Политика в отношении обработки персональных данных

Утверждаю:
Генеральный директор
ООО «Бизнес Сервис Интернешнл»
 
 
_______________
 
 
ПОЛИТИКА  ООО «Бизнес Сервис Интернешнл»
 
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  

1.     Общие положения

  1. Для выполнения норм действующего законодательства Российской Федерации в полном объеме ООО «Бизнес Сервис Интернешнл» (далее – Компания) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
  2. Настоящая политика Компании в отношении организации обработки и обеспечения безопасности (далее – Политика) характеризуется следующими признаками:
    1. Разработана в целях реализации требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных.
    2. Раскрывает способы и принципы обработки Компанией персональных данных, права и обязанности Компании при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Компанией в целях обеспечения безопасности персональных данных при их обработке.
    3. Является общедоступным документом, декларирующим концептуальные основы деятельности Компании при обработке и защите персональных данных.
  3. Компания до начала обработки персональных данных осуществила уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Компания добросовестно и своевременно осуществляет актуализацию сведений, указанных в уведомлении.

2.     Правовые основания обработки персональных данных

  1. Политика Компании в отношении организации обработки персональных данных разработана в соответствии со следующими нормативными правовыми актами Российской Федерации:
  • Конституцией Российской Федерации.
  • Трудовым кодексом Российской Федерации.
  • Гражданским кодексом Российской Федерации.
  • Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
  • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

3.     Цели обработки персональных данных

  1. Компания осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:
    1. Выполнения договорных отношений с клиентами ООО «Бизнес Сервис Интернешнл», обращающихся как непосредственно в офис компании для оказания туристских услуг, так и самостоятельно бронирующих данные услуги на сайтах: bsigroup.ru, datravel.com.
       
Организации трудовых взаимоотношений между ООО «Бизнес Сервис Интернешнл» и физическими лицами.

4.     Принципы обработки персональных данных

  1. Компания в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Обработка Компанией персональных данных осуществляется только в соответствии с целями, определившими их получение, при этом персональные данные, полученные работниками Компании, при исполнении ими должностных обязанностей подлежат защите.
  3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  4. На работников Компании возлагается обязанность по соблюдению конфиденциальности полученной информации. Право доступа для обработки персональных данных имеют ответственные должностные лица (работники Компании) в соответствии с возложенными на них функциональными обязанностями.
  5. Обработка персональных данных Компанией осуществляется с учетом соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных, достоверности персональных данных, их достаточности для целей обработки, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных. Компания принимает необходимые меры по удалению или уточнению неполных или неточных данных в соответствии с локальными нормативными актами Компании.
  6. Хранение персональных данных в Компании осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
  7. Сроки хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом персональных данных и Компанией, сроком исковой давности, сроками хранения документов на бумажных носителях и документов в электронных базах данных, иными требованиями законодательства Российской Федерации, а также сроком действия согласия субъекта на обработку его персональных данных.
  8. Обработка персональных данных в целях проведения маркетинговых мероприятий путем осуществления прямых контактов с субъектами персональных данных с помощью средств связи допускается только при условии получения согласия от субъекта персональных данных. Компания не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
  9. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных настоящей Политикой.
  10. Обработка персональных данных Компанией включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), в том числе трансграничную, обезличивание, блокирование, удаление, уничтожение персональных данных.
  11. Компания не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
  12. Компания не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
  13. Компания осуществляет трансграничную передачу персональных данных для выполнения договорных отношения с клиентами.
  14. Компанией не принимаются решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
  15. Компания осуществляет смешанную обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.

5.     Меры по надлежащей организации обработки и обеспечению безопасности персональных данных

  1. Компания при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
    1. Назначением ответственного лица за организацию обработки и обеспечение безопасности персональных данных.
    2. Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
    3. Ознакомлением работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и/или обучением указанных работников.
    4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
    5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
    6. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
    7. Учетом машинных носителей персональных данных.
    8. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
    9. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
    10. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
    11. Контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

6.     Права субъектов персональных данных

  1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Компанией способы обработки персональных данных;
  • наименование и место нахождения Компании, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона № 152-ФЗ;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту, источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
    1. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта к его персональным данным нарушает права и законные интересы третьих лиц;
    2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    3. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в Компанию. Компания рассматривает обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
    4. Субъект персональных данных вправе обжаловать действия или бездействие Компании путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
    5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

7.     Заключительные положения

  1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Компании.
  2. Пересмотр положений настоящей Политики проводится периодически не реже чем раз в три года, а также:
  • в случае появления новых законодательных актов и специальных нормативных документов, регламентирующих обработку и защиту ПДн;
  • по результатам проверок контролирующих органов исполнительной власти Российской Федерации, выявивших несоответствия требованиям по обеспечению безопасности ПДн;
  • при применении новых средств и методов обработки и защиты ПДн, существенно отличающихся от используемых в Компании;
    1. После пересмотра положений настоящей Политики, ее актуализированная версия публикуется на сайте Компании.
    2. Контроль за исполнением требований настоящей Политики и её пересмотру возлагается на Ответственного за организацию обработки персональных данных Компании.
    3. Ответственность должностных лиц Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Компании.

Политика в отношении обработки персональных данных.docx

Увы, не подходит. Проверьте правильность ввода

Это поле обязательно для заполнения

Ошибка: неверный e-mail

Период пребывания в отеле не более 29 дней