ПОЛОЖЕНИЕ об обработке, порядке хранения и защите персональных данных клиентов

1. Общие положения
1.1 Настоящее Положение (далее - Положение) разработано в соответствии с Федеральным законом "О персональных данных" от 27.07.2006 N 152-ФЗ (далее - Закон) и является основополагающим внутренним регулятивным документом Общества с ограниченной ответственностью "Кий Авиа Крым" (далее - Общество), определяющим ключевые направления его деятельности в области обработки, порядке хранения и защиты персональных данных Клиентов, оператором которых является Общество.
1.2 Положением устанавливается порядок обработки, хранения и защиты персональных данных субъектов персональных данных — Клиентов Общества с ограниченной ответственностью «Кий Авиа Крым» (далее по тексту – Общество), c которыми Общество заключает договоры на реализацию туристического продукта и прочих туристических услуг, для которых Общество, являясь уполномоченным агентом перевозчиков, по договору перевозки пассажира (воздушной, автомобильной, железнодорожной, других видов транспорта) осуществляет от имени перевозчика бронирование, продажу и оформление перевозок на перевозочных документах.
1.3 Данное Положение разработано с целью обеспечения требований защиты прав граждан при обработке их персональных данных Обществом.
1.4 Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации их прав и свобод.
1.5 Обработка персональных данных Клиентов должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с Клиентом целей. Обработке подлежат только те персональные данные и только в том объеме, которые отвечают целям их обработки, определенным в договоре с Клиентом или законодательством Российской Федерации.
1.6 Обрабатываемые персональные данные Клиентов подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
1.7 Настоящее Положение утверждается приказом генерального директора Общества, является обязательным для исполнения всеми работниками Общества, имеющими доступ к персональным данным Клиента, которые должны быть ознакомлены с ним под подпись.
1.8 Общество во исполнение требований Закона и для обеспечения неограниченного доступа к сведениям о реализуемых в Обществе мероприятиях по защите персональных данных, и к документам, определяющим политику Общества в отношении обработки персональных данных, размещает текст настоящего Положения на своем официальном сайте: www.kiyaviakrym.com

 

