Политика обработки персональных данных

Общество с ограниченной ответственностью
«Йога Путешествий»
(ИНН 2447014487, ОГРН 1252400018903)
Приложение 1. К приказу № А08.09.2025-1
от «08» сентября 2025 г.
«08» сентября 2025 г.
г. Енисейск

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящий документ (Политика) ООО «Йога Путешествий» (именуемое в дальнейшем – Оператор или Организация) регламентирует основные принципы, цели, содержание и способы обработки персональных данных. В нем также установлены меры по обеспечению безопасности данных и процедуры, призванные выявлять и предупреждать нарушения норм российского законодательства в сфере персональных данных внутри Организации.
1.2. Политика разработана в строгом соответствии с положениями ст. 7 и п. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 г., ст. 86 Трудового кодекса РФ, ст. 152.2 Гражданского кодекса РФ, а также иных нормативных правовых актов РФ, регулирующих вопросы защиты и обработки персональных данных. Действие Политики распространяется на все персональные данные (далее – Данные), которые Организация получает от субъектов персональных данных, включая: потребителей и иных заказчиков по договорам о реализации турпродукта и/или туристских услуг; контрагентов, заключивших с Организацией гражданско-правовые договоры; пользователей веб-сайтов https://altay108travel.ru https://nepal108travel.ru (далее – Сайт); а также работников Оператора.
1.3. Оператор гарантирует осуществление необходимых мер по защите обрабатываемых персональных данных от неправомерного или случайного доступа, разглашения, уничтожения или утраты в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных».
1.4. Реквизиты и адрес Оператора: ООО «Йога Путешествий» ИНН 2447014487, КПП 244701001, ОГРН 1252400018903, место нахождения: 663182, Красноярский край, г. Енисейск, ул. Гастелло, д. 7а, кв. 14.
1.5. Настоящая Политика, а также все вносимые в нее изменения, подлежат утверждению Генеральным директором ООО «Йога Путешествий» и вводятся в действие соответствующим приказом. Все сотрудники Организации, имеющие доступ к персональным данным, обязаны ознакомиться с текстом Политики и ее обновлениями под личную подпись. Требования настоящего документа являются обязательными для исполнения указанными сотрудниками.
1.6. Для обеспечения свободного и неограниченного доступа к положениям, определяющим политику ООО «Йога Путешествий» в области обработки и защиты персональных данных, актуальная версия настоящей Политики размещается в открытом доступе на официальном Сайте Организации: https://altay108travel.ru https://nepal108travel.ru.
1.7. На Сайте могут присутствовать гиперссылки на сторонние интернет-ресурсы. Оператор не имеет контроля над содержанием и политикой конфиденциальности таких сайтов третьих лиц и не несет ответственности за них. При переходе на внешние ресурсы субъекту персональных данных рекомендуется проявлять осмотрительность и ознакомиться с политикой конфиденциальности посещаемого веб-сайта.
1.8. Оператор оставляет за собой право вносить изменения в настоящую Политику в случае принятия новых законодательных актов или изменения характера деятельности Организации.

2. Основные термины и определения
2.1. В рамках настоящей Политики применяются следующие термины:
Персональные данные – любая информация, позволяющая прямо или косвенно идентифицировать физическое лицо (субъекта данных). К ним, в частности, относятся: ФИО, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, образовании, профессии, доходах и иная информация.
Конфиденциальная персональная информация – данные, автоматически передаваемые сервисам Сайта в процессе его использования с помощью файлов cookie и иного программного обеспечения, установленного на устройстве пользователя.
Оператор – организация (ООО «Йога Путешествий»), которая самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных, а также определяет цели и состав обрабатываемых данных.
Обработка персональных данных – комплекс действий (операций), совершаемых с персональными данными, включая сбор, фиксацию, систематизацию, накопление, хранение, актуализацию, изменение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение данных, как с использованием средств автоматизации, так и без них.
Автоматизированная обработка – обработка персональных данных с применением компьютерных технологий.
Информационная система персональных данных – совокупность баз данных, а также информационных технологий и технических средств, обеспечивающих их обработку.
Общедоступные персональные данные – данные, доступ к которым предоставлен неограниченному кругу лиц самим субъектом или по его письменному согласию.
Распространение персональных данных – действия, направленные на раскрытие данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие данных определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки (за исключением случаев, когда обработка требуется для уточнения данных).
Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность данных конкретному субъекту без использования дополнительной информации.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание данных в информационной системе и/или уничтожаются их материальные носители.
Трансграничная передача персональных данных – передача данных на территорию иностранного государства иностранному государственному органу, физическому или юридическому лицу.
2.2. Обработка персональных данных в Организации может осуществляться как автоматизированными, так и неавтоматизированными способами и включает весь спектр операций, перечисленных в п. 2.1.
2.3. Неавтоматизированная обработка данных может производиться с использованием бумажных носителей и электронных файлов (баз данных).
2.4. Категории субъектов, персональные данные которых обрабатываются Оператором:
2.4.1. Работники: действующие и бывшие сотрудники, кандидаты на вакансии, члены их семей и иные лица, данные которых необходимо обрабатывать в соответствии с трудовым законодательством.
2.4.2. Клиенты-заказчики: физические лица, заказывающие или приобретающие туристские продукты/услуги, в том числе законные представители несовершеннолетних туристов.
2.4.3. Клиенты-туристы: физические лица, использующие туруслуги исключительно для личных, семейных, домашних и иных нужд, не связанных с предпринимательской деятельностью.
2.4.4. Контрагенты: физические лица, являющиеся или намеревающиеся стать стороной гражданско-правового договора с Оператором.
2.4.5. Пользователи Сайта: физические лица, посещающие Сайт Организации в сети Интернет с целью получения информации об услугах или для заключения договора.

3. Цели обработки и перечни обрабатываемых персональных данных
Настоящий раздел регламентирует цели сбора и использования персональных данных, а также конкретные категории данных, подлежащих обработке для каждой из установленных целей, в зависимости от категории субъекта.
3.1. Обработка данных работников
3.1.1. Цели обработки:
Обработка персональных данных сотрудников (субъектов, указанных в п. 2.4.1) осуществляется Оператором для выполнения следующих задач:
Соблюдения требований трудового законодательства Российской Федерации.
Содействия в трудоустройстве, получении образования и карьерном росте работников.
Обеспечения личной безопасности и сохранности имущества.
Контроля объема и качества выполняемых трудовых функций.
Создания условий труда, предоставления гарантий и компенсаций в соответствии с действующим законодательством.
3.1.2. Перечень обрабатываемых данных:
Для достижения указанных целей подлежат обработке следующие персональные данные работников:
Анкетные и паспортные данные (ФИО, в т.ч. предыдущие; дата, место рождения; гражданство; реквизиты паспорта РФ и заграничного паспорта).
Адреса регистрации и фактического проживания, контактная информация (телефон, e-mail).
Сведения, необходимые для налогообложения и социального обеспечения (СНИЛС, ИНН, реквизиты полиса ОМС).
Информация о семейном положении и составе семьи.
Данные об образовании, профессиональной квалификации, знании языков.
Сведения о трудовой деятельности (стаж, совместительство), отношении к воинской обязанности.
Информация о состоянии здоровья, если это необходимо для выполнения трудовой функции.
