Политика конфиденциальности и условия использования персональных данных | TUI Москва
В Москве
Главная > Политика конфиденциальности и условия использования персональных данных

Обработка персональных данных 2.1 Компания обрабатывает персональные данные с согласия субъекта ПДн, а также без его согласия в случаях, предусмотренных законодательством о персональных данных. В случаях, предусмотренных законом, Компания осуществляет обработку персональных данных только с согласия субъекта ПДн, данного в письменной форме. Согласие на обработку персональных данных может быть дано в форме отдельного документа либо включено в договоры, которые подписываются субъектом ПДн и Компанией, либо иным, не противоречащим требованиям законодательства Российской Федерации, способом. 2.2 Письменное согласие субъекта ПДн должно включать: — фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; — фамилию, имя, отчество, адрес законного представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого законного представителя (при получении согласия от законного представителя субъекта ПДн); — наименование и адрес Компании; — цель обработки персональных данных; — перечень персональных данных, на обработку которых дается согласие субъекта ПДн; — наименование организации, которой могут передаваться персональные данные; — перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Компанией способов обработки персональных данных; — срок, в течение которого действует согласие, а также порядок его отзыва, если иное не установлено Федеральным законом; — подпись субъекта ПДн. 2.3 Равнозначным содержащему собственноручную подпись письменному согласию субъекта ПДн на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом электронной подписью. 2.4 Запрещается собирать и иным способом обрабатывать персональные данные, касающиеся политических, религиозных и иных убеждений субъекта ПДн, его расовой и национальной принадлежности, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах, за исключением случаев, предусмотренных законодательством Российской Федерации. 2.5 Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством о персональных данных. 2.6 В случае изменения сведений, указанных в ранее поданном Компанией уведомлении в уполномоченный орган по защите прав субъектов ПДн, Компания обязана направить уведомление об изменении таких сведений в течение десяти рабочих дней с даты возникновения таких изменений.

Доступ к персональным данным 3.1 Доступ к персональным данным разрешается только работникам Компании, должности которых включены в «Перечень лиц, имеющих доступ к персональным данным или осуществляющих обработку персональных данных» и только в необходимом объеме. Перечень лиц, имеющих доступ к персональным данным или осуществляющих обработку персональных данных» утверждается приказом по Компании. 3.2 Доступ к персональным данным также могут иметь лица, оказывающие Компании услуги по договорам гражданско-правового характера, которым соответствующие персональные данные необходимы для оказания услуг по договору. 3.3 До начала обработки персональных данных все работники Компании, которым предоставляется доступ к персональным данным, должны быть ознакомлены с действующими документами Компании, устанавливающими порядок обработки персональных данных. 3.4 Процедура предоставления работникам доступа к персональным данным приведена в «Положении об организации и ведению работ по обеспечению безопасности персональных данных при их обработке». 3.5 В случае, если Компании оказываются услуги по договорам гражданско-правового характера, в силу которых физическим лицам может быть предоставлен доступ к персональным данным субъектов ПДн, то в тексте договоров с указанными физическими лицами должны содержаться положения об обеспечении указанными лицами конфиденциальности и безопасности персональных данных при их обработке, а также правила, устанавливающие порядок обработки персональных данных. 3.6 В случае, если Компани оказывают услуги юридические лица на основании заключенных договоров, в силу которых работникам указанных юридических лиц предоставляется доступ к персональных данных субъектов ПДн, то в договорах с этими юридическими лицами также должны содержаться положения об обеспечении ими конфиденциальности и безопасности персональных данных при их обработке.

Сбор персональных данных 4.1 Компания осуществляет сбор персональных данных путем их получения от субъекта ПДн, если иное не предусмотрено Федеральным законом. 4.2 Если персональные данные были получены не от субъекта ПДн, Компания до начала обработки таких персональных данных обязана уведомить (за исключением случаев, предусмотренных законодательством) субъекта ПДн о начале обработки его персональных данных, сообщив следующую информацию: -наименование и адрес Компании; -цель обработки персональных данных и ее правовое основание; -предполагаемые пользователи персональных данных; -установленные Федеральным законом права субъекта ПДн; -источник получения персональных данных. Примечание: Способ направления такого уведомления субъекту ПДн может различаться и определяется Компанией в каждом случае отдельно. 4.3 Субъект ПДн обязан предоставлять Компании достоверные сведения о себе. 4.4 Компания имеет право проверять достоверность сведений, предоставленных субъектом ПДн, способами, не противоречившими действующему законодательству Российской Федерации. 4.5 При изменении персональных данных, переданных Компании и необходимых для исполнения обязательств по договору, субъект ПДн уведомляет Компанию о таких изменениях. Субъект ПДн может уведомить Компанию об изменении своих персональных данных путем направления уведомления по почте либо обратившись в Компанию лично.

