1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая политика конфиденциальности (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных Общества с ограниченной ответственностью «ДЕМИ-Трэвел» (ОГРН 1137746036120 ИНН 7705530874, КПП 770401001, юридический адрес: 119002, г.Москва, вн.тер.г. муниципальный округ Хамовники, пер. Сивцев Вражек, д. 29/16, помещ. 1/1/6.
Номер в Реестр операторов, осуществляющих обработку персональных данных Роскомнадзора: 77-25-275219 (Приказ № 288 от 19.06.2025)
(далее — Оператор).
Настоящая Политика разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) с учётом требований Закона о персональных данных и иных нормативных правовых актов Российской Федерации в области персональных данных.
Настоящая Политика является основным руководящим внутренним документом Оператора, определяющим требования, предъявляемые в отношении обработки и обеспечения безопасности ПДн.
Внутренние документы Оператора, регламентирующие вопросы, рассматриваемые в настоящей Политике, должны разрабатываться с учетом положений настоящей Политики и не противоречить им.
Настоящая Политика разработана в целях реализации положений законодательства Российской Федерации в отношении обработки персональных данных, а также требований нормативных и методических документов по защите персональных данных (далее – ПДн).
Настоящая Политика подлежит актуализации по инициативе Оператора, а также в случае изменения законодательства Российской Федерации о персональных данных.
Субъект ПДн самостоятельно принимает решение о предоставлении его ПДН и даёт согласие свободно, своей волей и в своём интересе.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике оператора в отношении обработки персональных данных в соответствии с ч. 2 ст. 18.1. Федерального закона № 152-ФЗ.

2. ОСНОВНЫЕ ПОНЯТИЯ

В целях настоящей Политики нижеприведённые термины используются в следующем значении:
Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработчик персональных данных– это лицо, которое обрабатывает персональные данные по поручению оператора.
Оператор персональных данных - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Субъект персональных данных, Субъект — физическое лицо, которое может быть прямо или косвенно определено с помощью персональных данных.
Согласие на обработку персональных данных, Согласие — письменный или цифровой документ, который подтверждает добровольное решение Субъекта передать Оператору персональные данные в объёме, на условиях и для целей, определённых настоящей Политикой и договорами, заключёнными между Субъектом и Оператором.
Cookie - небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
IP-адрес - уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
Пользователь – субъект персональных данных, посетивший сайт https://demi-travel.ru/ , и использующий результаты функционирования сайта https://demi-travel.ru/
ИСПДн — это информационная система персональных данных, совокупность персональных данных (баз данных), информационных технологий и технических средств, используемых для их обработки (хранения, уточнения, передачи, уничтожения). Это любое место — от 1С до Excel-файла — где хранятся личные данные сотрудников или клиентов.

3. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка ПДн Оператором осуществляется с учётом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
· обработка ПДн осуществляется на законной основе;
· обработка ПДн ограничивается достижением конкретных, заранее определённых и законных целей;
· не допускается обработка ПДн, несовместимая с целями сбора персональных данных;
· содержание и объём обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
· при обработке ПДн обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях — актуальность по отношению к целям обработки персональных данных;
· хранение ПДн осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;
· обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Оператор обрабатывает ПДн, ставшие известными Обществу в связи с реализацией уставных задач и целей деятельности Общества, а также в результате, но не ограничиваясь:

· принятия решения о трудоустройстве;
· обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
· принятия решения о заключении, заключение и исполнение договоров;
· идентификация Субъекта с целью заключения любых договоров с Оператором и их дальнейшего исполнения;
· заключения любых договоров с Оператором и их дальнейшего исполнения;
· заключения соглашений о сотрудничестве;
· оформления и/или получения доверенностей (в том числе от имени Оператора);
· получения любых иных документов от клиентов, контрагентов Оператора, необходимых для заключения Оператором договоров с такими лицами;
· поступления к Оператору письменных, в том числе электронных обращений, запросов, заявлений, жалоб, ходатайств;
· переписки по электронной почте;
· получения Оператором документов посетителей при посещении ими помещений Оператора;
· пропуска посетителей на территорию Оператора;
· установление с Субъектом обратной связи, включая, направление электронных писем, запросов, обработки запросов и заявок от Субъекта;
· подтверждение достоверности и полноты ПДн, предоставленных Субъектом;
· осуществления иных действий, предусмотренных действующим законодательством Российской Федерации или внутренними политиками Оператора.

5. ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ ПДн

Основания для обработки ПДн субъектов ПДн Оператором являются:
· Федеральный закон Российской Федерации от 30.11.1994 г. № 51-ФЗ «Гражданский кодекс Российской Федерации (часть первая)»;
· Федеральный закон Российской Федерации от 26.01.1996 г. № 14-ФЗ «Гражданский кодекс Российской Федерации (часть вторая)»;
· Федеральный закон Российской Федерации от 31.07.1998 года № 146-ФЗ «Налоговый кодекс Российской Федерации»;
· Федеральный закон Российской Федерации от 30.12.2001 г. № 197-ФЗ «Трудовой кодекс Российской Федерации»;
· Федеральный закон Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
· Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – федеральный закон № 152-ФЗ);
· Федеральный закон № 115-ФЗ от 07.08.2001 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
· Федеральный закон № 27-ФЗ от 01.04.1996 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
· Статья 13.2 Федерального закона № 115-ФЗ от 25.07.2002 «О правовом положении иностранных граждан в Российской Федерации»;
· Федеральный закон № 255-ФЗ от 29.12.2006 «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
· Федеральным законом № 165-ФЗ от 16.07.1999 «Об основах обязательного социального страхования»;
· Федеральный закон № 402-ФЗ от 06.12.2011 «О бухгалтерском учете»;
· Федеральным законом № 326-ФЗ от 29.11.2010 «Об обязательном медицинском страховании в РФ»;
· Федеральным законом №125-ФЗ от 22.10.2004 «Об архивном деле в РФ»;
· Федеральный закон № 132-ФЗ от 24.11.1996 «Об основах туристской деятельности в Российской Федерации»;
· Постановление Правительства РФ от 27.11.2025 № 1912 «Об утверждении Правил предоставления гостиничных услуг и услуг иных средств размещения в Российской Федерации»
· Постановление Госкомстата России от 05.01.2004 года № 1 «Об утверждении унифицированных форм первичной учётной документации по учёту труда и его оплаты»;
· Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
· Постановление правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – № 1119-ПП);
· Постановление Правительства РФ от 27.11.2025 № 1912 «Об утверждении Правил предоставления гостиничных услуг и услуг иных средств размещения в РФ»;
· согласие субъектов персональных данных на обработку ПДн (п. 1 ч. 1 ст. 6 Федерального закона № 152-ФЗ);
· договор с оператором персональных данных, который поручает Обществу обработку персональных данных;
· Устав Оператора.