2. Понятие и состав персональных данных клиента
2.1 Клиентами Общества (субъектами персональных данных) являются:
2.1.1 физические лица (субъекты персональных данных), с которыми Общество заключает договор перевозки пассажира, являясь агентом перевозчика, осуществляющим бронирование, продажу и оформление перевозочных документов.
2.1.2 физические лица (субъекты персональных данных), заключившие с Обществом письменный договор на реализацию туристского продукта, который формируется самим Обществом или Туроператором, а также приобретающие сопутствующие услуги: бронирование отелей, трансфера, автопрокат, услуги страхования, билеты на зрелищные мероприятия, однодневные экскурсии и т.п.
2.1.3 физические лица (субъекты персональных данных), от имени которых заказчик туристского продукта заключил с Обществом письменный договор на реализацию туристского продукта, который формируется самим Обществом или Туроператором, при условии, что заказчик предоставил Обществу основания правомерности его действий в интересах субъектов персональных данных.
2.1.4 физические лиц, которым оказывается консультация, если при этом Клиент должен себя персонифицировать.
Туроператор – туристская организация, состоящая в Едином федеральном реестре туроператоров, с которой Общество заключило письменный договор о реализации туристского продукта, и которая формирует и предоставляет Обществу туристский продукт, в интересах исполнения Обществом обязательств по договору.
В правоотношениях с Клиентами Общество в соответствии с Федеральным законом «О персональных данных» от 27 июля 2006 года N 152 - ФЗ (далее по тексту - Закон «О персональных данных») выступает в качестве оператора персональных данных.
2.2 Под персональными данными Клиентов понимается относящаяся к нему информация, необходимая Обществу в связи с исполнением им договорных обязательств перед Клиентом.
2.3 Состав персональных данных Клиента, обработка которых осуществляется Обществом:
- фамилия, имя, отчество;
- фамилия при рождении (либо другие фамилии, если были);
- фамилия, имя в латинской транскрипции, как они указаны в заграничном паспорте;
- год, месяц и число рождения;
- место рождения;
- гражданство при рождении;
- гражданство в настоящее время;
- пол;
- семейное положение;
- фамилия, имя матери;
- фамилия, имя отца;
- ИНН;
- социальное положение;
- образование;
- профессия;
- данные об общегражданском паспорте Российской Федерации: серия и номер, дата его выдачи, наименование органа, выдавшего паспорт, срок действия;
- копии общегражданских паспортов Клиентов;
- данные о заграничном паспорте Российской Федерации: серия и номер, дата его выдачи, наименование органа, выдавшего паспорт, срок действия;
- оригиналы и копии заграничных паспортов Клиентов;
- копии свидетельств о рождении (для несовершеннолетних граждан);
- адрес регистрации;
- адрес электронной почты;
- домашний и контактный (мобильный) телефоны;
- данные о работодателе и работе: наименование, адрес и телефон работодателя, должность в настоящее время, размер заработной платы;
- данные об учебном заведении (для школьников и студентов): наименование, адрес и телефон учебного заведения;
- сведения о получении пенсии и о том, кто оплачивает поездку пенсионеру (для пенсионеров);
- даты прошлых выездов в страну планируемого посещения или в группу определенных стран;
- сведения о прошлых депортациях из страны планируемого посещения либо иных нарушений законодательства иностранных государств;
- договора о реализации туристского продукта с Клиентами и приложения к ним;
- приложения к договорам о реализации туристского продукта, в которых содержатся персональные данные Клиентов;
- копии претензий и исковых заявлений, относящиеся к Клиентам;
- копии ответов на претензии и возражений на исковые заявления, относящиеся к Клиентам.
Иные сведения о Клиенте, которые он сообщает о себе в связи с особенностями планируемого им путешествия, или в связи с требованиями, которые предъявляются к информации о Клиенте консульскими службами посольств стран планируемого посещения для рассмотрения вопроса о выдаче визы, либо страховыми компаниями в интересах заключения договора, выгодоприобретателем по которому является Клиент.
2.4 При необходимости получения в интересах Клиента визы в посольстве страны планируемого пребывания, состав персональных данных, указанный в п. 2.3. настоящей статьи, может быть дополнен сведениями, которые запрашиваются консульскими службами посольства страны планируемого посещения для рассмотрения вопроса о выдаче визы.

 

3. Конфиденциальность персональных данных
3.1 Документы и сведения, перечисленные в разделе 2. Положения, содержащие информацию о персональных данных Клиентов, являются конфиденциальными. Общество обеспечивает конфиденциальность персональных данных, и обязано не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.
3.2 Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.3 Если Общество поручает обработку персональных данных Клиента с его согласия третьему лицу, то Общество обязано на договорной основе заручиться обязательством этого третьего лица соблюдения конфиденциальности персональных данных Клиента.
3.4 Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, либо при наличии письменного согласия Клиента на то, что его персональные данные являются общедоступными персональными данными.

 

