ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.2. Политика определяет порядок и условия Оператора в отношении обработки персональных данных, устанавливает положения, направленные на соблюдение законодательства Российской Федерации, касающееся обработки персональных данных.
1.3. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.4. Политика действует в отношении всех персональных данных, которые Оператор может получить от субъекта персональных данных, потребителя или иного заказчика, являющегося стороной договорных отношений
по договору о реализации туристского продукта (круизов) и (или) туристских услуг, контрагентов Оператора, заключивших с Оператором гражданско-правовой договор, пользователей сайта https://http://rusarc.com/ (далее – «Сайт»), содержащего сведения об услугах Оператора.
1.5. Сайт может содержать гиперссылки на другие веб-сайты, предоставленные третьими лицами. Оператор
не контролирует и не несет ответственности за сайты третьих лиц, на которые пользователь может перейти
по ссылкам, доступным на сайте. После того как пользователь покинул сайты, Оператор не несет ответственности за защиту и конфиденциальность любой информации, которую предоставляет пользователь как субъект персональных данных и персональной информации. Субъект персональных данных должен проявлять осторожность и знакомиться с соответствующей политикой конфиденциальности веб-сайта, который он посещает.
1.6. Оператор оставляет за собой право вносить необходимые изменения в Политику при изменении действующего законодательства РФ и условий своей деятельности.
3. Основные понятия, использующиеся в Политике:
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.4. Конфиденциальная персональная информация – информация, которая может обрабатываться при посещении Сайта, которая автоматически передается сервисам Сайта в процессе их использования с помощью установленного на устройстве субъекта персональных данных программного обеспечения
с использованием файлов cookie (метрических программ).
2.5. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.6. Обезличивание персональных данных – действия, в результате которых становится невозможным
без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.7. Общедоступные персональные данные – персональные данные, размещённые субъектом персональных данных в общедоступных источниках персональных данных (в том числе справочниках, адресных книгах), доступ к которым предоставлен неограниченному кругу лиц, либо персональные данные, размещённые в общедоступных источниках персональных данных на основании письменного согласия субъекта персональных данных.
2.8. Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.9. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному
или определяемому физическому лицу (субъекту персональных данных). Такой информацией, в частности, являются: фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.
2.10. Пользователь сайта – категория субъекта персональных данных, чьи данные собираются и обрабатываются на Сайте.
2.11. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных
и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
4. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
5. Категории субъектов персональных данных, которые обрабатываются Оператором:
5.1. Клиенты – физические лица, заказчики туристских продуктов и (или) отдельных туристских услуг или иные физические лица, имеющие намерение заказать или приобрести либо заказывающие, приобретающие туристские услуги от имени потребителя (туриста), в том числе законные представители несовершеннолетнего потребителя (туриста);
5.2. Клиенты – физические лица, туристы, использующие туристские продукты и услуги исключительно для личных и иных нужд, не связанных с осуществлением предпринимательской деятельности;
5.3. Контрагенты – физические лица (субъекты персональных данных) и юридические лица, заключающие или намеревающиеся заключить гражданско-правовой договор с Оператором;
5.4. Пользователи – физические лица, пользователи Сайта в информационнотелекоммуникационной сети «Интернет», желающие получить информацию в отношении оказываемых Оператором услуг или заключить договор о реализации туристского продукта и (или) туристских услуг.
6. Цели обработки персональных данных и соответствующие им перечни обрабатываемых персональных данных
6.1. Персональные данные субъектов персональных данных обрабатываются в целях осуществления гражданско-правовых отношений, в том числе связанных с подготовкой, заключением и исполнением обязательств в рамках договоров о реализации туристского продукта (круизов) и (или) туристских услуг, обеспечением предоставления услуг, входящих в состав туристского продукта и или услуг.
- Общие положения
1.2. Политика определяет порядок и условия Оператора в отношении обработки персональных данных, устанавливает положения, направленные на соблюдение законодательства Российской Федерации, касающееся обработки персональных данных.
1.3. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.4. Политика действует в отношении всех персональных данных, которые Оператор может получить от субъекта персональных данных, потребителя или иного заказчика, являющегося стороной договорных отношений
по договору о реализации туристского продукта (круизов) и (или) туристских услуг, контрагентов Оператора, заключивших с Оператором гражданско-правовой договор, пользователей сайта https://http://rusarc.com/ (далее – «Сайт»), содержащего сведения об услугах Оператора.