6. КАТЕГОРИИ, ПЕРЕЧЕНЬ, ОСНОВАНИЯ, СРОКИ, СПОСОБЫ ОБРАБОТКИ ПДн

Оператор обрабатывает ПДн следующих категорий субъектов ПДн:
· ПДН работников;
· ПДн кандидатов на вакантную должность;
· ПДн контактных лиц работников/ ближайших родственников работников
· ПДн физических лиц, работающих по гражданско-правовому договору (ГПХ)
· ПДн, передаваемые третьими лицами (клиентами, компаниями-клиентами)
· ПДн сотрудников компаний-клиентов
· ПДн контрагентов: физических лиц, являющихся ип (индивидуальными предпринимателями) и самозанятыми
· ПДн посетителей офисов
· зарплатный проект банка
· ПДн, передаваемые третьему лицу/ компании-клиенту
· ПДн, передаваемые в государственные органы в виде отчетности
· ПДн посетители сайта
Оператор осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.
6.1. ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКОВ
Состав ПДн: ПДн, не являющиеся специальными или биометрическими:
Персональная информация: фамилия, имя, отчество; дата рождения; пол; место рождения; реквизиты документа, удостоверяющего личность (серия и номер документа, удостоверяющего личность, кем и когда выдан); ИНН; СНИЛС; номера контактных телефонов; адреса электронной почты; образование (наименование образовательного учреждения, квалификация по документу об образовании, профессия); сведения о семейном положении; сведения о составе семьи (степень родства, ближайшие родственники); социальное положение; сведения об инвалидности; адрес места жительства (по паспорту или иному документу, удостоверяющему личность); фактический адрес места жительства; дата регистрации по месту жительства; сведения о степени родства контактного лица, в случае наступления чрезвычайных ситуаций; сведения о награждении государственными и ведомственными наградами; наименование и реквизиты (серия и номер, дата выдачи, наименование организации) документа о награждении государственными и ведомственными наградами.
Информация, необходимая в рамках иммиграционного законодательства: гражданство, сведения о резидентстве; информация о местопребывании, информация о разрешении на работу; реквизиты миграционной карты; реквизиты документа, подтверждающего право пребывания (проживания) на территории РФ.
Данные для расчета и выплаты заработной платы: сведения о реквизитах банковского счета (информация о номере личного счета и банке, через который выплачивается заработная плата), информация по учету рабочего времени (включая периоды отпусков, праздничных дней, отсутствия по болезни и другим причинам, количество фактически отработанных часов и норма рабочего времени), дата увольнения; доходы, сведения о доходах за предыдущий период до текущего трудоустройства; сведения о размере оклада; сведения о начисленной и удержанной заработной плате; сведения о начисленных и уплаченных страховых взносах; сведения о премиях; сведения о периодических выплатах; сведения о сумме дополнительного вознаграждения; сведения о выплатах материальной помощи и иных компенсаций; сведения о доходах в натуральной форме; сведения о страховом и льготном стаже; сведения о финансовом положении; сведения о факте, виде, периоде и продолжительности нахождения в отпуске; наименование и размер льгот; сведения об основании для получения льгот; наименование и реквизиты (серия и номер, дата выдачи, наименование выдавшего органа) документа, подтверждающего право на получение льготы, сведения о резидентстве.
Информация о должности: место работы и занимаемая должность; описание текущей должности, наименование, тип оплаты труда, наименование подразделения, место работы, статус и характер занятости (работает, уволен, постоянно, временно), условия трудового договора, даты приема на работу и увольнения, стаж работы в Компании, информация о переводах на другие должности, и информация о вынесенных дисциплинарных взысканиях;
Информация о профессиональном развитии: сведения об образовании, квалификации, специальности (включая наименование учебного заведения, полученные степени), наименование и реквизиты документа (серия и номер, дата выдачи, наименование выдавшего органа) об образовании; сведения о знании иностранных языков (наименования языков и степень владения); информация из анкеты и резюме о периодах работы до работы в Компании с указанием наименований должностей и работодателей, дат приема на работу и увольнений; наименование профессии; сведения о стаже работы; сведения о характере работы; сведения о виде работы (основная/по совместительству); сведения о повышении квалификации, переподготовке, сведения о дате аттестации; сведения о решении комиссии по аттестации; сведения о документе (протоколе) об аттестации (номер и дата документа); сведения (дата, период, наименование организации, проводившей обучение) о прохождении обучения (повышения квалификации, переподготовки); сведения о посещаемости и успеваемости при прохождении обучения (повышения квалификации, переподготовки); наименование и реквизиты (серия и номер, дата выдачи, наименование организации, проводившей обучение) документа о прохождении обучения (повышения квалификации, переподготовки).
Информация о воинской обязанности: сведения о воинском учете, сведения о наличии военной обязанности; реквизиты (серия и номер, дата выдачи, наименование выдавшего органа) военного билета или удостоверения гражданина, подлежащего призыву на военную службу; категория запаса; воинское звание; состав (профиль), полное кодовое обозначение военно-учетной специальности; категория годности к военной службе.
Информация о наличии и размере компенсаций, о размере заработной платы: размер основного оклада (тарифной ставки), размеры премий, льгот, доплат, количество отработанных сверхурочных часов, информация о графике работы, информация о ставках заработной платы по занимаемой должности, информация о наличии наград, премий, иных доходов, периодичность выплат, дата последнего изменения заработной платы, информация о пересмотре заработной платы с учетом оценки результатов деятельности.
6.1.2. ПДн обрабатываются с целью: Соблюдения трудового законодательства и иных актов, содержащих нормы трудового права, что включает в себя: ведение учета в кадровом делопроизводстве; обеспечение правильного и своевременного расчета и начисления заработной платы и других выплат; выполнение требований Трудового, Гражданского, Налогового кодексов Российской Федерации, а также федеральных законов и других нормативных правовых актов Российской Федерации; определение компенсаций, льгот и прочих выплат (отпускные, пенсионный план, страхование, и т.д.); определение права на обучение; усовершенствование работы с персоналом, включая оценку, повышение в должности, дисциплинарные взыскания, увольнения, переводы и командирования, формирование отчетности по различным аспектам работы персонала и ее анализ; предоставление рекомендаций; облегчение коммуникаций с работниками, в том числе коммуникаций в случае чрезвычайных ситуаций; обеспечение здравоохранения работников, безопасности или сохранности имущества Общества, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества; выпуск доверенностей и иных уполномочивающих документов; изготовление пропусков; организация командировок и иных поездок; организация медицинского и иного страхования работников; приведение в соответствие внутренних процедур и процессов требованиям законодательства и политикам Общества, организации взаимодействия аффилированных компаний.
6.1.3. Основание для обработки: Устав; Согласие на обработку персональных данных; ст.ст.22, 86-90, 372 Трудовой кодекс РФ; Налоговый кодекс РФ; Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в РФ»; Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»; Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в РФ»; ст. 17, 19 Федеральный закон от 12.01.1996 № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности»; Постановление Минобразования РФ от 13.01.2003 № 1/29 «Об утверждении Порядка обучения по охране труда и проверки знаний требований охраны труда работников организаций»; Постановление Госкомстата РФ от 05.01.2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», трудовой договор.
6.1.4. Срок или условие прекращения обработки: ПДн обрабатываются до прекращения трудовых отношений с работником, после чего ПДн хранятся на основании Федерального Закона №125-ФЗ «Об архивном деле в РФ» от 22.10.2004 и иных нормативно-правовых актов, касающихся архивного дела и архивного хранения в РФ. Основанием прекращения обработки персональных данных является также отзыв согласия на отнесение персональных данных к общедоступным либо решение суда или иных уполномоченных государственных органов; отзыв согласия на передачу персональных данных; отзыв согласия на обработку биометрических персональных данных. До истечения сроков хранения персональных данных, установленных Федеральными законами РФ, нормативно-правовыми актами РФ.
6.1.5. Совершаемые действия (операции) с персональными данными: Сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (без права распространения); блокирование; удаление; уничтожение.
6.1.6. Общедоступность: только с письменного согласия субъекта, следующие ПДн являются общедоступными: фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.
6.1.7. Порядок уничтожения ПДн: после истечения сроков хранения персональных данных, установленных Федеральными законами РФ, нормативно-правовыми актами РФ; при отзыве субъектом персональных данных согласия на обработку его персональных данных. Уничтожение осуществляется в соответствии с Регламентом двумя способами в зависимости от типа носителя информации (бумажный или электронный). Для бумажных носителей персональных данных: физическое уничтожение носителя. Для электронных носителей: стирание на устройстве гарантированного уничтожения информации. Уничтожение производится способом, исключающим дальнейшую обработку этих персональных данных. Уничтожение носителя с персональными данными фиксируется Актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе (согласно приказу Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
6.1.8. Биометрические ПДн: только с письменного согласия субъекта следующие биометрические ПДн обрабатываются организацией: фотоизображение, аудио- и видеозапись с биометрическими данными работника.
Получение фотоизображения, аудио и видеозаписи, с целью идентификации, с целью обеспечения безопасности рабочих мест, соблюдения правил внутреннего трудового распорядка, с целью регистрации время начала и окончания рабочего дня в системе электронного учета рабочего времени в соответствии с фактическим началом и фактическим окончанием дня посредством системы электронного биометрического учета рабочего времени, с целью контроля за соблюдением технологического процесса, с целью обеспечения общественной безопасности (включая, но не ограничиваясь, пожарной, санитарной, экологической, технической и др.) с целью противодействия совершению преступлений и антиобщественных поступков.
Правовое основание получения биометрических данных: Устав Общества, Согласие на обработку персональных данных, Правила внутреннего распорядка Общества.