4. Права и обязанности Общества
4.1 Общество осуществляет обработку персональных данных Клиентов с соблюдением принципов и правил, предусмотренных Законом «О персональных данных» только в следующих случаях:
4.1.1 обработка персональных данных осуществляется с согласия Клиента на обработку его персональных данных;
4.1.2 обработка персональных данных Клиентов необходима для осуществления и выполнения функций, полномочий и обязанностей возложенных на Общество Федеральным законом «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 г. N 132-ФЗ, Воздушным кодексом Российской Федерации от 19.03.1997 N 60-ФЗ, Общими правилами воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Министерства транспорта России от 28.06.2007 N 82 "Об утверждении Федеральных авиационных правил», иными нормативными правовыми актами Российской Федерации в сфере гражданской авиации и туристической деятельности;
4.1.3 обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
4.1.4 обработка персональных данных необходима для исполнения договора, стороной которого является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем;
4.1.5 обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей;
4.1.6 обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Клиента;
4.1.7 обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Клиента, если получение его согласия невозможно;
4.1.8 осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен Клиентом либо по его просьбе;
4.1.9 осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
4.2 Если договор с Обществом заключается Клиентом, который в том числе на законных основаниях представляет интересы третьих лиц, то Общество обязано до начала обработки персональных данных этих третьих лиц получить их письменные согласия на обработку их персональных данных.
Согласие на обработку персональных данных по основаниям данного пункта может быть отозвано Клиентом. Обязанность предоставить доказательство получения согласия Клиента на обработку его персональных данных по основаниям данного пункта возлагается на Общество.
4.3
4.3.1 Общество вправе поручить обработку персональных данных третьему лицу с согласия Клиента, на основании заключенного с этим третьим лицом договора. В этом случае Общество должно на договорной основе обязать третье лицо, осуществляющее обработку персональных данных по поручению Общества, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом «О персональных данных» и настоящим Положением.
В договоре Общества с третьим лицом должны быть определены:
4.3.1.1 перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных Клиента;
4.3.1.2 цели обработки персональных данных Клиента;
4.3.1.3 обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
4.3.1.4 требования к защите обрабатываемых персональных данных в соответствии с Законом «О персональных данных».
4.3.2 Если Общество поручает обработку персональных данных Клиента третьему лицу, то ответственность перед Клиентом за действия указанного лица несет непосредственно Общество.
4.4 Общество получает персональные данные Клиентов только в объеме, необходимом для достижения целей, указанных в договорах с Клиентом.
При определении объема и содержания персональных данных Клиента, подлежащих обработке, Общество обязано руководствоваться Федеральным законом «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 года N 132-ФЗ, Воздушным кодексом Российской Федерации от 19.03.1997 N 60-ФЗ, Общими правилами воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Министерства транспорта России от 28.06.2007 N 82 "Об утверждении Федеральных авиационных правил», Федеральным законом «О персональных данных» от 27 июля 2006 года N 152-ФЗ, иными нормативными правовыми актами Российской Федерации в сфере гражданской авиации, туристической деятельности, а также безопасности на транспорте.
4.5 Общество не имеет права получать и обрабатывать персональные данные Клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, если только эти данные не связаны с задачами и требованиями Клиента по организации его путешествия.
4.6 Общество не должно запрашивать информацию о состоянии здоровья Клиента, за исключением тех сведений, которые относятся к вопросу об организации безопасного путешествия и отдыха для Клиента либо заключения от имени Клиента договоров страхования.
Общество получает по инициативе Клиента информацию о состоянии его здоровья только на бумажных носителях, и ведет их обработку без использования средств автоматизации.
4.7 Общество не имеет права собирать и обрабатывать биометрические персональные данные Клиентов.
4.8 Общество должно обеспечить защиту персональных данных Клиента от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.

 

5. Права и обязанности Клиента
5.1 Клиент обязан передать Обществу или его представителю достаточные, достоверные, документированные персональные данные, состав которых установлен договорными обязательствами, взятыми на себя сторонами по договору между Клиентом и Обществом, Клиентом и Перевозчиком.
5.2 Клиент должен своевременно, без неоправданной задержки сообщать Обществу об изменении своих персональных данных.
5.3 Клиент имеет право на получение сведений об Обществе, Туроператоре или Перевозчике, о месте их нахождения, о наличии у Общества, Туроператора или Перевозчика персональных данных, относящихся к Клиенту, а также на ознакомление с такими персональными данными.
5.3.1 Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Обществом; правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных; сроки обработки персональных данных, в том числе сроки их хранения; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование третьего лица или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по договору с Обществом; иные сведения, предусмотренные федеральными законами.
5.3.2 Клиент вправе требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.4 Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
5.5 Доступ к своим персональным данным предоставляется Клиенту или его законному представителю Обществом при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть подан в том числе в электронном виде по адресу электронной почты, указанному на сайте Общества.
5.6 Клиент имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.
5.7 Если Клиент считает, что Общество осуществляет обработку его персональных данных с нарушением требований Закона «О персональных данных» или иным образом нарушает его права и свободы, Клиент вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.8 Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

 