Банковские реквизиты для расчета заработной платы.
Фотография.
Иные сведения, предоставленные работником по собственной инициативе, соответствующие заявленным целям обработки.
3.1.3. Документы-источники:
Персональные данные работников содержатся в следующих документах Организации:
Документах кадрового делопроизводства (трудовые договоры, приказы, личные дела, трудовые книжки).
Материалах собеседований, анкетирования и тестирования.
Материалах аттестаций, внутренних проверок и расследований.
Внутренних базах данных и картотеках (журналах) по персоналу.
Отчетных документах, предоставляемых в государственные органы.
3.2. Обработка данных клиентов (общие цели)
3.2.1. Цели обработки:
Данные клиентов (п. 2.4.2) обрабатываются для реализации гражданско-правовых отношений, связанных с заключением и исполнением договоров о реализации туристского продукта и сопутствующих услуг.
3.2.2. Перечень и источники данных:
Для указанных целей обрабатываются базовые идентификационные и контактные данные: ФИО, реквизиты паспорта, адреса, телефоны. Данные содержатся в копиях паспортов, заключенных договорах, а также в документах, подтверждающих право на получение услуг (ваучеры, путевки, билеты).
3.3. Обработка данных туристов (для целей бронирования и оформления поездок)
3.3.1. Цели обработки:
Данные субъектов (п. 2.4.3) обрабатываются для детальной организации поездки, включая бронирование услуг, оформление виз и иных необходимых документов.
3.3.2. Перечень обрабатываемых данных:
Помимо общих данных, для данных целей запрашиваются и обрабатываются:
Данные загранпаспорта (серия, номер, срок действия).
Точная дата и место рождения, гражданство, пол.
Данные свидетельства о рождении (для несовершеннолетних).
Расширенная информация, запрашиваемая консульскими учреждениями для оформления виз: сведения о работодателе, учебном заведении, финансовом положении, семейных связях (ФИО родителей), туристской истории.
Фотография установленного образца.
Иная информация, предоставленная клиентом добровольно или требуемая правилами въезда в страну назначения.
3.3.3. Документы-источники:
Источниками информации служат копии паспортов, свидетельств о рождении, заполненные анкеты для посольств, договоры и иные документы, сопровождающие процесс оформления поездки.
3.4. Обработка данных контрагентов (физических лиц)
3.4.1. Цели обработки:
Данные контрагентов (п. 2.4.4) обрабатываются для подготовки, заключения и исполнения гражданско-правовых договоров.
3.4.2. Перечень и источники данных:
Обработке подлежат ФИО, паспортные данные, ИНН, адреса, контактная информация, сведения о стаже. Данные содержатся в копиях паспортов, доверенностей, учредительных документов, выписках из госреестров (ЕГРИП, ЕГРЮЛ), а также в заключенных договорах.
3.5.-3.6. Обработка данных для коммуникации и учета
Данные клиентов и контрагентов (пп. 2.4.2-2.4.4) также обрабатываются в целях:
Осуществления обратной связи, консультационной и клиентской поддержки (п. 3.5).
Формирования и ведения базы контрагентов для заключения договоров (п. 3.6).
Для этих целей используются основные контактные данные (ФИО, телефон, e-mail), которые содержатся в договорах и электронных базах данных Организации.
3.7. Обработка данных для маркетинговых активностей
3.7.1. Цели обработки:
Данные клиентов (пп. 2.4.2, 2.4.3) могут обрабатываться для продвижения услуг на рынке, включая публикацию отзывов, изучение мнения и контроль качества.
3.7.2. Перечень и источники данных:
Для маркетинговых целей могут использоваться ФИО, контактные данные, а также фото- и видеоизображения, полученные от клиентов или сделанные в ходе предоставления услуг с согласия субъекта. Данные содержатся в договорах, базах данных и мультимедийных материалах.
3.8. Обработка данных пользователей веб-сайта
3.8.1. Цели обработки:
Обработка данных пользователей Сайта (п. 2.4.5) осуществляется для сбора статистической информации о использовании ресурса с целью улучшения его функциональности, персонализации контента, изучения спроса и повышения качества обслуживания.
3.8.2. Перечень обрабатываемых данных:
В рамках использования Сайта обрабатываются технические данные: IP-адрес, файлы cookie, параметры браузера, данные о посещенных страницах, времени доступа, история заказов и иная аналогичная информация, автоматически передаваемая браузером.
3.8.3. Источники данных:
Указанная информация сохраняется в текстовых файлах (cookie) на устройстве пользователя и в лог-файлах сервера Организации.

4. Принципы сбора и обработки персональных сведений сотрудников
4.1. Порядок сбора персональных данных
4.1.1. Источником получения персональных данных, не относящихся к категории общедоступных, является непосредственно субъект этих данных. Допускается их принятие от третьих лиц при условии наличия у последних должным образом оформленных документов, подтверждающих полномочия действовать от имени и в интересах субъекта.
4.1.2. В ситуации, когда получение информации возможно исключительно от третьей стороны, Оператор заблаговременно уведомляет об этом субъекта и запрашивает его письменное разрешение. В уведомлении раскрываются цели сбора, предполагаемые источники и методы получения сведений, описывается характер запрашиваемых данных, а также разъясняются последствия отказа в предоставлении согласия.
4.1.3. Сбор и обработка специальных категорий персональных данных (в соответствии с классификацией, установленной законодательством РФ) оператором не осуществляются, за исключением ситуаций, прямо предусмотренных нормами Трудового кодекса и иных федеральных нормативных актов.
4.1.4. В процессе получения данных Оператор берет на себя обязательство по информированию субъекта о:
Целевых назначениях обработки предоставляемых сведений;
Перечне запрашиваемой информации;
Совокупности планируемых действий с персональными данными;
Периоде действия предоставляемого согласия на их обработку;
Процедуре отзыва данного согласия;
Возможных последствиях, связанных с нежеланием субъекта дать согласие на обработку.

4.1.5. В автоматическом режиме, с применением метрических инструментов, осуществляется сбор конфиденциальных данных, связанных с активностью пользователей на веб-ресурсе. Фиксации подлежат факты авторизации в учетной записи. Иная информация о сетевой активности пользователей не собирается и не сохраняется. На отдельных страницах веб-сайта используются программные коды сервиса «Yandex Метрика». Функционал данного сервиса ограничен получением сведений о факте посещения страницы и технической информации, передаваемой браузером. Применение сервиса направлено на оперативный анализ посещаемости, внутреннюю и внешнюю оценку аудитории, изучение поведенческих факторов. Получаемые данные не подлежат длительному хранению и последующей глубокой обработке.
4.2. Процедура обработки персональных данных
4.2.1. Обработка персональных сведений осуществляется Оператором в строгом соответствии с принципами и нормами Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих случаях:
При наличии оформленного согласия субъекта. Согласие считается полученным с момента подписания субъектом соответствующего письменного документа или проставления специальной отметки в веб-форме на сайте. В случаях, прямо установленных законом, требуется исключительно отдельное письменное согласие.
Когда обработка является необходимой мерой для исполнения условий гражданско-правового договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект данных.
Для выполнения Оператором функций, полномочий и обязанностей, возложенных на него действующим законодательством РФ.