6.2.          ПЕРСОНАЛЬНЫЕ ДАННЫЕ КАНДИДАТОВ НА ВАКАНТНУЮ ДОЛЖНОСТЬ
6.2.1. Состав ПДн: ПДн, не являющиеся специальными или биометрическими: фамилия, имя, отчество; дата рождения; пол; гражданство; реквизиты документа, удостоверяющего личность; номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; сведения о трудовом стаже с указанием наименования организации и занимаемой должности за последние три года и в настоящее время (в том числе по совместительству, сведения об образовании (с указанием учебных заведений); сведения о знании иностранных языков, сведения о специальных навыках.
6.2.2. ПДн обрабатываются с целью: Принятия работодателем решения о приеме либо отказе в приеме на работу кандидата на вакантную должность.
6.2.3. Основание для обработки, руководствуясь: Устав; согласием на обработку ПДн.
6.2.4. Срок или условие прекращения обработки: до достижения цели обработки ПДн или утраты необходимости в достижении этих целей; до принятия решения по трудоустройству кандидата.
6.2.5. Совершаемые действия (операции) с ПДн: Сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение.
6.2.6. Общедоступность: ПДн не являются общедоступными.
6.2.7. Порядок уничтожения ПДн: при достижении цели обработки персональных данных или утраты необходимости в достижении этих целей; при отзыве субъектом персональных данных согласия на обработку его персональных данных; в иных установленных законодательством случаях. Срок, при достижении цели обработки и отзыва согласия - в течение 30 дней с даты достижения цели обработки или поступления отзыва согласия. Уничтожение осуществляется в соответствии с Регламентом двумя способами в зависимости от типа носителя информации (бумажный или электронный). Для бумажных носителей персональных данных: физическое уничтожение носителя.Для электронных носителей: стирание на устройстве гарантированного уничтожения информации. Уничтожение производится способом, исключающим дальнейшую обработку этих персональных данных. Уничтожение носителя с персональными данными фиксируется Актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе (согласно приказу Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
6.3.          ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОНТАКТНЫХ ЛИЦ РАБОТНИКОВ/ БЛИЖАЙШИХ РОДСТВЕННИКОВ РАБОТНИКОВ
6.3.1. Состав ПДн: ПДн, не являющиеся специальными или биометрическими: фамилия, имя, отчество; год рождения; степень родства, контактные данные.
6.3.2. ПДн обрабатываются с целью: Исполнения требований трудового законодательства РФ (заполнение карты Т-2), оформления льгот.
6.3.3. Основание для обработки: Устав; ст. 228 Трудовой кодекс РФ, п.2 Постановление Госкомстата РФ от 05.01.2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», согласием на обработку персональных данных.
6.3.4. Срок или условие прекращения обработки: ПДн обрабатываются до прекращения трудовых отношений с работником, после чего ПДн хранятся на основании Федерального Закона №125-ФЗ «Об архивном деле в РФ» от 22.10.2004 и иных нормативно-правовых актов, касающихся архивного дела и архивного хранения в РФ.
6.3.5. Совершаемые действия (операции) с ПДн: Сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение.
6.3.6. Общедоступность: ПДн не являются общедоступными.
6.3.7. Порядок уничтожения ПДн: При достижении цели обработки ПДн или утраты необходимости в достижении этих целей; истечения сроков хранения ПДн, установленных нормативно-правовыми актами РФ; при отзыве субъектом ПДн согласия на обработку его ПДн; в иных установленных законодательством случаях. Срок, при достижении цели обработки и отзыва согласия - в течение 30 дней с даты достижения цели обработки или поступления отзыва согласия. Уничтожение осуществляется в соответствии с Регламентом двумя способами в зависимости от типа носителя информации (бумажный или электронный). Для бумажных носителей ПДн: физическое уничтожение носителя. Для электронных носителей: стирание на устройстве гарантированного уничтожения информации. Уничтожение производится способом, исключающим дальнейшую обработку этих персональных данных. Уничтожение носителя с персональными данными фиксируется Актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе (согласно приказу Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
6.4.          ПЕРСОНАЛЬНЫЕ ДАННЫЕ ФИЗИЧЕСКИХ ЛИЦ, РАБОТАЮЩИХ ПО ГРАЖДАНСКО-ПРАВОВОМУ ДОГОВОРУ (ГПХ)
6.4.1. Состав ПДн: ПДн, не являющиеся специальными или биометрическими: фамилия, имя, отчество; дата рождения; место рождения; гражданство; реквизиты документа, удостоверяющего личность; ИНН; СНИЛС; номера контактных телефонов; адреса электронной почты; сведения о реквизитах банковского счета.
6.4.2. ПДн обрабатываются с целью: Исполнения обязательств, появившихся при заключении договорных отношений.
6.4.3. Основание для обработки: Устав; договор; Налоговый кодекс РФ; Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете».
6.4.4. Срок или условие прекращения обработки: ПДн обрабатываются до прекращения договорных отношений, после чего ПДн хранятся на основании Федерального Закона №125-ФЗ «Об архивном деле в РФ» от 22.10.2004, Налоговым кодексом РФ; Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» и иных нормативно-правовых актов, касающихся архивного дела и архивного хранения в РФ.
6.4.5. Совершаемые действия (операции) с ПДн: Сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение.
6.4.6. Общедоступность: ПДн: не являются общедоступными.
6.4.7. Порядок уничтожения ПДн: При достижении цели обработки ПДн или утраты необходимости в достижении этих целей; истечения сроков хранения ПДн, установленных нормативно-правовыми актами РФ; при отзыве субъектом ПДн согласия на обработку его ПДн; в иных установленных законодательством случаях. Срок, при достижении цели обработки и отзыва согласия - в течение 30 дней с даты достижения цели обработки или поступления отзыва согласия. Уничтожение осуществляется в соответствии с Регламентом двумя способами в зависимости от типа носителя информации (бумажный или электронный). Для бумажных носителей ПДн: физическое уничтожение носителя. Для электронных носителей: стирание на устройстве гарантированного уничтожения информации. Уничтожение производится способом, исключающим дальнейшую обработку этих персональных данных. Уничтожение носителя с персональными данными фиксируется Актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе (согласно приказу Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
6.5.          ПЕРСОНАЛЬНЫЕ ДАННЫЕ, КОНТРАГЕНТОВ, КЛИЕНТОВ
6.5.1. Состав ПДн: ПДн, не являющиеся специальными: фамилия, имя, отчество; адреса электронной почты.
6.5.2. ПДн обрабатываются с целью: Осуществления информационных рассылок, исполнение договорных обязательств, получения услуг, связанных с организацией поездок, оформлением и бронированием авиабилетов, гостиниц, трансферов, дополнительных услуг в рамках организации мероприятий (event), а также направлением подтверждающих документов и информированием по вопросам поездки.
6.5.3. Основание для обработки: Устав; договор с контрагентом, согласие на обработку персональных данных; согласие на передачу персональных данных (без распространения).
6.5.4. Срок или условие прекращения обработки: до достижения цели обработки ПДн или утраты необходимости в достижении этих целей; до прекращения договорных отношений с контрагентом, либо до дня отзыва согласия на обработку. В части передачи третьим лицам — до истечения сроков хранения данных у контрагентов, в соответствии с требованиями бухгалтерского и налогового учета.
6.5.5. Совершаемые действия (операции) с ПДн: Сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); передача; извлечение; использование; блокирование; удаление; уничтожение.
6.5.6. Общедоступность: ПДн не являются общедоступными.
6.5.7. Порядок уничтожения ПДн: при достижении цели обработки ПДн или утраты необходимости в достижении этих целей; при отзыве субъектом ПДн согласия на обработку его ПДн; отзыв согласия на передачу ПДн; в иных установленных законодательством случаях. Срок, при достижении цели обработки и отзыва согласия - в течение 30 дней с даты достижения цели обработки или поступления отзыва согласия. Уничтожение осуществляется в соответствии с Регламентом двумя способами в зависимости от типа носителя информации (бумажный или электронный). Для бумажных носителей ПДн: физическое уничтожение носителя. Для электронных носителей: стирание на устройстве гарантированного уничтожения информации. Уничтожение производится способом, исключающим дальнейшую обработку этих персональных данных. Уничтожение носителя с персональными данными фиксируется Актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе (согласно приказу Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
6.6.          ПЕРСОНАЛЬНЫЕ ДАННЫЕ СОТРУДНИКОВ КОМПАНИЙ-КЛИЕНТОВ
6.6.1. Состав ПДн: ПДн, не являющиеся специальными или биометрическими: фамилия, имя, отчество; номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность.
6.6.2. ПДн обрабатываются с целью: Заключение и исполнение договора с контрагентом.
6.6.3. Основание для обработки: Устав, договор с компанией-клиентом, согласие на обработку персональных данных; согласие на передачу персональных данных (без распространения).
6.6.4. Срок или условие прекращения обработки: до достижения цели обработки ПДн или утраты необходимости в достижении этих целей; до прекращения договорных отношений с компанией-клиентом. Основанием прекращения обработки ПДн является также отзыв согласия на обработку и передачу ПДн.
6.6.5. Совершаемые действия (операции) с персональными данными: Сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение.
6.6.6. Общедоступность: ПДн не являются общедоступными.