6. Порядок получения персональных данных
6.1 Общество получает персональные данные Клиента:
6.1.1 Непосредственно от субъекта персональных данных – Клиента, при заключении с Клиентом договора перевозки пассажира, когда Общество являясь агентом перевозчика, осуществляет бронирование, продажу и оформление перевозочных документов.
6.1.2 Непосредственно от субъекта персональных данных – Клиента, на основании заключения с Клиентом письменного договора о реализации туристского продукта или иных сопутствующих услуг и письменного согласия на обработку персональных данных.
Заключая договор с Обществом, Клиент и все третьи лица, интересы которых на законном основании представляет Клиент в рамках договора о реализации туристского продукта, предоставляют письменное согласие на обработку персональных данных.
6.2 Пассажир при бронировании сообщает необходимую информацию о своих персональных данных и, при наличии, - об особых условиях перевозки пассажира, багажа.
В случае отказа пассажира от предоставления информации, необходимой для бронирования, бронирование не производится (п. 14 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Министерства транспорта России от 28.06.2007 N 82 "Об утверждении Федеральных авиационных правил».
В целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации (ст. 85.1 Воздушного кодекса Российской Федерации от 19.03.1997 N 60-ФЗ.
6.3 Клиент проинформирован и согласен, чтобы в целях исполнения договора между Клиентом и Обществом и на основании договора между Обществом и Туроператором, последнему были переданы персональные данные Клиента с целью их обработки в интересах формирования туристского продукта, заказного Клиентом, а также для достижения иных целей, определяющих предметом договора между Клиентом и Обществом. Туроператор в соответствии с настоящим согласием Клиента имеет право в интересах Клиента обрабатывать его персональные данные методом смешанной (в том числе автоматизированной) обработки, систематизировать, хранить, распространять и передавать с использованием сети общего пользования Интернет третьим лицам (авиаперевозчикам, страховым компаниям, туроператорам, отелям и т. п.). До Клиента доведена информация о правах, которые установлены для Клиента, как субъекта персональных данных, Законом «О персональных данных».
Приведенная выше информация в обязательном порядке включается в текст письменного договора между Обществом и Клиентом. Без исполнения данного обязательства Общество не имеет права реализовать туристский продукт, иные сопутствующие услуги и передавать третьим лицам персональные данные Клиента.

 

7. Обработка персональных данных
7.1 Обработка персональных данных Клиента осуществляется Обществом исключительно для заключения договора перевозки, а также достижения целей определенных письменным договором между Клиентом – Обществом, в частности для оказания услуг Клиенту по подбору, формированию и предоставлению ему туристского продукта, иных туристических услуг.
7.2 Обработка персональных данных Обществом в интересе Клиента заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов.
7.3 Обработка персональных данных Клиентов ведется методом смешанной (в том числе автоматизированной) обработки.
7.4 К обработке персональных данных Клиента могут иметь доступ только работники Общества, допущенные к работе с персональными данными Клиента.
7.5 В случае отзыва Клиентом согласия на обработку своих персональных данных Общество незамедлительно прекращает обработку персональных данных Клиента. Общество уничтожает персональные данные Клиента и обеспечивает их уничтожение другими лицами, действующими по поручению Общества в следующие сроки:
7.5.1 хранящиеся на электронных носителях в течение трех рабочих дней со дня окончания срока исковой давности по договору Клиент-Общество или Клиент-Субагент;
7.5.2 хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока исковой давности по договору Клиент-Общество или Клиент-Субагент;
7.5.3 хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства РФ.

 

8. Передача персональных данных
8.1 Передача персональных данных Клиента осуществляется Обществом исключительно для достижения целей, определенных требованиями действующего законодательства, письменными договорами между Клиентом – Обществом, в частности для формирования туристского продукта, заказанного Клиентом, реализации сопутствующих услуг, а также бронирования и оформления договора перевозки пассажира.
8.2 Передача персональных данных Клиента третьим лицам осуществляется Обществом только на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Клиента и безопасности персональных данных при их обработке.
Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.
8.3 Общество вправе осуществлять трансграничную передачу персональных данных Клиента на территории иностранных государств с учетом перечня государств, утвержденного уполномоченным органом по защите прав субъектов персональных данных, только по ниже следующим основаниям:
8.3.1 наличие письменного согласия Клиента на трансграничную передачу его персональных данных;
8.3.2 исполнение договора между Клиентом и Турагентом или Клиентом и Обществом, в котором выражено согласие Клиента на трансграничную передачу его персональных данных.
8.4 Передача персональных данных третьим лицам осуществляется с использованием сети общего пользования Интернет и на бумажных носителях.