В целях защиты жизни, здоровья или иных жизненно важных интересов субъекта, при наличии объективной невозможности получения его согласия.
При сборе информации с использованием файлов cookie с согласия пользователя сайта.
4.2.2. Обработке подлежат исключительно те персональные данные, их характер и объем которых соответствуют заявленным в настоящей Политике целям.
4.2.3. Обработка биометрических данных или сведений о состоянии здоровья субъекта в целях, указанных в разделе 3 настоящего документа, допускается исключительно на основании отдельного письменного согласия, оформленного в соответствии с требованиями закона. Указанная обработка должна быть немедленно прекращена при устранении обстоятельств, послуживших основанием для ее проведения.
4.2.4. Оператор оставляет за собой право запросить у субъекта дополнительное разрешение на обработку в случае возникновения необходимости использования его данных для целей, не зафиксированных в тексте настоящей Политики.
4.3. Требования к содержанию согласия
Письменное согласие субъекта на обработку его персональных данных должно включать в себя все сведения, обязательные для указания в соответствии со статьей 9 Федерального закона № 152-ФЗ от 27.07.2006 г.
4.4. Отзыв согласия
Субъект персональных данных обладает правом отозвать ранее данное согласие на их обработку. В случае отзыва Оператор вправе продолжить обработку в бессогласительном порядке при наличии законных оснований, перечисленных в п.п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона № 152-ФЗ.
4.5. Действия пользователя
Если пользователь по каким-либо причинам не желает предоставлять доступ к своей персональной информации сервисам сайта, он может в любой момент завершить сеанс (выйти из аккаунта) и удалить файлы cookie через настройки используемого браузера.
5. Условия и порядок обработки персональных данных в информационных системах
5.1. Уведомление регулятора
Обязательным предварительным условием начала обработки персональных данных является направление Оператором уведомления в уполномоченный орган (Роскомнадзор).
5.2. Правовые основания обработки
5.2.1. Для данных работников: ТК РФ, иные нормативные правовые акты в сфере труда, ФЗ-152, Закон РФ № 1032-1 «О занятости...», ФЗ-402 «О бухгалтерском учете», Постановление Правительства РФ № 719 «О воинском учете», а также согласие субъекта (в случаях, не урегулированных прямыми нормами закона).
5.2.2. Для данных клиентов: договоры о реализации турпродукта/услуг, Постановление Правительства РФ № 1852, ФЗ «О защите прав потребителей», ФЗ-152, согласие субъекта.
5.2.3. Для данных контрагентов: учредительные документы Оператора, гражданско-правовые договоры, ФЗ-152, ГК РФ, согласие субъекта.
5.2.4. Для данных пользователей сайта: законные интересы Оператора (обеспечение работы сайта), пользовательское соглашение, согласие на использование cookie и метрических программ, ФЗ-152.
5.3. Способы обработки
Обработка может осуществляться следующими методами:
Неавтоматизированным (ручным) способом;
Автоматизированным способом, с передачей данных по сетям связи или без таковой;
Смешанным способом.
5.4. Методы сбора и уточнения данных
Сбор, фиксация, систематизация, накопление и актуализация данных осуществляются путем:
Приема и копирования оригиналов документов;
Внесения сведений в учетные и регистрационные формы на бумажных и электронных носителях;
Создания документов, содержащих персональные данные;
Ввода данных в информационные системы;
Получения информации по телефону или электронной почте;
Использования метрических программ.
5.5. Используемые информационные системы
В деятельности Оператора используются следующие системы: корпоративная почта, СЭД, система поддержки рабочих мест, НСИ, СУП, система контроля удаленного доступа, информационный портал, метрические сервисы.
5.6. Доступ к системам
Сотрудникам и представителям Оператора, в чьи должностные обязанности входит работа с персональными данными, предоставляются уникальные учетные данные (логин и пароль) для доступа к соответствующим информационным системам.
5.7. Обеспечение безопасности
Безопасность данных, обрабатываемых в информационных системах, обеспечивается за счет комплексных мер, исключающих несанкционированный, в том числе случайный, доступ к ним.
5.8. Идентификация и аутентификация
Доступ сотрудников к информационным системам, содержащим персональные данные, предоставляется только после обязательного прохождения процедур идентификации и аутентификации.
5.9. Защита при передаче
Обмен персональными данными внутри информационных систем Оператора осуществляется по защищенным каналам связи с применением необходимых организационных и технических мер защиты в соответствии со ст. 19 ФЗ-152.
5.10. Реакция на нарушения
При выявлении нарушений порядка обработки данных уполномоченные сотрудники обязаны немедленно принять меры по установлению причин и устранению выявленных нарушений.
5.11. Ознакомление сотрудников
Все сотрудники, имеющие доступ к персональным данным, должны быть под роспись ознакомлены с внутренними документами, регламентирующими порядок их обработки, а также со своими правами и обязанностями в данной области.
6. Порядок передачи и распространения персональных данных
6.1. Согласие на передачу
Передача персональных данных третьим лицам осуществляется Оператором только с согласия субъекта, выраженного в письменной или электронной форме. Электронное согласие должно быть подписано усиленной квалифицированной электронной подписью субъекта.
6.2. Передача по запросу госорганов
Оператор вправе передать персональные данные без согласия субъекта по мотивированному запросу уполномоченных государственных органов в порядке, установленном законодательством.
6.3. Общее правило передачи
Без получения предварительного письменного согласия субъекта передача его персональных данных третьим лицам не допускается, за исключением случаев предотвращения угрозы жизни и здоровью, а также иных случаев, прямо предусмотренных законом.
6.4. Отказ в предоставлении данных
Оператор обязан отказать в предоставлении персональных данных лицу, не имеющему соответствующих полномочий на основании федерального закона, с направлением данному лицу уведомления об отказе.
6.5. Передача представителям работников
Персональные данные сотрудника могут быть предоставлены его представителям в объеме, необходимом для выполнения ими своих функций, в порядке, установленном Трудовым кодексом РФ.
6.6. Согласие на распространение
Согласие на обработку персональных данных, разрешенных субъектом для распространения, оформляется отдельным документом.
6.7. Право субъекта на определение перечня
Оператор обязан предоставить субъекту возможность определить конкретный перечень персональных данных для каждой категории, указанной в согласии на распространение.
6.8. Обработка без права распространения
Если из содержания согласия субъекта не следует явного разрешения на распространение данных, Оператор обрабатывает такие данные без права их распространения.
6.9. Обработка с ограничениями
Если в согласии субъекта не установлены конкретные запреты или условия обработки его данных неограниченным кругом лиц, Оператор обрабатывает такие данные без возможности их передачи неопределенному кругу лиц.
6.10. Способы предоставления согласия
Согласие на распространение персональных данных может быть предоставлено Оператору напрямую или через информационную систему уполномоченного органа.
6.11. Право субъекта на установление запретов
Субъект вправе установить в согласии запреты на передачу его данных неограниченному кругу лиц, а также запреты или условия их обработки. Оператор не вправе отказать в установлении таких запретов и условий.
6.12. Публикация условий обработки
Оператор обязан в течение трех рабочих дней с момента получения согласия на распространение опубликовать информацию об условиях обработки и установленных запретах.
6.13. Требование о прекращении распространения
Субъект вправе в любое время потребовать прекращения распространения своих данных. Требование должно содержать ФИО, контактные данные субъекта и перечень данных, распространение которых необходимо прекратить.