6.6.7. Порядок уничтожения ПДн: При достижении цели обработки ПДн или утраты необходимости в достижении этих целей; при отзыве субъектом ПДн согласия на обработку его ПДн; Основанием прекращения обработки ПДн является также отзыв согласия на обработку и передачу ПДн; в иных установленных законодательством случаях. Срок, при достижении цели обработки и отзыва согласия - в течение 30 дней с даты достижения цели обработки или поступления отзыва согласия. Уничтожение осуществляется в соответствии с Регламентом двумя способами в зависимости от типа носителя информации (бумажный или электронный). Для бумажных носителей ПДн: физическое уничтожение носителя. Для электронных носителей: стирание на устройстве гарантированного уничтожения информации. Уничтожение производится способом, исключающим дальнейшую обработку этих персональных данных. Уничтожение носителя с персональными данными фиксируется Актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе (согласно приказу Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
6.7.          ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОНТРАГЕНТОВ: ФИЗИЧЕСКИХ ЛИЦ, ЯВЛЯЮЩИХСЯ ИП (ИНДИВИДУАЛЬНЫМИ ПРЕДПРИНИМАТЕЛЯМИ) И САМОЗАНЯТЫМИ
6.7.1. Состав ПДн: ПДн, не являющиеся специальными или биометрическими: фамилия, имя, отчество; дата рождения; гражданство; реквизиты документа, удостоверяющего личность; ИНН; номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность.
6.7.2. ПДн обрабатываются с целью: Исполнение обязательств, появившихся при заключении договорных отношений, исполнение налоговых обязательств.
6.7.3. Основание для обработки: Устав; договор; Налоговый кодекс РФ; Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете».
6.7.4. Срок или условие прекращения обработки: ПДн обрабатываются до прекращения договорных отношений, после чего ПДн хранятся на основании Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Налогового кодекса РФ, Федерального закона №125-ФЗ «Об архивном деле в РФ» от 22.10.2004 и иных нормативно-правовыми актов, касающихся архивного дела и архивного хранения в РФ.
6.7.5. Совершаемые действия (операции) с ПДн: Сбор; запись; систематизация; накопление; хранение; уточнение, передача, (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение.
6.7.6. Общедоступность: ПДн не являются общедоступными.
6.7.7. Порядок уничтожения ПДн: при достижении цели обработки ПДн или утраты необходимости в достижении этих целей; истечения сроков хранения ПДн, установленных нормативно-правовыми актами РФ; в иных установленных законодательством случаях. Уничтожение осуществляется в соответствии с Регламентом двумя способами в зависимости от типа носителя информации (бумажный или электронный). Для бумажных носителей ПДн: физическое уничтожение носителя. Для электронных носителей: стирание на устройстве гарантированного уничтожения информации. Уничтожение производится способом, исключающим дальнейшую обработку этих персональных данных. Уничтожение носителя с персональными данными фиксируется Актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе (согласно приказу Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
6.8.          ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПОСЕТИТЕЛЕЙ ОФИСОВ
6.8.1. ПДн, передаваемые на обработку: фамилия, имя, отчество; реквизиты документа, удостоверяющего личность; номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность, номер и марка автомашины, место посещения/подразделение.
6.8.2. Разрешенные действия (операции) с ПДн: ПДн работников: запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение.
6.8.3. ПДн обрабатываются с целью: с целью идентификации, пропуска посетителей на территорию складов/офисов, с целью обеспечения безопасности, соблюдения технологического процесса, обеспечения общественной безопасности (включая, но не ограничиваясь, пожарной, санитарной, экологической, технической безопасности) с целью противодействия совершению преступлений, контроль за доступом исполнением договорных обязательств, с целью заключения договора.  
6.8.4. Срок или условие прекращения обработки: Дл достижения цели обработки ПДн или утраты необходимости в достижении этих целей; до прекращения договора, отзыва согласия на обработку ПДн.
6.8.5. Основания обработки: Устав, договор на оказание услуг охраны.
6.8.6. Порядок уничтожения ПДн: при достижении цели обработки ПДн или утраты необходимости в достижении этих целей; при отзыве субъектом ПДн согласия на обработку его ПДн; в иных установленных законодательством случаях. Срок, при достижении цели обработки и отзыва согласия – в течение 30 дней с даты достижения цели обработки или поступления отзыва согласия. Уничтожение осуществляется в соответствии с Регламентом двумя способами в зависимости от типа носителя информации (бумажный или электронный). Для бумажных носителей ПДн: физическое уничтожение носителя. Для электронных носителей: стирание на устройстве гарантированного уничтожения информации. Уничтожение производится способом, исключающим дальнейшую обработку этих персональных данных. Уничтожение носителя с персональными данными фиксируется Актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе (согласно приказу Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
6.9.          ЗАРПЛАТНЫЙ ПРОЕКТ БАНКА
6.9.1. ПДн, передаваемые на обработку: ПДн работников, не являющиеся специальными или биометрическими: фамилия, имя, отчество; дата рождения; пол; место рождения; гражданство; реквизиты документа, удостоверяющего личность; ИНН; СНИЛС; номера контактных телефонов; место работы и занимаемая должность; сведения о реквизитах банковского счета; реквизиты миграционной карты; реквизиты документа, подтверждающего право пребывания (проживания) на территории РФ; адрес места жительства (по паспорту или иному документу, удостоверяющему личность).
6.9.2. ПДн обрабатываются с целью: подключение к зарплатному проекту, для оформления зарплатной карты.
6.9.3. Разрешенные действия (операции) с ПДн: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
6.9.4. Срок или условие прекращения обработки: до прекращения трудовых отношений с работником или отзыва об обработке ПДн.
6.9.5. Общедоступность: не являются общедоступными.
6.9.6. Порядок уничтожения ПДн: при достижении цели обработки ПДн или утраты необходимости в достижении этих целей; при отзыве субъектом ПДн согласия на обработку его ПДн; в иных установленных законодательством случаях. Срок, при достижении цели обработки и отзыва согласия - в течение 30 дней с даты достижения цели обработки или поступления отзыва согласия. При истечении сроков хранения ПДн, установленных нормативно-правовыми актами РФ. Уничтожение осуществляется в соответствии с Регламентом двумя способами в зависимости от типа носителя информации (бумажный или электронный). Для бумажных носителей ПДн: физическое уничтожение носителя. Для электронных носителей: стирание на устройстве гарантированного уничтожения информации. Уничтожение производится способом, исключающим дальнейшую обработку этих персональных данных. Уничтожение носителя с персональными данными фиксируется Актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе (согласно приказу Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
6.10.       ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ПЕРЕДАВАЕМЫЕ ТРЕТЬЕМУ ЛИЦУ/ КОМПАНИИ-КЛИЕНТЫ
6.10.1. Возможные действия (операции) с ПДн:
ПДн клиентов компаний-клиентов: Запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение.
ПДн сотрудников компаний-клиентов: Запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение.
6.10.2. ПДн обрабатываются с целью:
ПДн клиентов компаний-клиентов: Осуществления информационных рассылок (без распространения).
ПДн сотрудников компаний-клиентов: Заключения и исполнение договора с контрагентом.
6.10.3. Срок или условие прекращения обработки: До достижения цели обработки ПДн или утраты необходимости в достижении этих целей; до прекращения договорных отношений с компанией-клиентом; до отзыва согласия на обработку ПДн; отзыва согласия на передачу ПДн.
6.10.4. Состав ПДн:
ПДн клиентов компаний-клиентов: ПДн, не являющиеся специальными или биометрическими: адреса электронной почты.
ПДн сотрудников компаний-клиентов: ПДн, не являющиеся специальными или биометрическими: фамилия, имя, отчество; номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность.
6.10.5. Основания обработки: Согласие на обработку ПДн; согласие на передачу ПДн; договор с компанией-клиентом.
6.10.6. Порядок уничтожения ПДн: При достижении цели обработки ПДн или утраты необходимости в достижении этих целей; истечения сроков хранения ПДн, установленных нормативно-правовыми актами РФ; при отзыве субъектом ПДн согласия на обработку его ПДн; при отзыве согласия на передачу ПДн; в иных установленных законодательством случаях. Срок, при достижении цели обработки и отзыва согласия - в течение 30 дней с даты достижения цели обработки или поступления отзыва согласия. Уничтожение осуществляется в соответствии с Регламентом двумя способами в зависимости от типа носителя информации (бумажный или электронный). Для бумажных носителей ПДн: физическое уничтожение носителя. Для электронных носителей: стирание на устройстве гарантированного уничтожения информации. Уничтожение производится способом, исключающим дальнейшую обработку этих персональных данных. Уничтожение носителя с персональными данными фиксируется Актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе (согласно приказу Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
6.11.       ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ПЕРЕДАВАЕМЫЕ В ГОСУДАРСТВЕННЫЕ ОРГАНЫ В ВИДЕ ОТЧЕТНОСТИ
ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА
6.11.1. Формы отчетности: 2-НДФЛ, Расчет по страховым взносам
6.11.2. Передаваемые ПДн: ПДн работников
6.11.3. Состав ПДн: ПДн, не являющиеся специальными или биометрическими: фамилия, имя, отчество; ИНН; страховой номер индивидуального лицевого счета; дата рождения; пол; гражданство; реквизиты документа, удостоверяющего личность; сведения о доходах; сведения о резидентстве; сведения о начисленных и уплаченных страховых взносах.
ПЕНСИОННЫЙ ФОНД РОССИИ
6.11.4. Формы отчетности: СЗВ-М, СЗВ-стаж
6.11.5. Передаваемые ПДн: ПДн работников