1.5. Сайт может содержать гиперссылки на другие веб-сайты, предоставленные третьими лицами. Оператор
не контролирует и не несет ответственности за сайты третьих лиц, на которые пользователь может перейти
по ссылкам, доступным на сайте. После того как пользователь покинул сайты, Оператор не несет ответственности за защиту и конфиденциальность любой информации, которую предоставляет пользователь как субъект персональных данных и персональной информации. Субъект персональных данных должен проявлять осторожность и знакомиться с соответствующей политикой конфиденциальности веб-сайта, который он посещает.
1.6. Оператор оставляет за собой право вносить необходимые изменения в Политику при изменении действующего законодательства РФ и условий своей деятельности.
3. Основные понятия, использующиеся в Политике:
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.4. Конфиденциальная персональная информация – информация, которая может обрабатываться при посещении Сайта, которая автоматически передается сервисам Сайта в процессе их использования с помощью установленного на устройстве субъекта персональных данных программного обеспечения
с использованием файлов cookie (метрических программ).
2.5. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.6. Обезличивание персональных данных – действия, в результате которых становится невозможным
без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.7. Общедоступные персональные данные – персональные данные, размещённые субъектом персональных данных в общедоступных источниках персональных данных (в том числе справочниках, адресных книгах), доступ к которым предоставлен неограниченному кругу лиц, либо персональные данные, размещённые в общедоступных источниках персональных данных на основании письменного согласия субъекта персональных данных.
2.8. Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.9. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному
или определяемому физическому лицу (субъекту персональных данных). Такой информацией, в частности, являются: фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.
2.10. Пользователь сайта – категория субъекта персональных данных, чьи данные собираются и обрабатываются на Сайте.
2.11. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных
и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
4. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
5. Категории субъектов персональных данных, которые обрабатываются Оператором:
5.1. Клиенты – физические лица, заказчики туристских продуктов и (или) отдельных туристских услуг или иные физические лица, имеющие намерение заказать или приобрести либо заказывающие, приобретающие туристские услуги от имени потребителя (туриста), в том числе законные представители несовершеннолетнего потребителя (туриста);
5.2. Клиенты – физические лица, туристы, использующие туристские продукты и услуги исключительно для личных и иных нужд, не связанных с осуществлением предпринимательской деятельности;
5.3. Контрагенты – физические лица (субъекты персональных данных) и юридические лица, заключающие или намеревающиеся заключить гражданско-правовой договор с Оператором;
5.4. Пользователи – физические лица, пользователи Сайта в информационнотелекоммуникационной сети «Интернет», желающие получить информацию в отношении оказываемых Оператором услуг или заключить договор о реализации туристского продукта и (или) туристских услуг.
6. Цели обработки персональных данных и соответствующие им перечни обрабатываемых персональных данных
6.1. Персональные данные субъектов персональных данных обрабатываются в целях осуществления гражданско-правовых отношений, в том числе связанных с подготовкой, заключением и исполнением обязательств в рамках договоров о реализации туристского продукта (круизов) и (или) туристских услуг, обеспечением предоставления услуг, входящих в состав туристского продукта и или услуг.
- Фамилия, имя, отчество(при наличии)на русском языке;
- Фамилия, имя в латинской транскрипции, как они указаны в заграничном паспорте;
- Год. месяц и число рождения;
- Место рождения;
- Пол;
- Гражданство в настоящее время(при необходимости–гражданство при рождении;
- вид, серия, номер документа, удостоверяющего личность гражданина РФ, наименование органа, код подразделения органа, выдавшего его, дата выдачи;
- данные о заграничном паспорте РФ(серия и номер заграничного паспорта, дата его выдачи, наименование органа, выдавшего паспорт, срок действия;
- данные свидетельства о рождении(для несовершеннолетних граждан);
- дополнительные сведения, представленные по собственному желанию туристом.
7. Конфиденциальная персональная информация субъектов персональных данных обрабатывается в целях сбора статистической информации о действиях и функциях, которые больше всего интересуют пользователей Сайта, с целью обеспечения лучшего и более персонализированного опыта, изучения спроса, повышения качества обслуживания, организации доступа к информации о деятельности Оператора, размещаемой на Сайте в информационно-телекоммуникационной сети «Интернет».
7.1. Конфиденциальная персональная информация пользователей, обрабатываемая Оператором
7.2 Конфиденциальная персональная информация пользователей, содержится в текстовых файлах, которые Сайт сохраняет на компьютере пользователя с помощью браузера.