6.14. Прекращение действия согласия
Действие согласия на распространение персональных данных прекращается с момента получения Оператором соответствующего требования субъекта.
6.15. Обращение к обработчику и в суд
Субъект вправе направить требование о прекращении распространения любому лицу, осуществляющему обработку его данных с нарушением закона, или обратиться с таким требованием в суд.
6.16. Срок прекращения обработки
Оператор или иное лицо обязаны прекратить распространение персональных данных в течение трех рабочих дней с момента получения требования субъекта или в срок, установленный вступившим в законную силу решением суда.
6.17. Принцип минимизации доступа
Доступ к персональным данным предоставляется только специально уполномоченным сотрудникам и строго в том объеме, который необходим для исполнения их конкретных должностных обязанностей.

7. Сроки обработки и порядок хранения персональных данных
7.1. Компания гарантирует защиту сведений, составляющих персональные данные, от их утраты или использования неправомерными методами.
7.2. Документация на бумажных носителях, включающая персональные данные, подлежит хранению в специально предназначенных шкафах, обеспечивающих защиту от доступа посторонних лиц. Папки должны быть прошиты, страницы — пронумерованы.
7.3. Информация может содержаться в электронном виде в пределах локальной вычислительной сети. Доступ к таким базам данных защищается двухфакторной парольной системой: первый уровень — доступ к сети, второй — авторизация в самой базе данных.
7.4. Копирование и составление выписок из персональных данных допускается исключительно для служебной необходимости при наличии письменного разрешения Генерального директора или лица, его замещающего.
7.5. Процесс обработки персональных данных подлежит прекращению при наступлении следующих обстоятельств:
Выявление нарушений в обработке. Срок прекращения — 3 рабочих дня с момента обнаружения.
Достижение заявленных целей обработки (исключения регламентированы законом).
Окончание срока действия или отзыв субъектом персональных данных своего согласия на обработку (в случаях, когда согласие является обязательным основанием).
Получение от субъекта персональных данных официального требования о прекращении обработки (за исключением случаев, указанных в ч. 5.1 ст. 21 ФЗ-152). Срок исполнения — до 10 рабочих дней с даты получения (с возможностью продления еще на 5 дней при уведомлении заявителя о причинах).
7.6. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если более длительные сроки не установлены федеральным законодательством или договором с участием субъекта.
7.7. Сроки хранения документации на бумажных носителях определяются в соответствии с законодательством РФ об архивном деле (Федеральный закон №125-ФЗ от 22.10.2004, Приказ Росархива №236 от 20.12.2019).
7.8. Период хранения сведений в информационных системах соответствует срокам хранения аналогичных данных на бумаге.

Трансграничная передача персональных данных – передача персональных
данных на территорию иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу.
2.2. Обработка персональных данных в Организации выполняется с использованием средств автоматизации или без использования таких средств и включает
сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение персональных данных субъектов
персональных данных, персональные данные которых обрабатываются в Организации.
2.3. Обработка персональных данных без использования средств автоматизации
может осуществляться в виде документов на бумажных носителях и в электронном виде
(файлы, базы данных) на электронных носителях информации.
2.4. Категории субъектов персональных данных, которые обрабатываются
Оператором:
2.4.1. Работники – физические лица, кандидаты на работу, работники, члены их
семей, бывшие работники, а также иные лица, персональные данные которых Организация
обязана обрабатывать в соответствии с трудовым законодательством;
2.4.2. Клиенты – физические лица, заказчики туристских продуктов и (или)
отдельных туристских услуг или иные физические лица, имеющие намерение заказать или
приобрести либо заказывающие, приобретающие туристские услуги от имени потребителя
(туриста), в том числе законные представители несовершеннолетнего потребителя
(туриста);
2.4.3. Клиенты – физические лица, туристы, использующие туристские продукты
и услуги исключительно для личных и иных нужд, не связанных с осуществлением
предпринимательской деятельности;
2.4.4. Контрагенты – физические лица (субъекты персональных данных),
заключающие или намеревающиеся заключить гражданско-правовой договор с Оператором;
2.4.5. Пользователи – физические лица, пользователи Сайта Организации в
информационнотелекоммуникационной сети «Интернет» - физические лица, желающие
получить информацию в отношении оказываемых Организацией услуг или заключить
договор о реализации туристского продукта и (или) туристских услуг.

3. Цели обработки персональных данных и соответствующие им перечни
обрабатываемых персональных данных
3.1. Персональные данные субъектов персональных данных, указанных в
подпункте 2.4.1. пункта 2 настоящей Политики, обрабатываются в целях:
- обеспечения Оператором трудового законодательства;
- содействия работникам в трудоустройстве;
- получения образования и продвижения по службе;
- обеспечения личной безопасности работников;
- контроля количества и качества выполняемой работы;
- обеспечения сохранности имущества;
- обеспечения установленных законодательством РФ условий труда, гарантий и
компенсаций.
3.1.1. Персональные данные работников, обрабатываемые Организацией в
целях, указанных в п. 3.1.:
- фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и
(или) отчества (при наличии), в случае их изменения);
- дата и место рождения;
- сведения о гражданстве;
- вид, серия, номер документа, удостоверяющего личность гражданина РФ,
наименование органа, код подразделения органа, выдавшего его, дата выдачи;
- вид, серия, номер документа, удостоверяющего личность гражданина РФ за
пределами РФ, наименование органа, выдавшего его, дата выдачи;
- адрес места жительства, дата регистрации по месту жительства (месту
пребывания); |
- номер телефона, адрес электронной почты;
- сведения, содержащиеся в страховом свидетельстве обязательного пенсионного
страхования или документе, подтверждающем регистрацию в системе индивидуального
(персонифицированного) учета;
- идентификационный номер налогоплательщика;
- реквизиты страхового медицинского полиса обязательного медицинского
страхования;
- реквизиты свидетельства о государственной регистрации актов гражданского
состояния;
- сведения о семейном положении, составе семьи;
- сведения о трудовой деятельности, включая работу по совместительству,
предпринимательскую и иную деятельность, военную службу;
- отношение к воинской обязанности, сведения о воинском учете и реквизиты
документов воинского учета (серия, номер, дата выдачи документов воинского учета,
наименование органов, выдавших их);
- сведения об образовании с указанием наименования образовательной
организации, года ее окончания, квалификации, специальности и (или) направления
подготовки, наименования и реквизитов документа об образовании;
- сведения о владении иностранными языками и языками народов Российской
Федерации;
- сведения о наличии либо отсутствии заболевания, препятствующего осуществлению трудовой функции;
- фотография;
- номер расчетного счета;
- номер банковской карты;
- иные сведения, которые субъект персональных данных пожелал сообщить о себе
и которые отвечают целям обработки персональных данных, указанным в пункте 3.2.
настоящей Политики.
3.1.2. Документами Организации, которые содержат персональные данные
работников, являются:
- комплекты документов, сопровождающих процесс оформления трудовых
отношений при приеме на работу, переводе, увольнении;
- комплекты материалов по анкетированию, тестированию, проведению
собеседований с кандидатом на должность;
- подлинники и копии приказов (распоряжений) по кадрам;
- личные дела, трудовые книжки, сведения о трудовой деятельности работников;
- дела, содержащие материалы аттестаций работников;
- дела, содержащие материалы внутренних расследований;
- справочно-информационный банк данных по персоналу (картотеки, журналы);
- копии отчетов, направляемых в государственные контролирующие органы.
