ПОЛИТИКА
по обработке персональных данных в информационных системах Общества с ограниченной ответственностью «Кларус»
1.1 Настоящая Политика по обработке персональных данных в информационных системах Общества с ограниченной ответственностью «Кларус» (далее – Политика) определяет основные принципы получения, хранения, обработки, передачи и любого другого использования персональных данных, обрабатываемых в информационных системах Общества с ограниченной ответственностью «Кларус» (далее – ООО «Кларус» или Оператор) в соответствии с законодательством Российской Федерации.
1.2 Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
1.3 Для целей настоящей Политики используются следующие основные понятия:
- персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
1.4 Обязанности субъекта персональных данных и Оператора
1.4.1 В целях обеспечения достоверности персональных данных субъект персональных данных обязан:
- предоставлять ООО «Кларус» полные и достоверные данные о себе.
- в случае изменения своих персональных данных сообщать данную информацию ООО «Кларус».
1.4.2 Оператор обязан:
- осуществлять защиту персональных данных субъекта персональных данных.
- вести журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных в информационных системах ООО «Кларус».
- ограничить доступ с помощью соответствующего средства защиты информации к журналу учета обращений субъектов персональных данных по вопросам обработки их персональных данных в информационных системах ООО «Кларус» (в электронной и бумажной форме) кругом должностных лиц (сотрудников), которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
- обеспечивать хранение документации, содержащей персональные данные субъектов персональных данных, при этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
1.5.1 Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
1.5.2 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения.
1.5.3 Субъект персональных данных имеет право на определение представителей для защиты своих персональных данных.
1.5.4 Субъект персональных данных имеет право требовать исключить или исправить неверные или неполные персональные данные, а также данные, обрабатываемые с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.5.5 Субъект персональных данных имеет право требовать об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
1.5.6 Если субъект персональных данных считает, что ООО «Кларус» осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие ООО «Кларус» в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
1.5.7 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
2 Основание и цели обработки персональных данных
2.1 Обработка ПДн осуществляется на законной и справедливой основе.
2.2 Основания обработки персональных данных в ИС ООО «Кларус», а также источники их получения, указаны в таблице 1.
Таблица 1 – Основание обработки персональных данных в ИС ООО «Кларус»
| Наименование ИС | Основание обработки | Цель обработки | Источники получения ПДн |
| Информационная система персональных данных «Opera» | Федерального закона от 24.11.1996 № 132-ФЗ «Об основах туристской деятельности в Российской Федерации», постановления Правительства РФ от 18.11.2020 № 1853 (ред. От 01.04.2021) «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации» | Регистрация сведений физических лиц (субъектов персональных данных), необходимых для осуществления деятельности, предусмотренной уставом (оказания услуг в области гостеприимства) | Клиенты ООО «Кларус» |
2.3 Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей, указанных в таблице 1.
2.4 Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Обработке подлежат только ПДн, которые отвечают целям их обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки. Категории субъектов ПДн и состав обрабатываемых ПДн определены в Таблице 2 настоящей Политики и соответствуют заявленным целям обработки. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
3 Перечень персональных данных о субъекте персональных данных, обрабатываемых в информационных системах, и категории субъектов, персональные данных которых обрабатываются
3.1 Перечень персональных данных о субъекте персональных данных, обрабатываемых в информационных системах, и категории субъектов, персональные данных которых обрабатываются указаны в таблице 2.
Таблица 2 – Перечень персональных данных, обрабатываемых в ИС ООО «Кларус»
| Наименование ИС | Тип субъектов персональных данных | Состав сведений | Допустимые операции |
| Информационная система персональных данных «Opera» | Не являющиеся сотрудниками оператора | Фамилия, имя, отчество; дата и место рождения; адрес проживания, адрес регистрации. данные, содержащиеся в документе, удостоверяющем личность (вид документа; серия и номер документа; сведения об органе, выдавшем документ (наименование; код), дата выдачи документа); номер телефона; электронная почта. | Сбор, запись, систематизация, накопление, хранение, уничтожение, использование, передача (предоставление). |
4 Порядок и условия обработки персональных данных
4.1 Перечень действий, совершаемых оператором с ПДн субъектов
В ходе обработки ПДн Оператором возможно совершение указанных в таблице 2 действий с персональными данными субъектов.
4.2 Используемые оператором способы обработки персональных данных
Обработка полученных персональных данных осуществляется Оператором как с использованием средств автоматизации, так и на бумажных носителях (без использования средств автоматизации).
4.3 Порядок передачи персональных данных третьим лицам
В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных Оператор обязуется не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
Трансграничная передача ПДн Оператором не осуществляется.
4.4 Обеспечение конфиденциальности персональных данных
Оператор и иные лица, получившие доступ к персональным данным на законном основании, с целью обеспечения конфиденциальности ПДн в соответствии со ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
4.5 Порядок ознакомления с политикой Оператора в отношении обработки персональных данных и принятых мерах по обеспечению безопасности ПДн
В соответствии с требованиями ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» настоящая Политика открыто опубликована и доступна для ознакомления в информационно-телекоммуникационной сети Интернет на официальном сайте ООО «Кларус».
Во исполнение требований ч.1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Оператором приняты необходимые правовые, организационные и технические меры для защиты персональных данных при их обработке от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с утвержденным Оператором комплектом организационно-распорядительной документации в области защиты персональных данных при их обработке в ИС ООО «Кларус».
4.6 Условия прекращения обработки персональных данных
Условием прекращения обработки персональных данных является достижение целей обработки персональных данных или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
4.7 Организация хранения персональных данных
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации и/или договором, стороной которого является субъект ПДн.
Для организации хранения персональных данных в случае автоматизированной обработки Оператор в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» использует сервера, находящиеся на территории Российской Федерации. При обработке персональных данных без использования средств автоматизации хранение организовано в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687, а именно:
- Оператором определены места хранения персональных данных (материальных носителей) и установлены перечни лиц, осуществляющих обработку персональных данных без использования средств автоматизации, либо имеющих к ним доступ;
- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- Оператором определен перечень лиц, ответственных за реализацию организационно-режимных мер, направленных на обеспечение сохранности персональных данных, обработка которых осуществляется без использования средств автоматизации, и исключающих несанкционированный к ним доступ, и обеспечен контроль за их соблюдением.
5 Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
5.1 Актуализация, исправление, удаление персональных данных
При обработке ПДн должны быть обеспечены точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн. Оператор не проверяет достоверность персональных данных, предоставляемых субъектами персональных данных. При этом Оператор исходит из того, что субъект персональных данных предоставляет достоверную и достаточную для достижения целей обработки персональную информацию.
Согласно ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае подтверждения факта неточности персональных данных или неправомерности их обработки ООО «Кларус» принимает необходимые меры, либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных и временному прекращению обработки до момента устранения выявленных нарушений.
5.2 Уничтожение персональных данных
Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также в случае отзыва согласия субъекта персональных данных на обработку его персональных данных, или в случае выявления неправомерной обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, или иным соглашением между Оператором и субъектом персональных данных.
5.3 Порядок рассмотрения запросов субъектов персональных данных
Оператор обязуется сообщать субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по его запросу.
Правила рассмотрения запросов субъектов персональных данных или их представителей, а также соответствующие формы запросов/обращений, предоставляются ООО «Кларус» по запросу не позднее тридцати календарных дней со дня получения запроса.