8. Условия и порядок обработки персональных данных субъектов персональных данных
8.1. До начала обработки персональных данных Оператор обязана уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
8.2. Правовым основанием обработки персональных данных являются договоры о реализации туристского продукта и (или) отдельных туристских услуг, заключаемые между Оператором (его представителем) и клиентом (его представителем), п.19 Постановления Правительства РФ от 18.11.2020 No 1852 «Об утверждении Правил оказания услуг по реализации туристского продукта», ч. 4 ст. 16 Федерального закона от 7 февраля 1992 г. No 2300-1 «О защите прав потребителей», Федеральный закон от 27.07.2006 No 152-ФЗ «О персональных данных», согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
8.3. Обработка персональных данных Оператором выполняется следующими способами:
8.5. Оператор используют следующие информационные системы:
8.6. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.
8.7. Обмен персональными данными при их обработке в информационных системах персональных данных Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и применения программных и технических средств в соответствии со статьей 19 Федерального закона «О персональных данных».
8.8. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Оператора принимаются меры по установлению причин нарушений и их устранению
с момента обнаружения таких нарушений.
9. Общие положения
9.1. При передаче Оператором персональных данных субъект персональных данных должен дать на это согласие в письменной или электронной форме.
9.2. Оператор вправе передать информацию, которая относится к персональным данным клиента без его согласия, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством.
9.3. Оператор не вправе предоставлять персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством.
9.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным субъекта персональных данных, Оператор обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации.
9.5. ССогласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
9.6. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.
9.7. В случае если из предоставленного субъектом персональных данных согласия на распространение персональных данных не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором без права распространения.
9.8. В случае если из предоставленного субъектом персональных данных согласия на передачу персональных данных не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, Оператор обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
9.9. Согласие субъекта персональных данных на распространение персональных данных может быть предоставлено Оператору:
9.11. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Действие согласия субъекта персональных данных на распространение персональных данных прекращается с момента поступления Оператору такого требования.
9.12. Доступ к персональным данным субъектов персональных данных разрешен только уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
10. Сроки обработки и хранения персональных данных
10.1. Оператор обеспечивает защиту персональных данных субъектов персональных данных от неправомерного использования или утраты.
10.2. Документы, содержащие данные субъектов персональных данных могут храниться в бумажном виде
в папках, прошитые и пронумерованные по страницам, в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. Персональные данные могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных.
10.3. Копировать и делать выписки из персональных данных разрешается исключительно в служебных целях с письменного разрешения единоличного исполнительного органа Оператора.
10.4. Обработка персональных данных Оператором прекращается в следующих случаях:
10.4.1. при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
10.4.2. при достижении целей их обработки (за некоторыми исключениями);
10.4.3. по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Федеральным законом
«О персональных данных» их обработка допускается только с согласия;
10.4.4. при обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Федерального закона
«О персональных данных»). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
10.5. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных,
не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем
по которому) является субъект персональных данных.
10.6. Персональные данные на бумажных носителях хранятся Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 No 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 No 236)).
10.7. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
11.Порядок блокирования и уничтожения персональных данных
11.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством РФ в области персональных данных.
11.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
11.3. Персональные данные, полученные в результате обезличивания, могут обрабатываться с использованием и без использования средств автоматизации и не подлежат разглашению.
11.4. Персональные данные, полученные в результате обезличивания, не подлежат предоставлению третьим лицам, осуществляющим обработку персональных данных с использованием дополнительной информации, позволяющей прямо или косвенно определить конкретное физическое лицо.
11.5. При обработке персональных данных, полученных в результате обезличивания, без использования средств автоматизации обеспечивается сохранность содержащих их материальных носителей в помещениях, в которых они хранятся, в целях исключения несанкционированного доступа к обезличенным персональным данным, возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий.
11.6. При обработке персональных данных, полученных в результате обезличивания, в информационных системах персональных данных обеспечивается соблюдение парольной защиты информационных систем персональных данных, антивирусной политики, правил работы со съемными носителями (в случае их использования), правил резервного копирования, правил доступа в помещения, где расположены элементы информационных систем персональных данных.
11.7. При хранении персональных данных, полученных в результате обезличивания, обеспечивается раздельное хранение персональных данных, полученных в результате обезличивания, и информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных.
11.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом единоличного исполнительного органа Оператора.
11.9. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
11.10. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя,
не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
11.11. Комиссия подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 No179, а именно:
12.Защита персональных данных
12.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.
12.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно- распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование систем защиты персональных данных.
12.3. Подсистема организационной защиты включает в себя организацию структуры управления систем защиты персональных данных, разрешительной системы, защиты информации при работе с сотрудниками, партнерами
и сторонними лицами.
12.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно- аппаратных средств, обеспечивающих защиту персональных данных.
12.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:
13. Основные права субъекта персональных данных и обязанности Оператора. Рассмотрение запросов субъектов персональных данных.