3.2. Персональные данные субъектов персональных данных, указанных в
подпункте 2.4.2. пункта 2 настоящей Политики, обрабатываются в целях:
- осуществления гражданско-правовых отношений, в том числе связанных с
подготовкой, заключением и исполнением обязательств в рамках договоров о реализации
туристского продукта и (или) туристских услуг, обеспечением предоставления услуг,
входящих в состав туристского продукта и или услуг;
3.2.1. Персональные данные клиентов, обрабатываемые Организацией в
целях, указанных в п. 3.2.:
- фамилия, имя, отчество (при наличии);
- вид, серия, номер документа, удостоверяющего личность гражданина РФ,
наименование органа, код подразделения органа, выдавшего его, дата выдачи;
- адрес места жительства, дата регистрации по месту жительства (месту
пребывания);
- адрес фактического проживания;
- номер телефона, адрес электронной почты;
- почтовый адрес.
3.2.2. Документами Организации, которые содержат персональные данные
клиентов, указанных в подпункте 2.4.2. пункта 2 настоящей Политики, являются:
- копия паспорта или иного документа, удостоверяющего личность;
- договор о реализации туристского продукта и (или) отдельных услуг;
- иные документы, подтверждающие право клиентов на получение туристских
услуг, входящих в состав туристского продукта (ваучер, путёвка, авиа и ж/д билет,
страховой полис и т.п.).
3.3. Персональные данные субъектов персональных данных, указанных в
подпункте 2.4.3. пункта 2 настоящей Политики, обрабатываются в целях:
- осуществления гражданско-правовых отношений, связанных с исполнением
обязательств в рамках договоров о реализации туристского продукта и (или) туристских
услуг, в том числе: бронированием туристских услуг, оформлением документов,
необходимых для потребления услуг, предоставлением и/или обеспечением предоставления услуг, входящих в состав туристского продукта.
3.3.1. Персональные данные клиентов, обрабатываемые Организацией в
целях, указанных в п. 3.3.:
- фамилия, имя, отчество (при наличии) на русском языке;
- фамилия, имя в латинской транскрипции, как они указаны в заграничном
паспорте;
- год, месяц и число рождения клиента;
- место рождения;
- гражданство в настоящее время (при необходимости – гражданство при
рождении);
- пол;
- данные об общегражданском паспорте РФ (серия и номер общероссийского
паспорта, дата его выдачи, наименование органа, выдавшего паспорт, срок действия
общероссийского паспорта либо свидетельства о рождении);
- данные о заграничном паспорте РФ (серия и номер заграничного паспорта, дата
его выдачи, наименование органа, выдавшего паспорт, срок действия);
- данные свидетельства о рождении (для несовершеннолетних граждан);
- адрес регистрации;
- фактический адрес проживания;
- адрес электронной почты;
- домашний и контактный (мобильный) телефоны;
- дополнительные сведения, представленные по собственному желанию
туристом.
Дополнительная информация, запрашиваемая консульскими службами посольства
страны планируемого посещения при необходимости получения в интересах клиента визы
в посольстве страны планируемого пребывания (п.п.5. п.1.; п.4. ст.6. Федерального закона
«О персональных данных»), либо страховыми компаниями в интересах заключения
договора, выгодоприобретателем по которому является клиент, которая может включать:
- фамилию, имя отца; фамилию, имя матери;
- данные о работодателе и работе (наименование, адрес и телефон работодателя,
должность в настоящее время, размер заработной платы);
- данные об учебном заведении – для школьников и студентов (наименование,
адрес и телефон учебного заведения);
- изображение (фотография) клиента;
- сведения о получении пенсии и о том, кто оплачивает поездку пенсионеру (для
пенсионеров);
- даты прошлых выездов в страну планируемого посещения или в группу
определенных стран;
- сведения о прошлых депортациях из страны планируемого посещения либо
иных нарушениях законодательства иностранных государств;
- копии претензий и исковых заявлений, относящиеся к клиентам;
- другие требуемые сведения, определяемые консульскими службами посольства
страны планируемого посещения.
3.3.2. Документами Организации, которые содержат персональные данные
клиентов, указанных в подпункте 2.4.3. пункта 2 настоящей Политики, являются:
- копия паспорта или иного документа, удостоверяющего личность;
- паспорт, удостоверяющий личность гражданина за пределами территории РФ;
- свидетельство о рождении;
- комплекты документов, сопровождающих процесс оформления визы;
- договор о реализации туристского продукта и (или) отдельных услуг;
- иные документы, подтверждающие право клиентов на получение туристских
услуг, входящих в состав туристского продукта (ваучер, путёвка, авиа и ж/д билет,
страховой полис и т.п.).
3.4. Персональные данные субъектов персональных данных, указанных в
подпункте 2.4.4. пункта 2 настоящей Политики, обрабатываются в целях:
- подготовки, заключения и исполнения гражданско-правовых договоров.
3.4.1.
Персональные данные контрагентов, обрабатываемые Организацией в целях, указанных в п. 3.4.:
- фамилия, имя, отчество (при наличии);
- вид, серия, номер документа, удостоверяющего личность гражданина РФ,
наименование органа, код подразделения органа, выдавшего его, дата выдачи;
- сведения об идентификационном номере налогоплательщика;
- адрес места жительства, дата регистрации по месту жительства (месту
пребывания);
- адрес фактического проживания;
- сведения о трудовом и общем стаже;
- номер телефона, адрес электронной почты;
- почтовый адрес;
- дополнительные сведения, представленные субъектом персональных данных
(контрагентом) по собственному желанию.
3.4.2.
Документами Организации, которые содержат персональные
данные контрагентов, указанных в подпункте 2.4.4. пункта 2 настоящей Политики,
являются:
- копия паспорта или иного документа, удостоверяющего личность;
- копия доверенности;
- уставные документы;
- выписки из ЕГРИП, ЕГРЮЛ;
- копии разрешительных документов (патенты, лицензии, справки, разрешения и
т.п.);
- данные, находящиеся в государственных реестрах;
- договоры, заключаемые между Организацией и контрагентами;
- иные документы, предоставленные контрагентами с целью подготовки,
заключения и исполнения гражданско-правовых договоров.
3.5. Персональные данные субъектов персональных данных, указанных в
подпунктах 2.4.2., 2.4.3., 2.4.4. пункта 2 настоящей Политики, обрабатываются в
целях:
- установления с субъектами персональных данных обратной связи путем
осуществления прямых контактов, предоставления консультационной, организационной,
технической и клиентской поддержки.
3.5.1. Персональные данные клиентов и контрагентов, обрабатываемые
Организацией в целях, указанных в п. 3.5.:
- фамилия, имя, отчество (при наличии);
- номер телефона, адрес электронной почты;
- почтовый адрес.
3.5.2. Документами Организации, которые содержат персональные данные
клиентов и контрагентов, используемые для целей, установленных пунктом 3.5.
настоящей Политики, являются:
- договоры/копии договоров, заключенных клиентами и контрагентами с
Организацией;
- сформированные Организацией электронные базы данных.