 

9. Хранение и уничтожение персональных данных
9.1 Персональные данные Клиентов могут храниться, как на бумажных носителях, так и в электронном виде.
9.2 Персональные данные Клиентов содержатся в следующих группах документов:
9.2.1 письменные заявки на бронирование перевозок, туристского продукта для Клиентов;
9.2.2 письменные договора с Клиентами на реализацию туристского продукта;
9.2.3 приложения к письменным договорам на реализацию туристского продукта с Туроператорами;
9.2.4 бухгалтерские документы, которыми оформляются сделки между Клиентом - Обществом или Туроператором и Обществом;
9.2.5 письменные претензии Клиентов;
9.2.6 письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т. п.), связанные с ведением судебного делопроизводства по искам Клиентов или Туроператоров, Перевозчиков против Общества либо Общества против Клиентов или Туроператоров, Перевозчиков.
9.3 Персональные данные Клиентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных железных шкафах. Ключи от шкафов хранятся лично у работников, допущенных к обработке персональных данных Клиентов, а их копии - у генерального директора Общества либо его заместителей.
9.4 Персональные данные Клиентов также хранятся в электронном виде: в локальной компьютерной сети Общества, в электронных папках и файлах в ПК генерального директора, его заместителей, начальников отделов и менеджеров, допущенных к обработке персональных данных Клиентов.
9.5 После достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных Клиентов и уничтожить их персональные данные.
9.6 Обработка персональных данных, содержащихся на электронных носителях информации прекращается, а сами персональные данные уничтожаются в течение трех рабочих дней со дня окончания срока исковой давности по договору Клиент - Общество.
9.7 Персональные данные Клиентов, содержащиеся на бумажных носителях, уничтожаются по акту в следующие сроки:
9.7.1 хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока исковой давности по договору Клиент-Общество или Клиент-Туроператор;
9.7.2 хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
9.8 Общество обязано обеспечить исполнение требований настоящего Положения всеми третьими лицами, которым Обществом передавались персональные данные Клиентов.

 

10. Доступ к персональным данным клиента
10.1 Право доступа к персональным данным Клиента имеют:
10.1.1 генеральный директор Общества и его заместители;
10.1.2 работники Общества, допущенные к обработке персональных данных Клиентов в соответствии с перечнем сотрудников Общества, имеющих доступ к персональным данным Клиентов;
10.1.3 другие сотрудники Общества при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения генерального директора;
10.1.4 клиент, как субъект персональных данных.
10.2 Перечень Работников Общества, имеющих доступ к персональным данным Клиентов, определяется приказом Генерального директора Общества.
10.3 Доступ Клиента к своим персональным данным предоставляется при обращении либо при получении запроса Клиента. Общество обязано сообщить Клиенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.
10.4 При передаче персональных данных Клиента Общество должно соблюдать следующие требования:
10.4.1 не сообщать персональные данные Клиента третьей стороне без письменного согласия Клиента, за исключением случаев, установленных федеральным законом;
10.4.2 не сообщать персональные данные Клиента в коммерческих целях без его письменного согласия;
10.4.3 предупредить лиц, получающих персональные данные Клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
10.4.4 разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.
10.5 Согласия Клиента на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Клиента, и когда третьи лица оказывают услуги Обществу на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
10.6 Общество обеспечивает ведение журнала учета выданных персональных данных Клиентов, в котором фиксируются сведения о лице, которому передавались персональные данные Клиентов, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

 