13.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
Указанные сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Указанные сведения предоставляются субъекту персональных данных или его представителю уполномоченным лицом Оператора, осуществляющим обработку соответствующих персональных данных, в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на пять рабочих дней, в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения) либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
13.2. Субъекты персональных данных вправе требовать от Оператора уточнения их персональных данных их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
13.3. Оператор обязан:
Отзыв согласия об обработке персональных данных
14.1. Срок действия согласия субъекта персональных данных является неограниченным, однако, субъект персональных данных вправе в любой момент отозвать согласие на обработку Оператором персональных данных в случаях, установленных законодательством, путём направления письменного уведомления по адресу местонахождения Оператора или на электронный адрес: rusarc.com@gmail.com с пометкой «Отзыв согласия на обработку персональных данных».
14.2. Отзыв согласия на обработку персональных данных влечёт за собой удаление учётной записи пользователя с Сайта, а также уничтожение записей, содержащих персональные данные, на бумажных носителях и в информационных системах обработки персональных данных Оператора и третьих лиц в срок, не превышающий 10 рабочих дней с момента получения.
7.1. Конфиденциальная персональная информация пользователей, обрабатываемая Оператором
- данные,которыеавтоматическипередаютсясервисамСайтавпроцессеихиспользованияспомощью установленного на устройстве пользователя программного обеспечения
- IP -адрес
- данные файлов cookie
- параметры и настройки интернет-браузеров(или иных программ, с помощью которых осуществляется доступ к сервисам Сайта;
- файлы журналов, технические характеристики оборудования и программного обеспечения, используемых пользователем;
- дата и время доступа к сервисам Сайта;
- адреса запрашиваемых страниц;
- истории заказов;
- информация о подписках и сообщениях в службу поддержки;
- иная подобная информация.
7.2 Конфиденциальная персональная информация пользователей, содержится в текстовых файлах, которые Сайт сохраняет на компьютере пользователя с помощью браузера.
8. Условия и порядок обработки персональных данных субъектов персональных данных
8.1. До начала обработки персональных данных Оператор обязана уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
8.2. Правовым основанием обработки персональных данных являются договоры о реализации туристского продукта и (или) отдельных туристских услуг, заключаемые между Оператором (его представителем) и клиентом (его представителем), п.19 Постановления Правительства РФ от 18.11.2020 No 1852 «Об утверждении Правил оказания услуг по реализации туристского продукта», ч. 4 ст. 16 Федерального закона от 7 февраля 1992 г. No 2300-1 «О защите прав потребителей», Федеральный закон от 27.07.2006 No 152-ФЗ «О персональных данных», согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
8.3. Обработка персональных данных Оператором выполняется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
8.5. Оператор используют следующие информационные системы:
- корпоративная электронная почта;
- система электронного документооборота;
- система поддержки рабочего места пользователя
8.6. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.
8.7. Обмен персональными данными при их обработке в информационных системах персональных данных Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и применения программных и технических средств в соответствии со статьей 19 Федерального закона «О персональных данных».
8.8. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Оператора принимаются меры по установлению причин нарушений и их устранению
с момента обнаружения таких нарушений.
9. Общие положения
9.1. При передаче Оператором персональных данных субъект персональных данных должен дать на это согласие в письменной или электронной форме.
9.2. Оператор вправе передать информацию, которая относится к персональным данным клиента без его согласия, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством.
9.3. Оператор не вправе предоставлять персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством.
9.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным субъекта персональных данных, Оператор обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации.
9.5. ССогласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
9.6. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.
9.7. В случае если из предоставленного субъектом персональных данных согласия на распространение персональных данных не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором без права распространения.
9.8. В случае если из предоставленного субъектом персональных данных согласия на передачу персональных данных не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, Оператор обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
9.9. Согласие субъекта персональных данных на распространение персональных данных может быть предоставлено Оператору:
- непосредственно:
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
9.11. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Действие согласия субъекта персональных данных на распространение персональных данных прекращается с момента поступления Оператору такого требования.
9.12. Доступ к персональным данным субъектов персональных данных разрешен только уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
10. Сроки обработки и хранения персональных данных
10.1. Оператор обеспечивает защиту персональных данных субъектов персональных данных от неправомерного использования или утраты.
10.2. Документы, содержащие данные субъектов персональных данных могут храниться в бумажном виде
в папках, прошитые и пронумерованные по страницам, в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. Персональные данные могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных.
10.3. Копировать и делать выписки из персональных данных разрешается исключительно в служебных целях с письменного разрешения единоличного исполнительного органа Оператора.