3.6. Персональные данные субъектов персональных данных, указанных в
подпунктах 2.4.2., 2.4.3., 2.4.4. пункта 2 настоящей Политики, обрабатываются в
целях:
- формирование базы контрагентов для заключения и исполнения договоров.
3.6.1. Персональные данные клиентов и контрагентов, обрабатываемые
Организацией в целях, указанных в п. 3.6.:
- фамилия, имя, отчество (при наличии);
- номер телефона, адрес электронной почты.
3.6.2. Документами Организации, которые содержат персональные данные
клиентов и контрагентов, используемые для целей, установленных пунктом 3.6.
настоящей Политики, являются:
- договоры/копии договоров, заключенных клиентами и контрагентами с
Организацией;
- сформированные Организацией электронные базы данных.
3.7. Персональные данные субъектов персональных данных, указанных в
подпунктах 2.4.2., 2.4.3. пункта 2 настоящей Политики, обрабатываются в целях:
- продвижения услуг Организации на рынке, в том числе путем публикации
отзывов с целью повышения осведомленности посетителей Сайта об услугах Организации,
изучения мнения об услугах, контроля качества услуг.
3.7.1. Персональные данные клиентов, обрабатываемые Организацией в
целях, указанных в п. 3.7.:
- фамилия, имя, отчество (при наличии);
- фотоизображение, видеоизображение;
- номер телефона, адрес электронной почты.
3.7.2. Документами Организации, которые содержат персональные данные
клиентов, используемые для целей, установленных пунктом 3.7. настоящей
Политики, являются:
- договоры/копии договоров, заключенных клиентами и контрагентами с
Организацией;
- сформированные Организацией электронные базы данных;
- предоставленные клиентами или сделанные Организацией, ее представителями
фото- и видеоизображения во время предоставления Организацией услуг.
3.8. Конфиденциальная персональная информация субъектов персональных
данных, указанных в подпункте 2.4.5. пункта 2 настоящей Политики, обрабатывается
в целях:
- сбора статистической информации о действиях и функциях, которые больше
всего интересуют пользователей Сайте, с целью обеспечения лучшего и более
персонализированного опыта, изучения спроса, повышения качества обслуживания,
организации доступа к информации о деятельности Организации, размещаемой на Сайте в
информационно-телекоммуникационной сети «Интернет».
3.8.1. Конфиденциальная персональная информация пользователей, обрабатываемая Организацией в целях, указанных в п. 3.8.:
- данные, которые автоматически передаются сервисам сайта в процессе их
использования с помощью установленного на устройстве пользователя программного
обеспечения;
- IP-адрес;
- данные файлов cookie;
- параметры и настройки интернет-браузеров (или иных программ, с помощью
которых осуществляется доступ к сервисам сайта);
- файлы журналов, технические характеристики оборудования и программного
обеспечения, используемых пользователем;
- дата и время доступа к сервисам Сайта;
- адреса запрашиваемых страниц;
- истории заказов;
- информация о подписках и сообщениях в службу поддержки;
- иная подобная информация.
3.8.2. Конфиденциальная персональная информация пользователей, используемая для целей, установленных пунктом 3.8. настоящей Политики, содержится в:
- текстовых файлах, которые сайт сохраняет на компьютере пользователя с
помощью браузера.

4. Получение и обработка персональных данных работников
4.1. Получение персональных данных.
4.1.1. Получение персональных данных, за исключением общедоступных персональных данных, осуществляется Оператором непосредственно у субъектов персональных данных, либо лиц, имеющих надлежащим образом оформленные полномочия представлять интересы субъектов персональных данных при передаче персональных данных Оператору.
4.1.2. Если персональные данные субъекта можно получить только у третьей
стороны, то субъект уведомляется об этом заранее и от него должно быть получено
письменное согласие. Организация сообщает субъекту персональных данных о целях,
предполагаемых источниках и способах получения персональных данных, а также о
характере подлежащих получению персональных данных и последствиях отказа субъекта
дать письменное согласие на их получение.
4.1.3. Организация не имеет права получать и обрабатывать сведения о субъекте
персональных данных, относящиеся в соответствии с законодательством РФ в области
персональных данных к специальным категориям персональных данных, за исключением
случаев, предусмотренных Трудовым кодексом и другими федеральными законами.
4.1.4. При получении персональных данных Оператор обязан сообщить субъекту
персональных данных:
- о целях получения Оператором персональных данных;
- о перечне персональных данных, запрашиваемых Оператором;
- о перечне действий, которые Оператор намерен совершать с персональными
данными;
- о сроке, в течение которого действует согласие субъекта персональных данных
на обработку персональных данных;
- о порядке отзыва согласия на обработку персональных данных;
- о последствиях отказа субъекта персональных данных предоставить Оператору
согласие на получение и обработку персональных данных.
4.1.5. Конфиденциальная персональная информация собирается автоматически с
помощью метрических программ в связи с активностью пользователя на Сайте. При посещении сайта фиксируются все входы в аккаунт. Другие сведения по трафику
пользователя не обрабатываются и не сохраняются.
На некоторых страницах Сайта установлены коды сервиса Yandex Метрика. Этот
сервис может получать и обрабатывать информацию исключительно о том, что
пользователь посетил страницу, и другую информацию, которая передается браузером
пользователя. Использование указанного сервиса необходимо Оператору для оперативного
анализа посещений сайта, внутренней и внешней оценки посещаемости сайта, глубины
просмотров, активности пользователей. Данные, полученные от указанного сервиса, не
хранятся и не обрабатываются.
4.2. Обработка персональных данных
4.2.1. Обработка персональных данных осуществляется Оператором с соблюдением принципов и правил, предусмотренных 152-ФЗ «О персональных данных» от
27 июля 2006 г., в следующих случаях:
- с согласия субъекта персональных данных на обработку его персональных
данных. Согласие на обработку персональных данных считается полученным Оператором
с момента предоставления субъектом персональных данных письменного согласия на
обработку персональных данных либо с момента проставления специальной отметки в
соответствующем поле формы сбора персональных данных, размещенной на Сайте, а в
установленных законом случаях – исключительно с момента предоставления отдельного
письменного согласия на обработку персональных данных;
- обработка персональных данных необходима для подготовки, заключения, исполнения гражданско-правового договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных
данных;
- в случаях, когда обработка персональных данных необходима Оператору для
осуществления и выполнения возложенных законодательством РФ функций, полномочий
и обязанностей;
- обработка персональных данных необходима для защиты жизни, здоровья или
иных жизненно важных интересов субъекта персональных данных, если получение
согласия субъекта персональных данных невозможно;
- сбор и обработка персональной информации с использованием cookie
осуществляется с согласия пользователя Сайта.
4.2.2. Обработке подлежат только те персональные данные, которые отвечают
указанным в настоящей Политике целям обработки. Персональные данные не подлежат
обработке в случае несоответствия их характера и объема поставленным целям.
4.2.3. Если для достижения указанных в пункте 3 настоящей Политики целей
Оператору необходимы биометрические персональные данные либо данные, касающиеся
состояния здоровья, то такая обработка осуществляется только на основании письменного
согласия субъекта персональных данных в соответствии с законодательством. Обработка
специальных категорий персональных данных должна быть незамедлительно прекращена,
если устранены причины, вследствие которых она осуществлялась.