11. Защита персональных данных клиентов
11.1 Защите подлежат следующие объекты персональных данных Клиентов, если только с них на законном основании не снят режим конфиденциальности:
11.1.1 документы, содержащие персональные данные Клиента;
11.1.2 бумажные носители, содержащие персональные данные Клиентов;
11.1.3 информация, содержащая персональные данные Клиентов, размещенная на электронных носителях.
11.2 Общество обязано при обработке персональных данных Клиентов принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
11.3 Общую организацию защиты персональных данных Клиентов осуществляет Генеральный директор Общества.
11.4Лицо, ответственное за организацию обработки персональных данных Общества обеспечивает:
11.4.1 ознакомление сотрудников под роспись с настоящим Положением;
11.4.2 истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиента и соблюдении правил их обработки;
11.4.3 ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных в Обществе;
11.4.4 общий контроль за соблюдением сотрудниками мер по защите персональных данных Клиента.
11.5 Руководители отделов, в которых осуществляется обработка персональных данных Клиентов, обеспечивают общий контроль соблюдения сотрудниками их отделов мер по защите персональных данных Клиента.
11.6 Защита информационных систем Общества, в которых обрабатываются персональные данные Клиентов, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Положением о мерах по организации защиты информационных систем персональных данных Общества.
11.7 Доступ к персональным данным Клиента имеют сотрудники Общества, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей, утверждаемого приказом Генерального директора.
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией генерального директора, доступ к персональным данным Клиента может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным Клиента, и которым они необходимы в связи с исполнением трудовых обязанностей.
11.8 Все работники, связанные с получением, обработкой и защитой персональных данных Клиентов, обязаны подписать обязательство о неразглашении персональных данных Клиентов.
Процедура оформления доступа к персональным данным Клиента включает в себя:
11.8.1 ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись;
11.8.2 истребование от сотрудника (за исключением генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки, подготовленного по установленной форме.
11.9 Сотрудник Общества, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц:
11.9.1 обеспечивает в рабочее время хранение документов, содержащих персональные данные Клиентов в специальных ящиках столов, шкафах (сейфах), обеспечивающие защиту от несанкционированного доступа;
11.9.2 в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов;
11.9.3 при окончании работы с документами, содержащими персональные данные Клиентов, разместить их на хранение в специально отведенных оборудованных защищенных помещениях либо в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа;
11.10 При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию руководителя отдела или Генерального директора.
11.11 Допуск к персональным данным Клиента других сотрудников Общества, не имеющих надлежащим образом оформленного доступа, запрещается.
11.12 Документы, содержащие персональные данные Клиентов, хранятся в специально отведенных оборудованных защищенных помещениях либо в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в специальные ящики столов, шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.
11.13 Защита доступа к электронным носителям, содержащим персональные данные Клиентов, обеспечивается, в том числе:
11.13.1 организацией контроля доступа в помещения информационной системы посторонних лиц;
11.13.2 использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным;
11.13.3 разграничением прав доступа с использованием учетной записи;
11.13.4 установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
11.13.5 учетом машинных носителей персональных данных;
11.13.6 принятием соответствующих мер при обнаружении фактов несанкционированного доступа к персональным данным;
11.13.7 контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.
11.14 Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях.
11.15 Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Общества, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.

 

12. Уведомление об обработке персональных данных Клиентов
12.1 Общество вправе осуществлять обработку персональных данных Клиентов без уведомления уполномоченного органа по защите прав субъектов персональных данных, в связи с тем, что Общество осуществляет обработку персональных данных Клиентов:
12.1.1 полученных Обществом в связи с заключением договора, стороной которого является Клиент, персональные данные Клиентов не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются Обществом исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
12.1.2 в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
12.1.3 в соответствии с трудовым законодательством.

 

Статья 13. Ответственность за разглашение информации, содержащей персональные данные Клиента
13.1 Общество несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Клиента. Общество закрепляет персональную ответственность работников за соблюдением установленного в организации режима конфиденциальности.
13.2 Руководитель подразделения несет персональную ответственность за соблюдение сотрудниками его подразделения норм, регламентирующих получение, обработку и защиту персональных данных Клиента. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные Клиента, несет персональную ответственность за данное разрешение.
13.3 Каждый работник Общества, получающий для работы документ, содержащий персональные данные Клиента, несет персональную ответственность за сохранность носителя и конфиденциальность информации.
13.4 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
13.5 За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Клиентов Общество вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
13.6 Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Клиентов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.