10.4. Обработка персональных данных Оператором прекращается в следующих случаях:
10.4.1. при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
10.4.2. при достижении целей их обработки (за некоторыми исключениями);
10.4.3. по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Федеральным законом
«О персональных данных» их обработка допускается только с согласия;
10.4.4. при обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Федерального закона
«О персональных данных»). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
10.5. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных,
не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем
по которому) является субъект персональных данных.
10.6. Персональные данные на бумажных носителях хранятся Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 No 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 No 236)).
10.7. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
11.Порядок блокирования и уничтожения персональных данных
11.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством РФ в области персональных данных.
11.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
11.3. Персональные данные, полученные в результате обезличивания, могут обрабатываться с использованием и без использования средств автоматизации и не подлежат разглашению.
11.4. Персональные данные, полученные в результате обезличивания, не подлежат предоставлению третьим лицам, осуществляющим обработку персональных данных с использованием дополнительной информации, позволяющей прямо или косвенно определить конкретное физическое лицо.
11.5. При обработке персональных данных, полученных в результате обезличивания, без использования средств автоматизации обеспечивается сохранность содержащих их материальных носителей в помещениях, в которых они хранятся, в целях исключения несанкционированного доступа к обезличенным персональным данным, возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий.
11.6. При обработке персональных данных, полученных в результате обезличивания, в информационных системах персональных данных обеспечивается соблюдение парольной защиты информационных систем персональных данных, антивирусной политики, правил работы со съемными носителями (в случае их использования), правил резервного копирования, правил доступа в помещения, где расположены элементы информационных систем персональных данных.
11.7. При хранении персональных данных, полученных в результате обезличивания, обеспечивается раздельное хранение персональных данных, полученных в результате обезличивания, и информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных.
11.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом единоличного исполнительного органа Оператора.
11.9. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
11.10. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя,
не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
11.11. Комиссия подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 No179, а именно:
- актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
- актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств;
- акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями;
- формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом единоличного исполнительного органа Оператора.
12.Защита персональных данных
12.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.
12.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно- распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование систем защиты персональных данных.
12.3. Подсистема организационной защиты включает в себя организацию структуры управления систем защиты персональных данных, разрешительной системы, защиты информации при работе с сотрудниками, партнерами
и сторонними лицами.
12.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно- аппаратных средств, обеспечивающих защиту персональных данных.
12.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:
- назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных;
- определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и разработка мер и мероприятий по защите персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
- установление индивидуальных паролей доступа сотрудников Оператора в информационную систему в соответствии с их производственными обязанностями;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
- соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, ознакомление с документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
- для обеспечения безопасности программного обеспечения сканирование сервисов и приложений на наличие уязвимостей с использованием комбинации статического анализа исходного кода и динамического тестирования;
- шифрование всех данных пользователей при транспортировке с использованием TLS;
- осуществление внутреннего контроля и аудита.
13. Основные права субъекта персональных данных и обязанности Оператора. Рассмотрение запросов субъектов персональных данных.
13.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора) которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона.
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Указанные сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Указанные сведения предоставляются субъекту персональных данных или его представителю уполномоченным лицом Оператора, осуществляющим обработку соответствующих персональных данных, в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на пять рабочих дней, в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения) либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
13.2. Субъекты персональных данных вправе требовать от Оператора уточнения их персональных данных их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
13.3. Оператор обязан:
- при обращении субъекта персональных данных предоставить информацию об обработке персональных данных;
- в случаях, если персональные данные были получены не от субъекта персональных данных, уведомить субъект персональных данных о факте получения персональных данных Оператором;
- при отказе в предоставлении персональных данных разъяснить субъекту персональных данных последствия такого отказа;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Оператора в отношении обработки персональных данных;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
- отказать субъекту персональных данных в выполнении запроса о предоставлении сведений в случае несоответствия запроса указанным выше условиям или иным требованиям законодательства. Такой отказ должен быть мотивированным;
- в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в сроки, установленные ч. 3.1 ст. 21 Федерального закона № 152-ФЗ «О персональных данных» .
Отзыв согласия об обработке персональных данных
14.1. Срок действия согласия субъекта персональных данных является неограниченным, однако, субъект персональных данных вправе в любой момент отозвать согласие на обработку Оператором персональных данных в случаях, установленных законодательством, путём направления письменного уведомления по адресу местонахождения Оператора или на электронный адрес: rusarc.com@gmail.com с пометкой «Отзыв согласия на обработку персональных данных».
14.2. Отзыв согласия на обработку персональных данных влечёт за собой удаление учётной записи пользователя с Сайта, а также уничтожение записей, содержащих персональные данные, на бумажных носителях и в информационных системах обработки персональных данных Оператора и третьих лиц в срок, не превышающий 10 рабочих дней с момента получения.