Хранение персональных данных 5.1 Персональные данные субъектов ПДн хранятся в электронном виде в ИСПДн и на материальных носителях персональных данных. 5.2 Материальные носители персональных данных должны храниться только в местах, определенных в «Перечне мест хранения материальных носителей персональных данных». 5.3 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации, договором, заключенным с субъектом ПДн. Персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в их достижении. 5.4 Сроки хранения персональных данных определяются исходя из целей обработки персональных данных, в соответствии со сроком действия договора с субъектом ПДн, приказом Минкультуры Российской Федерации от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», требованиями федеральных законов, основными правилами работы архивов организаций, сроками исковой давности. 5.5 Персональные данные, срок хранения которых истек, должны быть уничтожены, если иное не предусмотрено Федеральным законом. Хранение персональных данных после прекращения их обработки допускается только после их обезличивания. 5.6 Работники Компании или лицо, оказывающее Компании услуги по договору гражданско-правового характера, имеющие доступ к персональным данным субъектов ПДн в связи с исполнением трудовых обязанностей / оказанием услуг по договору, обеспечивают хранение персональных данных, исключающее доступ к ним третьих лиц. 5.7 При прекращении трудовых/гражданско-правовых отношений с работником / лицом, оказывающим Компании услуги по договору гражданско-правового характера, имеющим доступ к персональным данным, документы и иные носители, содержащие персональные данные субъектов ПДн, передаются непосредственному руководителю, который подписывает обходной лист только после получения носителей персональных данных.

Передача персональных данных 6.1 Не допускается передача персональных данных третьим лицам без согласия субъектов ПДн, за исключением случаев, установленных законодательством Российской Федерации. 6.2 Передача персональных данных внутри Компании осуществляется только между работниками, имеющими доступ к персональным данным соответствующей категории субъектов ПДн. 6.3 Передача третьим лицам документов, содержащих персональные данные, осуществляется в соответствии с договорными обязательствами или по письменному запросу третьего лица на предоставление персональных данных, при этом третье лицо должно обладать полномочиями по получению таких данных. 6.4 Работники Компании, передающие персональные данные третьим лицам, должны передавать их с обязательным уведомлением лица, получающего эти данные, об обязанности использования полученной информации ограниченного доступа лишь в целях, для которых она сообщена, и с предупреждением об ответственности за незаконное использование данной информации в соответствии с федеральными законами. Условие неразглашения информации ограниченного доступа включается в договор, на основании которого производится передача персональных данных. 6.5 До передачи машинных носителей персональных данных в сторонние организации для ремонта работники Компании должны провести уничтожение персональных данных. При замене машинного носителя персональных данных или его передаче в другое подразделение необходимо провести уничтожение или обезличивание персональных данных. При передаче машинного носителя персональных данных в стороннюю организацию для восстановления данных с этой организацией должно быть заключено соглашение о конфиденциальности (о неразглашении). 6.6 Законному представителю субъекта ПДн данные соответствующего субъекта ПДн передаются в порядке, установленном действующим законодательством. Информация передается при наличии документов, подтверждающих возникновение полномочий законного представителя. -документы, подтверждающие возникновение полномочия законного представителя; -доверенность законного представителя субъекта ПДн, содержащая согласие субъекта ПДн на предоставление его персональные данных законному представителю. 6.7 Предоставление персональных данных государственным органам производится в соответствии с требованиями действующего законодательства Российской Федерации. 6.8 Персональные данные могут быть предоставлены родственникам или членам семьи субъекта ПДн (кроме законных представителей) только с письменного разрешения самого субъекта ПДн, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством Российской Федерации. 6.9 Документы, содержащие персональные данные, могут быть отправлены посредством федеральной почтовой связи или курьерской службы. 6.10 Учет переданных персональных данных осуществляется в рамках принятых в Компании правил делопроизводства путем регистрации входящей и исходящей корреспонденции и запросов, как государственных органов, так и структурных подразделений Компании, физических (юридических) лиц либо их представителей о предоставлении персональных данных. При регистрации фиксируются сведения о лицах, направивших такие запросы, дата выдачи персональных данных либо дата уведомления об отказе в предоставлении персональных данных (в случае отказа). 6.11 В случае если лицо, обратившееся в Компанию с запросом на предоставление персональных данных, не уполномочено на их получение, Компания обязана отказать лицу в выдаче такой информации. Лицу, обратившемуся с соответствующим запросом, выдается уведомление в свободной форме об отказе в выдаче информации, а копия уведомления хранится в соответствии с принятыми правилами делопроизводства (как исходящая корреспонденция). 6.12 Компания обязана: -по запросам уполномоченного органа по защите прав субъектов ПДн представлять документы и локальные акты и (или) иным образом подтверждать принятие необходимых и достаточных мер для обеспечения выполнения обязанностей оператора персональных данных, предоставлять информацию (за исключением информации, составляющей охраняемую законом тайну, предоставление которой уполномоченному органу по защите прав субъектов ПДн не допускается); -по запросам иных контрольных (надзорных) органов, в пределах их полномочий предоставлять информацию, в пределах, установленных законодательством Российской Федерации.

Блокирование и уничтожение персональных данных Блокирование персональных данных субъекта ПДн производится при обращении или по запросу субъекта ПДн (его законного представителя либо уполномоченного органа по защите прав субъектов ПДн) в случаях: -выявления недостоверных персональных данных; -выявления неправомерной обработки персональных данных. При возникновении указанных случаев персональные данные субъекта ПДн блокируются на всех носителях, где они зафиксированы, и в ИСПДн до:

-уточнения персональных данных и последующего разблокирования; -прекращения неправомерной обработки либо уничтожения персональных данных. Персональные данные субъектов ПДн подлежат уничтожению, если иное не предусмотрено федеральными законами или соглашением между Компанией и субъектом ПДн, в следующих случаях: -в случае выявления неправомерной обработки персональных данных и невозможностью устранения допущенных нарушений; -по требованию субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если персональные данные являются не полными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; -в случае отзыва субъектом ПДн согласия на обработку своих персональных данных; -по достижении целей обработки или в случае утраты необходимости в их достижении