4.2.4. Оператор также имеет право попросить субъекта персональных данных
предоставить дополнительное согласие в случае необходимости использования персональных данных и персональной информации для целей, не указанных в настоящей Политике.
4.3. Письменное согласие субъекта персональных данных на обработку
персональных данных должно включать в себя, в частности, сведения, указанные в ст.9
Федерального закона от 27.07.2006 № 152-ФЗ.
4.4. Согласие на обработку персональных данных может быть отозвано
субъектом персональных данных. В случае отзыва согласия на обработку персональных
данных Организация вправе продолжить обработку персональных данных без согласия
субъекта персональных данных при наличии оснований, указанных в пунктах 2–11 части 1
10 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-
ФЗ.
4.5. Если пользователь в силу каких-либо причин не желает, чтобы
установленные на Сайте сервисы получали доступ к его персональной информации,
пользователь может по собственному желанию «разлогиниться» (выйти из своего
аккаунта), очистить «сookies» (через свой браузер).

5. Условия и порядок обработки персональных данных субъектов
персональных данных в информационных системах
5.1. До начала обработки персональных данных Организация обязана уведомить
Роскомнадзор о намерении осуществлять обработку персональных данных.
5.2. Правовым основанием обработки персональных данных являются:
5.2.1. Для обработки персональных данных работников (п.2.4.1. Политики) -
Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового
права, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Закон РФ от
19.04.1991 № 1032-1 «О занятости населения в Российской Федерации», Федеральный
закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Постановление Правительства РФ
от 27.11.2006 № 719 «Об утверждении Положения о воинском учете», согласие на
обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора);
5.2.2. Для обработки персональных данных клиентов (п.2.4.2., п.2.4.3. Политики) -
договоры о реализации туристского продукта и (или) отдельных туристских услуг,
заключаемые между Оператором (его представителем) и клиентом (его представителем),
п.19 Постановления Правительства РФ от 18.11.2020 № 1852 «Об утверждении Правил
оказания услуг по реализации туристского продукта», ч.4 ст.16 Федерального закона от 7
февраля 1992 г. № 2300-1 «О защите прав потребителей», Федеральный закон от 27.07.2006
№ 152-ФЗ «О персональных данных», согласие на обработку персональных данных (в
случаях, прямо не предусмотренных законодательством Российской Федерации, но
соответствующих полномочиям оператора);
5.2.3. Для обработки персональных данных контрагентов (п.2.4.4. Политики) -
уставные документы оператора, гражданско-правовые договоры, заключаемые между
оператором и субъектом персональных данных, Федеральный закон от 27.07.2006 № 152-
ФЗ «О персональных данных», Гражданский кодекс, согласие на обработку персональных
данных (в случаях, прямо не предусмотренных законодательством Российской Федерации,
но соответствующих полномочиям оператора);
5.2.4. Для обработки персональных данных пользователей Сайта (п.2.4.5.
Политики) – законные интересы Организации, направленные на техническое обеспечение
работы интернет-ресурса (Сайта) и предоставление пользователю необходимого уровня
сервиса (например, навигации на сайте и подобного), пользовательское соглашение,
согласие пользователя на использование файлов cookie, обработки информации с помощью
метрических программ, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных
данных».
5.3. Обработка персональных данных в Организации выполняется следующими
способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной
информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
5.4. Сбор, запись, систематизация, накопление и уточнение (обновление,
изменение) персональных данных в Организации осуществляются посредством:
- получения оригиналов документов либо их копий;
- копирования оригиналов документов;
- внесения сведений в учетные формы на бумажных и электронных носителях;
11
- внесения сведений в регистрационные и иные формы сбора;
- создания документов, содержащих персональные данные, на бумажных и
электронных носителях;
- внесения персональных данных в информационные системы персональных
данных;
- получения информации о персональных данных в телефонном режиме или с
помощью электронной почты;
- метрических программ.
5.5. В Организации используются следующие информационные системы:
- корпоративная электронная почта;
- система электронного документооборота;
- система поддержки рабочего места пользователя;
- система нормативно-справочной информации;
- система управления персоналом;
- система контроля за удаленным доступом;
- информационный портал;
- метрические программы.
5.6. Работникам и представителям Оператора, имеющим право осуществлять
обработку персональных данных в информационных системах, предоставляется
уникальный логин и пароль для доступа к соответствующей информационной системе, в
соответствии с функциями, предусмотренными должностными регламентами.
5.7. Обеспечение безопасности персональных данных, обрабатываемых в
информационных системах, достигается путем исключения несанкционированного, в том
числе случайного доступа к персональным данным.
5.8. Доступ работников Оператора к персональным данным, находящимся в
информационных системах персональных данных Оператора, предусматривает —
обязательное прохождение — процедуры идентификации и аутентификации.
5.9. Обмен персональными данными при их обработке в информационных
системах персональных данных Оператора осуществляется по каналам связи, защита
которых обеспечивается путем реализации соответствующих организационных мер и
применения программных и технических средств в соответствии со статьей 19
Федерального закона «О персональных данных».
5.10. В случае выявления нарушений порядка обработки персональных данных в
информационных системах персональных данных Оператора уполномоченными ответственными работниками принимаются меры по установлению причин нарушений и
их устранению с момента обнаружения таких нарушений.
5.11. Работники и их представители должны быть ознакомлены под расписку с
документами Оператора, устанавливающими порядок обработки персональных данных, а
также об их правах и обязанностях в этой области.

6. Передача и распространение персональных данных
6.1. При передаче Организацией персональных данных субъект персональных
данных должен дать на это согласие в письменной или электронной форме. Если сотрудник
оформил согласие на передачу персональных данных в электронной форме, то он
подписывает согласие усиленной электронной цифровой подписью.
6.2. Организация вправе передать информацию, которая относится к персональным данным работника, клиента, контрагента без его согласия, если такие
сведения нужно передать по запросу государственных органов, в порядке, установленном
законодательством.
6.3. Организация не вправе предоставлять персональные данные третьей стороне
без письменного согласия субъекта персональных данных, за исключением случаев, когда
это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в
случаях, установленных законодательством.
6.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным
законом на получение информации, относящейся к персональным данным субъекта
персональных данных, Организация обязана отказать лицу в выдаче информации. Лицу,
обратившемуся с запросом, выдается уведомление об отказе в выдаче информации.
6.5. Персональные данные работника могут быть переданы представителям
работников в порядке, установленном Трудовым кодексом, в том объеме, в каком это
необходимо для выполнения указанными представителями их функций.
6.6. Согласие на обработку персональных данных, разрешенных субъектом
персональных данных для распространения, оформляется отдельно от иных согласий
субъекта персональных данных на обработку его персональных данных.
6.7. Организация обязана обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории
персональных данных, указанной в согласии на распространение персональных данных.
6.8. В случае если из предоставленного субъектом персональных данных согласия
на распространение персональных данных не следует, что субъект персональных данных
согласился с распространением персональных данных, такие персональные данные
обрабатываются Организацией без права распространения.
6.9. В случае если из предоставленного субъектом персональных данных согласия
на передачу персональных данных не следует, что субъект персональных данных не
установил запреты и условия на обработку персональных данных или не указал категории
и перечень персональных данных, для обработки которых субъект персональных данных
устанавливает условия и запреты, Организация обрабатывает такие персональные данные
без возможности передачи (распространения, предоставления, доступа) неограниченному
кругу лиц.