6.11.6. Состав ПДн: ПДн, не являющиеся специальными или биометрическими: Фамилия, имя, отчество; ИНН; страховой номер индивидуального лицевого счета; сведения о начисленных и уплаченных страховых взносах.

6.11.7. Основания обработки: Трудовой кодекс РФ; Налоговый кодекс РФ; Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в РФ»; Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»; Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в РФ»; трудовым договором.
6.11.8. Срок или условие прекращения обработки: ПДн обрабатываются до прекращения трудовых отношений с работником, после чего ПДн хранятся на основании Федерального Закона №125-ФЗ «Об архивном деле в Российской Федерации» от 22.10.2004 и иных нормативно-правовых актов, касающихся архивного дела и архивного хранения в Российской Федерации.
6.11.9. Порядок уничтожения персональных данных: при истечении сроков хранения персональных данных, установленных нормативно-правовыми актами РФ. Уничтожение осуществляется в соответствии с Регламентом двумя способами в зависимости от типа носителя информации (бумажный или электронный). Для бумажных носителей персональных данных: физическое уничтожение носителя. Для электронных носителей: стирание на устройстве гарантированного уничтожения информации. Уничтожение производится способом, исключающим дальнейшую обработку этих персональных данных. Уничтожение носителя с персональными данными фиксируется Актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе (согласно приказу Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

6.12. ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПОСЕТИТЕЛИ САЙТА

ПДн посетителя сайта https://demi-travel.ru/ обрабатываются в порядке, указанном в разделе 13 настоящей Полтики.

7. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка ПДн Оператором допускается в следующих случаях:
· обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
· обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
· обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ;
· обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн.
Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн;
· обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
· обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн;
· осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора).
Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные федеральным законом № 152-ФЗ.
7.2. Поручение обработки ПДн другому лицу
Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ.
В поручении оператора должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные Федеральным законом № 152-ФЗ, а именно ч. 5 ст. 18 (при сборе ПДн, в том числе посредством сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации) и ст. 18.1 Федерального закона № 152-ФЗ (меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных законом), обязанность по запросу оператора ПДн в течение срока действия поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с законом, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона № 152-ФЗ, в том числе требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 Федерального закона № 152-ФЗ.
7.3. Трансграничная передача ПДн
Трансграничная передача ПДн на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, осуществляется в соответствии с Федеральным законом № 152-ФЗ и может быть запрещена или ограничена в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Уполномоченный орган по защите прав субъектов ПДн утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и обеспечивающих адекватную защиту прав субъектов ПДн. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности ПДн.
Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи ПДн.
Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
2) предусмотренных международными договорами РФ;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя РФ, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
4) исполнения договора, стороной которого является субъект ПДн;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта ПДн.
7.4. Общедоступные источники ПДн
Оператором не создаются общедоступные источники ПДн (справочники, адресные книги).
Оператор обрабатывает общедоступные ПДн только с письменного согласия субъекта. Следующие ПДн являются общедоступными: фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.
Оператором не принимаются решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
7.5. Специальные категории ПДн
Оператором не обрабатываются специальные категории ПДН.
7.6. Особенности обработки ПДн, разрешенных субъектом ПДн для распространения
Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Оператор обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.
В случае раскрытия ПДн неопределенному кругу лиц самим субъектом ПДн без предоставления оператору отдельного согласия, предусмотренного ст. 10.1 Федерального закона № 152-ФЗ, обязанность предоставить доказательства законности последующего распространения или иной обработки таких ПДн лежит на каждом лице, осуществившем их распространение или иную обработку.
В случае, если ПДн оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких ПДн лежит на каждом лице, осуществившем их распространение или иную обработку.
В случае, если из предоставленного субъектом ПДн согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, не следует, что субъект ПДн согласился с распространением ПДн, такие ПДн обрабатываются оператором, которому они предоставлены субъектом ПДн, без права распространения.
В случае, если из предоставленного субъектом ПДн согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, не следует, что субъект ПДн не установил запреты и условия на обработку ПДн, предусмотренные ч. 9 ст. 10.1 федерального закона № 152-ФЗ, или если в предоставленном субъектом ПДн таком согласии не указаны категории и перечень ПДн, для обработки которых субъект ПДн устанавливает условия и запреты в соответствии с ч. 9 ст. 10.1 федерального закона № 152-ФЗ, такие ПДн обрабатываются оператором, которому они предоставлены субъектом ПДн, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с ПДн неограниченному кругу лиц.
Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, может быть предоставлено оператору: 1) непосредственно; 2) с использованием информационной системы уполномоченного органа по защите прав субъектов ПДн.
Правила использования информационной системы уполномоченного органа по защите прав субъектов ПДн, в том числе порядок взаимодействия субъекта ПДн с оператором, определяются уполномоченным органом по защите прав субъектов ПДн.
Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.
В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц. Отказ оператора в установлении субъектом ПДн запретов и условий, предусмотренных настоящей статьей, не допускается.
Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.
Установленные субъектом ПДн запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) ПДн, разрешенных субъектом ПДн для распространения, не распространяются на случаи обработки ПДн в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
Передача (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, должна быть прекращена в любое время по требованию субъекта ПДн. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень ПДн, обработка которых подлежит прекращению. Указанные в данном требовании ПДн могут обрабатываться только оператором, которому оно направлено.
Действие согласия субъекта ПДн на обработку ПДн, разрешенных субъектом ПДн для распространения, прекращается с момента поступления оператору требования субъекта ПДн.
Субъект ПДн вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих ПДн, ранее разрешенных субъектом ПДн для распространения, к любому лицу, обрабатывающему его ПДн, в случае несоблюдения оператором требования или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) ПДн в течение трех рабочих дней с момента получения требования субъекта ПДн или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
7.7. Биометрические ПДн
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность - биометрические ПДн - могут обрабатываться Оператором только при наличии согласия субъекта ПДн в письменной форме.
Предоставление биометрических ПДн не может быть обязательным, за исключением случаев, предусмотренных ч. 2 ст. 11 федерального закона № 152-ФЗ. Оператор не вправе отказывать в обслуживании в случае отказа субъекта ПДн предоставить биометрические ПДн и (или) дать согласие на обработку ПДн, если в соответствии с федеральным законом получение оператором согласия на обработку ПДн не является обязательным.
Оператор обрабатывает биометрические ПДн только с письменного согласия субъекта следующие биометрические ПДн обрабатываются организацией: фотоизображение, аудио- и видеозапись с биометрическими данными работника.
Обработка биометрических ПДн (фотоизображения, аудио и видеозаписи) возможна с целью идентификации, с целью обеспечения безопасности рабочих мест, соблюдения правил внутреннего трудового распорядка, с целью регистрации время начала и окончания рабочего дня в системе электронного учета рабочего времени в соответствии с фактическим началом и фактическим окончанием дня посредством системы электронного биометрического учета рабочего времени, с целью контроля за соблюдением технологического процесса, с целью обеспечения общественной безопасности (включая, но не ограничиваясь, пожарной, санитарной, экологической, технической и др.) с целью противодействия совершению преступлений и антиобщественных поступков.
Правовое основание получения биометрических данных: Устав Общества, Согласие на обработку персональных данных, Правила внутреннего распорядка Общества.
7.8. Прекращение обработки ПДн.
Оператор прекращает обработку ПДн в следующих случаях:
· при выявлении неправомерных действий с ПДн в срок, не превышающий 3 (трех) рабочих дней с даты такого выявления, Оператор устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерности действий с ПДн, уничтожает ПДн. Об устранении допущенных нарушений или об уничтожении ПДн Оператор уведомляет субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены в уполномоченный орган по защите прав субъектов ПДн, также этот орган;
· при достижении цели обработки ПДн Оператор незамедлительно прекращает обработку ПДн и уничтожает соответствующие ПДн в срок, не превышающий 30 (тридцати) рабочих дней с даты достижения цели обработки ПДн;
· при отзыве субъектом ПДн согласия на обработку своих ПДн Оператор прекращает обработку ПДн и уничтожает (за исключением ПДн, которые хранятся в соответствии с действующим законодательством) ПДн в срок, не превышающий 30 (тридцати) рабочих дней с даты поступления указанного отзыва. Об уничтожении ПДн Оператор уведомляет субъекта ПДн.
В случае отсутствия возможности уничтожения ПДн в течение указанных сроков, оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
Подтверждение уничтожения ПДн в указанных выше случаях, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн.

8. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Получение и обработка ПДн в случаях, предусмотренных федеральным законом № 152-ФЗ, осуществляются Оператором с согласия субъекта ПДн, в том числе в письменной форме.
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются оператором.
Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона № 152-ФЗ.
Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона № 152-ФЗ, возлагается на Оператора.
В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
8.2. Письменное согласие субъекта ПДн должно включать:
· фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
· наименование и адрес Оператора;
· цель обработки ПДн;
· перечень ПДн, на обработку которых дается согласие субъекта ПДн;
· наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка будет поручена такому лицу;
· перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых Оператором способов обработки ПДн;
· срок, в течение которого действует согласие, а также способ его отзыва;
· подпись субъекта ПДн.
В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.
В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.
ПДн могут быть получены Оператором от лица, не являющегося субъектом ПДн, при условии предоставления Оператору подтверждения наличия оснований, указанных в п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона № 152-ФЗ.
Оператор вправе обрабатывать ПДн без согласия субъекта ПДн (или при отзыве субъектом ПДн указанного согласия) при наличии оснований, указанных в пп. 2-11 ч. 1 ст. 6, ч. 2. ст. 10 и ч. 2 ст. 11 Федерального закона № 152-ФЗ.
Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ, возлагается на Оператора.
Передача ПДн третьим лицам осуществляется Оператором с согласия субъекта ПДн в соответствии с требованиями действующего законодательства.

9. ПРАВА СУБЪЕКТОВ ПДн

Для обеспечения соблюдения установленных законодательством прав субъектов ПДн, у Оператора разработан и введен порядок работы с обращениями и запросами субъектов ПДн, а также порядок предоставления субъектам ПДн информации, установленной законодательством РФ в области ПДн.
9.1. Субъект ПДн имеет право на получение информации, касающейся обработки Оператором его ПДн, в том числе содержащей:
· подтверждение факта обработки ПДн Оператором;
· правовые основания и цели обработки ПДн;
· цели и применяемые Оператором способы обработки ПДн;
· наименование и местонахождение Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
· обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
· сроки обработки ПДн, в том числе сроки их хранения;
· порядок осуществления субъектом ПДн прав, предусмотренных федеральным законом № 152-ФЗ;
· информацию об осуществленной или о предполагаемой трансграничной передаче данных;
· наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
· информацию о способах исполнения оператором обязанностей, установленных ст. 18.1 Федерального закона № 152-ФЗ (меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом);
· иные сведения, предусмотренные Федерального закона № 152-ФЗ или другими федеральными законами.
Указанные сведения должны быть предоставлены субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
Оператор предоставляет указанную информацию на основании соответствующего письменного запроса субъекта ПДн, содержащего: номер удостоверяющего личность документа, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения) и подпись субъекта ПДн.
Указанные сведения предоставляются субъекту ПДн или его представителю Оператором в течение 10 (десяти) рабочих дней с момента обращения либо получения оператором запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Оператор предоставляет указанные сведения субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
В случае, если указанные сведения, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в ч. 7 с. 14 Федерального закона № 152-ФЗ, и ознакомления с такими ПДн не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
Субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в ч. 7 ст. 14 Федерального закона № 152-ФЗ, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в ч. 4 ст. 14 Федерального закона № 152-ФЗ, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в ч. 3 ст. 14 Федерального закона № 152-ФЗ, должен содержать обоснование направления повторного запроса.
Оператор вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным ч. 4 и 5 ст. 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения его ПДн в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его ПДн в вышеуказанных целях.
Для реализации и защиты своих прав и законных интересов субъект ПДн имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
9.2. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
9.3. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта ПДн.
9.4. Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта ПДн.

10. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПДн

10.1. Для обеспечения безопасности ПДн Оператор принимает необходимые и достаточные организационные и технические меры для защиты ПДн субъектов ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий, включающие в том числе:
· назначение лица, ответственного за организацию обработки ПДн и лица, ответственного за обеспечение безопасности ПДн, а также определение их функций и полномочий;
· издание оператором документов, определяющих Политику оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, определяющих для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок/регламент уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов ПДн, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности;
· разработка и поддержание актуальности комплекта внутренних нормативных документов в отношении обработки и защиты ПДн;
· периодический внутренний контроль, а также внешний аудит соответствия обработки ПДн требованиям ФЗ «О персональных данных» и принятым в соответствии с ним нормативно-правовым актам;
· проведение оценки вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ «О персональных данных», а также соотношение указанного вреда с принимаемыми мерами по безопасности ПДн;
· ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и внутренних нормативных документов Общества в отношении обработки и защиты ПДн, периодическое обучение вопросам обработки и защиты ПДн.
10.2. Обеспечение безопасности персональных данных достигается, в частности:
· определением угроз безопасности ПДн при их обработке в ИСПДн (информационная система персональных данных);
· применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· учетом работников, допущенных к обработке ПДн;
· учетом материальных носителей ПДн;
· обнаружением фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПДн и реагирование на компьютерные инциденты;
· восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
· контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
· применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
10.3. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн, включает также:
· назначение должностных лиц, ответственных за организацию обработки и защиты ПДн;
· ограничение состава лиц, допущенных к обработке ПДн;
· ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите ПДн;
· организация учета, хранения и обращения носителей, содержащих информацию с ПДн;
· определение угроз безопасности ПДн при их обработке, формирование на их основе моделей угроз;
· разработка на основе модели угроз системы защиты ПДн;
· проверка готовности и эффективности использования средств защиты информации;
· разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
· регистрация и учет действий пользователей информационных систем ПДн;
· использование антивирусных средств;
· применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
· организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки ПДн.
· оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
10.4. Использование и хранение биометрических ПДн вне информационных систем ПДн могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
10.5. Комплекс мероприятий и технических средств по обеспечению безопасности ПДн в Обществе формулируется с учетом результатов оценки возможного вреда субъекту ПДн, который может быть нанесен в случае нарушения безопасности его ПДн, актуальности угроз безопасности ПДн, а также установления уровня защищенности ПДн.
10.6. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн. Оператор, осуществляющий сбор ПДн с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в сети «Интернет», с использованием которых осуществляется сбор ПДн, документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
10.7. Оператор обязан представить документы и локальные акты, указанные в части 1 статьи 18.1 Федерального закона № 152-ФЗ (Политика оператора в отношении обработки ПДн, локальные акты по вопросам обработки ПДн, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений), и (или) иным образом подтвердить принятие мер, указанных в части 1 статьи 18.1 Федерального закона № 152-ФЗ, по запросу уполномоченного органа по защите прав субъектов ПДн.

