Статья 6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ.
6.1. Защите подлежат следующие объекты персональные данные Клиентов, если только с них на законном основании не снят режим конфиденциальности: документы, содержащие персональные данные Клиента; бумажные носители, содержащие персональные данные Клиентов; информация, содержащая персональные данные Клиентов, размещенная на электронных носителях.
6.2. Турагент в интересах обеспечения выполнения обязанностей, возложенных на него Законом "О персональных данных" и другими нормативными актами, регламентирующими деятельность юридических лиц по обработке персональных данных, принимает меры, предусмотренные настоящим Положением, Положение об обработке и защите персональных данных Работников и Положением о мерах по организации защиты информационных систем персональных данных.
6.3. Общую организацию защиты персональных данных Клиентов осуществляет Турагент.
6.4. Турагент обеспечивает: ознакомление сотрудников под роспись с настоящим Положением; истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиента и соблюдении правил их обработки; ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных в Турагенте.
6.5. Защита информационных систем Турагента, в которых обрабатываются персональные данные Клиентов, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
6.6. Доступ к персональным данным Клиента имеют сотрудники Турагента, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей, утверждаемого приказом индивидуального предпринимателя.
6.7. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией директора, доступ к персональным данным Клиента может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным Клиента, и которым они необходимы в связи с исполнением трудовых обязанностей.
6.8. Процедура оформления доступа к персональным данным Клиента включает в себя: ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись; истребование с сотрудника (за исключением директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки.
6.9. Сотрудник Турагента, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей: обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц; в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов; при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов лицу, на которое приказом Индивидуального предпринимателя будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию индивидуального предпринимателя.
6.10. При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию директора Турагента.
6.11. Допуск к персональным данным Клиента других сотрудников Турагента, не имеющих надлежащим образом оформленного доступа, запрещается.
6.12. Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы, обеспечивающие защиту от несанкционированного доступа.
6.13. Защита доступа к электронным носителям, содержащим персональные данные Клиентов, обеспечивается, в том числе: организацией контроля доступа в помещения информационной системы посторонних лиц; использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным; разграничением прав доступа с использованием учетной записи; установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; учетом машинных носителей персональных данных; обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер; контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.
6.14. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях.
6.15. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Турагента, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.
Статья 7. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ.
7.1. Обработка персональных данных Клиента осуществляется Турагентом исключительно для достижения целей, определенных письменными договорами между Клиентом - Турагентом, в частности для оказания услуг Клиенту по подбору, бронированию и предоставлению ему туристского продукта.
7.2. Обработка персональных данных Турагентом в интересах Клиента заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов.
7.3. Обработка персональных данных Клиентов ведется смешанным методом (в том числе автоматизированной) обработки.
7.4. К обработке персональных данных Клиента могут иметь доступ только сотрудники Турагента, допущенные к работе с персональными данными Клиента.
7.5. Согласие на обработку персональных данных может быть отозвано Клиентом. В случае отзыва Клиентом согласия на обработку персональных данных Турагент вправе продолжить обработку персональных данных без согласия Клиента при наличии следующих оснований: обработка персональных данных необходима для осуществления и выполнения возложенных на Турагента Федеральным законом № 132-ФЗ от 24.11.1996 года "Об основах туристской деятельности в Российской Федерации" функций, полномочий и обязанностей; обработка персональных данных Клиента необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем; обработка персональных данных Клиента необходима для осуществления прав и законных интересов Турагента или третьих лиц при условии, что при этом не нарушаются права и свободы Клиента.
7.6. В случае отзыва Клиентом согласия на обработку его персональных данных, и если сохранение персональных данных более не требуется для целей обработки персональных данных Турагент обязан прекратить их обработку и обеспечить прекращение такой обработки другим лицом, в частности Туроператором, действующим по поручению Турагента, а также уничтожить персональные данные Клиента и обеспечить их уничтожение другим лицом, действующим по поручению Турагента.
7.7. Турагент уничтожает персональные данные Клиента, и обеспечивает их уничтожение другими лицами, действующими по поручению Турагента, в следующие сроки: хранящиеся на электронных носителях в течение тридцати дней со дня окончания установленного законодательством претензионного срока обращения Клиента с жалобой на качество предоставленных ему туристских услуг; хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока исковой давности по договору Клиент-Турагент; хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
Статья 8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ.
8.1. Передача персональных данных Клиента осуществляется Турагентом исключительно для достижения целей, определенных письменными договорами между Клиентом - Турагентом, в частности для оказания услуг Клиенту по подбору, бронированию и предоставлению ему туристского продукта.
8.2. Передача персональных данных Клиента третьим лицам осуществляется Турагентом только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Клиента и безопасности персональных данных при их обработке.
8.3. Турагент в договоре с Клиентом обуславливает право третьих лиц, которым Турагент передает персональные данные Клиента, осуществлять трансграничную передачу персональных данных Клиента на территории иностранных государств, которые он планирует посетить, в том числе и на территории государств, не обеспечивающих адекватную защиту персональных данных.
Статья 9. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ.
9.1. Персональные данные Клиентов могут храниться, как на бумажных носителях, так и в электронном виде.
9.2. Персональные данные Клиентов хранятся: в отделе Турагента, который принимает заявки Клиентов на бронирование туристского продукта; в отделе, который осуществляет работу непосредственно с Клиентами; в бухгалтерии Турагента; в юридическом отделе.
9.3. Персональные данные Клиентов содержатся в следующих группах документов: письменные заявки Клиентов на бронирование туристского продукта; письменные договора с Клиентами на реализацию им туристского продукта; приложения к письменным договорам с Клиентами на реализацию им туристского продукта; бухгалтерские документы, которыми оформляются сделки между Клиентом и Турагентом или Турагентом и Туроператором; письменные претензии Клиентов по качеству предоставленных им туристских услуг; письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по искам Клиентов против Турагента либо Турагента против Клиентов или Туроператора.
9.4. Персональные данные Клиентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных шкафах с замком.
9.5. Ключи от шкафов хранятся у сотрудников, допущенных к работе с персональными данными клиентов.
9.6. Персональные данные Клиентов также хранятся в электронном виде: на машинных носителях персональных данных, в электронных папках и файлах в ПК сотрудников отделов, перечисленных в п.9.2. настоящей статьи, и допущенных к работе с персональными данными Клиентов.
9.7. После достижения цели обработки персональных данных Турагент обязан прекратить обработку персональных данных Клиентов и уничтожить их персональные данные.
9.8. Персональные данные Клиентов, содержащиеся на бумажных носителях, уничтожаются по акту в следующие сроки: хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока исковой давности по договору Клиент-Турагент или Клиент-Турагент; хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
9.9. Обработка персональных данных, содержащихся на электронных носителях информации, прекращается, а сами персональные данные уничтожаются в течение тридцати дней со дня окончания установленного законодательством претензионного срока обращения Клиента с жалобой на качество предоставленных ему туристских услуг.