2.4 непрерывность: защита ПД обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПД, в том числе при проведении ремонтных и регламентных работ;
3.2.5 своевременность: меры, обеспечивающие надлежащий уровень безопасности ПД, принимаются до начала их обработки;
3.2.6 преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПД осуществляется на основании результатов анализа практики обработки ПД в Обществе с учетом выявления новых способов и средств реализации угроз безопасности ПД, отечественного и зарубежного опыта в сфере защиты информации;
3.2.7 персональная ответственность: ответственность за обеспечение безопасности ПД возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПД;
3.2.8 минимизация прав доступа: доступ к ПД предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
3.2.9 гибкость: обеспечение выполнения функций защиты ПД при изменении характеристик функционирования информационных систем персональных данных Общества, а также объема и состава обрабатываемых ПД;
3.2.10 открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты ПД Общества не дают возможности преодоления имеющихся в Обществе систем защиты возможными нарушителями безопасности;
3.2.11 специализация и профессионализм: реализация мер по обеспечению безопасности ПД осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
3.2.12 эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Общества предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПД, минимизация вероятности возникновения угрозы безопасности ПД, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Общества до заключения договоров;
3.2.13 наблюдаемость и прозрачность: меры по обеспечению безопасности ПД должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
3.2.14 непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПД, а результаты контроля регулярно анализируются.

 

4. Доступ к обрабатываемым персональным данным
4.1 Доступ к обрабатываемым в Обществе ПД имеют лица, уполномоченные приказом Общества, лица, которым Общество поручило обработку ПД на основании заключенного договора, а также лица, чьи ПД подлежат обработке.
4.2 В целях разграничения полномочий при обработке ПД полномочия по реализации каждой определенной законодательством функции Общества закрепляются за соответствующими структурными подразделениями Общества.
Доступ к ПД, обрабатываемым в ходе реализации полномочий, закрепленных за конкретным структурным подразделением Общества, могут иметь только работники этого структурного подразделения. Работники допускаются к ПД, связанным с деятельностью другого структурного подразделения, только для подготовки обобщенных материалов в части вопросов, касающихся структурного подразделения этих Работников.
4.3 Доступ работников к обрабатываемым ПД осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Общества.
Допущенные к обработке ПД работники под роспись знакомятся с документами Общества, устанавливающими порядок обработки ПД, включая документы, устанавливающие права и обязанности конкретных Работников.
4.4 Порядок доступа субъекта ПД к его ПД, обрабатываемым Обществом, определяется в соответствии с законодательством и определяется внутренними регулятивными документами Общества.

 

5. Реализуемые требования к защите персональных данных
5.1 Общество принимает правовые, организационные и технические меры, необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о ПД и принятыми в соответствии с ним нормативными правовыми актами, для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
5.2 Состав указанных в п. 5.1. Положения мер, включая их содержание и выбор средств защиты ПД, определяется, а внутренние регулятивные документы об обработке и защите ПД утверждаются (издаются) Обществом исходя из требований:
5.2.1 Закона о ПД;
5.2.2 постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
5.2.3 иных нормативных правовых актов Российской Федерации об обработке и защите ПД.
5.3 В предусмотренных законодательством случаях обработка ПД осуществляется Обществом с согласия субъектов ПД.
Обществом производится устранение выявленных нарушений законодательства об обработке и защите ПД.
5.4 Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше чем этого требуют цели обработки ПД, если срок хранения не установлен федеральным законом, договором, стороной которого является субъект ПД.
5.5 Обществом осуществляется ознакомление Работников, непосредственно осуществляющих обработку ПД, с положениями законодательства о ПД, в том числе требованиями к защите ПД, политикой и иными внутренними регулятивными документами по вопросам обработки ПД, и (или) обучение указанных работников по вопросам обработки и защиты ПД.
5.6 При обработке ПД с использованием средств автоматизации Обществом, в частности, применяются следующие меры:
5.6.1 назначается Ответственный за организацию обработки ПД, определяется его компетенция;
5.6.2 утверждаются (издаются) внутренние регулятивные документы по вопросам обработки и защиты ПД, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
5.6.3 осуществляется внутренний контроль и (или) аудит соответствия обработки ПД Закону о ПД и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике и внутренним регулятивным документам Общества;
5.6.4 проводится оценка вреда, который может быть причинен субъектам ПД в случае нарушения Закона о ПД, определяется соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение исполнения обязанностей, предусмотренных Законом о ПД.
5.7 Обеспечение безопасности ПД в Обществе при их обработке достигается в Обществе, в частности, путем:
5.7.1 определения угроз безопасности ПД. Тип актуальных угроз безопасности ПД и необходимый уровень защищенности ПД определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда;
5.7.2 определения в установленном порядке состава и содержания мер по обеспечению безопасности ПД, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПД, а также с учетом экономической целесообразности Обществом могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности ПД;
5.7.3 применения организационных и технических мер по обеспечению безопасности ПД, необходимых для выполнения требований к защите ПД, обеспечивающих определенные уровни защищенности ПД, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз.
5.7.4 В Обществе, в том числе, осуществляются:
5.7.4.1 оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПД;
5.7.4.2 учет машинных носителей ПД, обеспечение их сохранности;
5.7.4.3 обнаружение фактов несанкционированного доступа к ПД и принятие соответствующих мер;
5.7.4.4 восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
5.7.4.5 установление правил доступа к обрабатываемым ПД, а также обеспечение регистрации и учета действий, совершаемых с ПД;
5.7.4.6 организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
5.7.4.7 контроль за принимаемыми мерами по обеспечению безопасности ПД, уровня защищенности.
5.8 Обеспечение защиты ПД в Обществе при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:
5.8.1 обособления ПД от иной информации;
5.8.2 недопущения фиксации на одном материальном носителе ПД, цели обработки которых заведомо не совместимы;
5.8.3 использования отдельных материальных носителей для обработки каждой категории ПД;
5.8.4 принятия мер по обеспечению раздельной обработки ПД при несовместимости целей обработки ПД, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПД отдельно от других зафиксированных на том же носителе ПД;
5.8.5 соблюдения требований:
5.8.5.1 к раздельной обработке зафиксированных на одном материальном носителе ПД и информации, не относящейся к ПД;
5.8.5.2 уточнению ПД;
5.8.5.3 уничтожению или обезличиванию части ПД;
5.8.5.4 использованию типовых форм документов, характер информации в которых предполагается или допускается включение в них ПД;
5.8.5.5 хранению ПД, в том числе к обеспечению раздельного хранения ПД (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку ПД либо имеющих к ним доступ.

 

6. Права субъекта персональных данных
6.1 Субъект ПД принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПД может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
Обязанность предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на Общество.
6.2 Субъект ПД имеет право на получение у Общество информации, касающейся обработки его ПД, если такое право не ограничено в соответствии с федеральными законами. Субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3 Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта ПД. Указанная обработка ПД признается осуществляемой без предварительного согласия субъекта ПД, если Общество не докажет, что такое согласие было получено.
Общество обязано немедленно прекратить по требованию субъекта ПД обработку его ПД в вышеуказанных целях.
6.4 Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта ПД.
6.5 Если субъект ПД считает, что Общество осуществляет обработку его ПД с нарушением требований Закона или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие Общества в Уполномоченный орган по защите прав субъектов ПД или в судебном порядке. Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.