11. Контроль за соблюдением законодательства РФ в области ПДн

Контроль за соблюдением локальных нормативных актов Общества в области ПДн осуществляется с целью проверки соответствия процессов обработки и защиты ПДн требованиям законодательства РФ в области ПДн, а также выявления возможных каналов утечки и несанкционированного доступа к ПДн.
Внутренний контроль за соблюдением структурными подразделениями Общества требований законодательства РФ и локальных нормативных актов Общества в области ПДн осуществляется лицами, ответственными за обработку и защиту ПДн в Обществе.
Работники Общества, виновные в нарушении норм, регулирующих обработку и защиту ПДн, установленных в Обществе, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной или уголовной ответственности в соответствии с законодательством РФ.
11.1 ОБЯЗАННОСТИ ОПЕРАТОРА ПО УСТРАНЕНИЮ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА, ДОПУЩЕННЫХ ПРИ ОБРАБОТКЕ ПДн, ПО УТОЧНЕНИЮ, БЛОКИРОВАНИЮ И УНИЧТОЖЕНИЮ ПДн
11.1. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.
11.2. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн оператор обязан осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
11.3. В случае подтверждения факта неточности ПДн оператор на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.
11.4. В случае выявления неправомерной обработки ПДн, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению оператора.
В случае, если обеспечить правомерность обработки ПДн невозможно, оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение.
Об устранении допущенных нарушений или об уничтожении ПДн оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
11.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав ПДн, по вопросам, связанным с выявленным инцидентом;
2) в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
11.6. В случае достижения цели обработки ПДн оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.
11.7. В случае отзыва субъектом ПДн согласия на обработку его ПДн оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.
11.8. В случае обращения субъекта ПДн к оператору с требованием о прекращении обработки ПДн оператор обязан в срок, не превышающий 10 (десяти) рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона № 152-ФЗ. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

12. ПОРЯДОК УНИЧТОЖЕНИЯ, УЧЕТА, ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПДН

Порядок уничтожения, учета, хранения и уничтожения носителей ПДн устанавливается в организации соответствующим Регламентом.
Основанием для уничтожения документов является:
- выявление неправомерной обработки ПДн, в том числе по обращению субъекта ПДн или его представителя либо запросу уполномоченного органа по защите прав субъектов ПДн, если обеспечить правомерность обработки ПДн невозможно;
- требования субъекта ПДн, если его ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзыва субъектом ПДн согласия на обработку его ПДн, если сохранение ПДн более не требуется для целей обработки ПДн;
- достижения цели обработки ПДн или утраты необходимости в достижении этих целей;
- истечения сроков хранения ПДн, установленных нормативно-правовыми актами Российской Федерации;
- признания недостоверности ПДн или получения их незаконным путем по требованию уполномоченного органа по защите прав субъектов ПДн;
- в иных установленных законодательством случаях. 
Оператор обязан уничтожить ПДн субъекта (или обеспечить их уничтожение) в следующие сроки:
- при представлении субъектом ПДн (или его представителем) сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 рабочих дней со дня представления таких сведений (п. 1 ст. 14, п. 3 ст. 20 Федерального закона № 152-ФЗ);
- при выявлении неправомерной обработки ПДн, если невозможно обеспечить ее правомерность, - в течение 10 рабочих дней с даты выявления неправомерной обработки ПДн (п. 3 ст. 21 Федерального закона № 152-ФЗ);
- при достижении цели обработки ПДн - в течение 30 дней с даты достижения цели обработки ПДн (п. 4 ст. 21 Федерального закона № 152-ФЗ);
- при отзыве субъектом ПДн согласия на обработку его ПДн, если их сохранение более не требуется для целей обработки ПДн, - в течение 30 дней с даты поступления указанного отзыва (п. 5 ст. 21 Федерального закона № 152-ФЗ).
При достижении цели обработки ПДн и при отзыве субъектом ПДн согласия на обработку его ПДн может применяться другой срок для уничтожения ПДн субъекта, если:
- он предусмотрен договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
- он предусмотрен иным соглашением между оператором и субъектом ПДн.
Передача (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, должна быть прекращена/ны в любое время по требованию субъекта ПДн (ч. 12, 13 ст. 10.1 Федерального закона № 152-ФЗ). Таким образом, общий срок уничтожения ПДн оператором при достижении цели обработки ПДн, а также при отзыве субъектом ПДн согласия на обработку его ПДн составляет 30 дней с даты достижения цели обработки ПДн или с даты поступления указанного отзыва.
12.1. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в п 3 - 5.1 ст. 21 Федерального закона № 152-ФЗ, оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами
12.2. Уничтожение ПДн может быть осуществлено двумя способами в зависимости от типа носителя информации (бумажный или электронный):
-             для бумажных носителей ПДн: физическое уничтожение носителя, разрезание, гидрообработка, сжигание, механическое уничтожение. Например, пропуск документов через шредер, имеющий 5-ю или 6-ю степень измельчения;
-             для электронных носителей: стирание на устройстве гарантированного уничтожения информации, многократная перезапись в секторах магнитного диска, размагничивание, физическое уничтожение микросхем диска и т.п.
Уничтожение части ПДн, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих ПДн, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
12.3. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в Федеральном законе №152-ФЗ и перечисленных в п. 5.3.9., оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами

13. ОБЩИЕ ПОЛОЖЕНИЯ В ОТНОШЕНИИ ОБРАБАТЫВАЕМЫХ ПДн НА САЙТЕ

Оператор обрабатывает ПДн субъекта персональных данных только в случае их заполнения и (или) отправки субъектом персональных данных самостоятельно через формы на сайте https://demi-travel.ru/ (далее — Сайт).
13.1.1. Заполняя соответствующие формы и (или) отправляя свои ПДн Оператору, субъект ПДн выражает согласие с настоящей Политикой.
13.1.2. Использование Пользователем функционала Сайта, заполнение и отправка Пользователем своих ПДн через соответствующие электронные формы обратной связи на Сайте, регистрация Пользователя на Сайте https://demi-travel.ru/, означает согласие с настоящей Политикой.
13.1.3. Оператор обрабатывает ПДн Пользователя Сайта на основании добровольного, определенного и однозначного его согласия, данного свободно, своей волей и в своем интересе посредством четкого утвердительного действия (конклюдентного действия), а именно: в момент заполнения и отправки Пользователем своих ПДн через соответствующие электронные формы обратной связи на Сайте (Зарегистрированный Пользователь), а также в момент прохождения регистрации на Сайте. Отправляя свои ПДн Оператору, Пользователь выражает свое согласие с обработкой ПДн в соответствии с настоящей Политикой.
13.1.4. В случае несогласия с условиями Политики Пользователь вправе прекратить использование Сайта https://demi-travel.ru/ и других сервисов Оператора.
13.1.5. Настоящая Политика применяется только к Сайту и сервисам Оператора. Оператор не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте и в приложениях.
13.1.6. Оператор не проверяет достоверность ПДн, предоставляемых Пользователем при регистрации на Сайте.
13.1.7. Настоящая Политика действует в отношении любой информации, которую возможно получить о Пользователе во время использования им функционала Сайта.
13.1.8. Согласие на предоставление персональных данных даётся Пользователем и Зарегистрированным Пользователем в соответствии с настоящей Политикой.
13.1.9. Обработчиками ПДн Зарегистрированного Пользователя на основании Поручений Оператора являются лица: авиакомпании, системы бронирования (ГРС/CRS), гостиницы, туроператоры, страховые компании, визовые центры, транспортные и сервисные компании (Обработчики).
13.1.10. Оператор и Обработчики персональных данных обеспечивают безопасность и сохранность всей информации, использующейся на Сайте.
13.1.11. Согласие Зарегистрированного Пользователя действует со дня отправки персональных данных через соответствующие электронные формы обратной связи на Сайте, до достижения цели обработки персональных данных, либо отзыва Пользователем и Зарегистрированным Пользователем согласия на обработку, в порядке, предусмотренном настоящей Политикой.
13.1.12. Оператор гарантирует, что обработка персональных данных осуществляется не дольше, чем это требуется в соответствии с изложенными целями. Оператор принимает меры по обеспечению актуализации и точности обрабатываемых персональных данных, а также их уточнению/удалению в случаях, предусмотренных законом.