6.10. Согласие субъекта персональных данных на распространение персональных
данных может быть предоставлено Оператору:
- непосредственно;
- с использованием информационной системы уполномоченного органа по
защите прав субъектов персональных данных.
6.11. В согласии на распространение персональных данных субъект персональных
данных вправе установить запреты на передачу (кроме предоставления доступа) этих
персональных данных Организацией неограниченному кругу лиц, а также запреты на
обработку или условия обработки (кроме получения доступа) этих персональных данных
неограниченным кругом лиц. Отказ Организации в установлении субъектом персональных
данных запретов и условий не допускается.
6.12. Организация обязана в срок не позднее трех рабочих дней с момента
получения согласия субъекта персональных данных на распространение персональных
данных опубликовать информацию об условиях обработки и о наличии запретов и условий
на обработку неограниченным кругом лиц персональных данных субъекта для
распространения.
6.13. Передача (распространение, предоставление, доступ) персональных данных,
разрешенных субъектом персональных данных для распространения, должна быть
прекращена в любое время по его требованию. Данное требование должно включать в себя
фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес
электронной почты или почтовый адрес) субъекта персональных данных, а также перечень
персональных данных, обработка которых подлежит прекращению.
6.14. Действие согласия субъекта персональных данных на распространение
персональных данных прекращается с момента поступления Организации требования,
указанного в пункте 6.13. настоящей Политики.
6.15. Субъект персональных данных вправе обратиться с требованием прекратить
передачу (распространение, предоставление, доступ) своих персональных данных, ранее
разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ
или обратиться с таким требованием в суд.
6.16. Организация или третье лицо обязано прекратить передачу (распространение,
предоставление, доступ) персональных данных в течение трех рабочих дней с момента
получения требования работника или в срок, указанный во вступившем в законную силу
решении суда. Если такой срок в решении суда не указан, то Организация или третье лицо
обязаны прекратить передачу персональных данных работника в течение трех рабочих дней
с момента вступления решения суда в законную силу.
6.17. Доступ к персональным данным субъектов персональных данных разрешен
только специально уполномоченным лицам, при этом указанные лица должны иметь право
получать только те персональные данные, которые необходимы для выполнения
конкретной функции.

7. Сроки обработки и хранения персональных данных
7.1. Организация обеспечивает защиту персональных данных субъектов
персональных данных от неправомерного использования или утраты.
7.2. Документы, содержащие данные субъектов персональных данных, хранятся
в бумажном виде в папках, прошитые и пронумерованные по страницам, в специально
отведенном шкафу, обеспечивающем защиту от несанкционированного доступа.
7.3. Персональные данные могут также храниться в электронном виде в
локальной компьютерной сети. Доступ к электронным базам данных, содержащим
персональные данные, обеспечивается двухступенчатой системой паролей: на уровне
локальной компьютерной сети и на уровне баз данных.
7.4. Копировать и делать выписки из персональных данных разрешается
исключительно в служебных целях с письменного разрешения Генерального директора
Организации или его заместителя.
7.5. Обработка персональных данных в Организации прекращается в следующих
случаях:
- при выявлении факта неправомерной обработки персональных данных. Срок
прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
- при достижении целей их обработки (за некоторыми исключениями);
- по истечении срока действия или при отзыве субъектом персональных данных
согласия на обработку его персональных данных (за некоторыми исключениями), если в
соответствии с Законом о персональных данных их обработка допускается только с
согласия;
- при обращении субъекта персональных данных к Организации с требованием о
прекращении обработки персональных данных (за исключением случаев, предусмотренных
ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10
рабочих дней с даты получения требования (с возможностью продления не более чем на
пять рабочих дней, если направлено уведомление о причинах продления).
7.6. Персональные данные хранятся в форме, позволяющей определить субъекта
персональных данных, не дольше, чем этого требуют цели их обработки. Исключение -
случаи, когда срок хранения персональных данных установлен федеральным законом,
договором, стороной которого (выгодоприобретателем или поручителем по которому)
является субъект персональных данных.
7.7. Персональные данные на бумажных носителях хранятся в Организации в
течение сроков хранения документов, для которых эти сроки предусмотрены
законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ
«Об архивном деле в Российской Федерации», Перечень типовых управленческих
архивных документов, образующихся в процессе деятельности государственных органов,
органов местного самоуправления и организаций, с указанием сроков их хранения (утв.
Приказом Росархива от 20.12.2019 № 236)).
7.8. Срок хранения персональных данных, обрабатываемых в информационных
системах персональных данных, соответствует сроку хранения персональных данных на
бумажных носителях.

8. Порядок блокирования и уничтожения персональных данных
8.1. Организация блокирует персональные данные в порядке и на условиях,
предусмотренных законодательством в области персональных данных.
8.2. При достижении целей обработки персональных данных или в случае утраты
необходимости в достижении этих целей персональные данные уничтожаются либо
обезличиваются. Исключение может предусматривать федеральный закон.
8.3. Персональные данные, полученные в результате обезличивания, могут
обрабатываться с использованием и без использования средств автоматизации и не
подлежат разглашению.
8.4. Персональные данные, полученные в результате обезличивания, не подлежат
предоставлению третьим лицам, осуществляющим обработку персональных данных с
использованием дополнительной информации, позволяющей прямо или косвенно
определить конкретное физическое лицо.
8.5. При обработке персональных данных, полученных в результате обезличивания, без использования средств автоматизации обеспечивается сохранность содержащих их материальных носителей и порядок доступа Работников Организации в помещения, в которых они хранятся, в целях исключения несанкционированного доступа к обезличенным персональным данным, возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также иных
неправомерных действий.
8.6. При обработке персональных данных, полученных в результате обезличивания, в информационных системах персональных данных обеспечивается соблюдение парольной защиты информационных систем персональных данных, антивирусной политики, правил работы со съемными носителями (в случае их использования), правил резервного копирования, правил доступа в помещения, где расположены элементы информационных систем персональных данных.
8.7. При хранении персональных данных, полученных в результате обезличивания, обеспечивается раздельное хранение персональных данных, полученных в
результате обезличивания, и информации о выбранном методе обезличивания
персональных данных и параметрах процедуры обезличивания персональных данных.
8.8. Уничтожение персональных данных осуществляет комиссия, созданная
приказом Генерального директора.
8.9. Комиссия составляет список с указанием документов, иных материальных
носителей и (или) сведений в информационных системах, содержащих персональные
данные, которые подлежат уничтожению.
8.10. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных
носителей методами и средствами гарантированного удаления остаточной информации.
8.11. Комиссия подтверждает уничтожение персональных данных согласно
Требованиям к подтверждению уничтожения персональных данных, утвержденным
Приказом Роскомнадзора от 28.10.2022 № 179, а именно:
- актом об уничтожении персональных данных - если данные обрабатываются без
использования средств автоматизации;
- актом об уничтожении персональных данных и выгрузкой из журнала
регистрации событий в информационной системе персональных данных - если данные
обрабатываются с использованием средств автоматизации либо одновременно с
использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме,
подписанной электронными подписями.
Формы акта и выгрузки из журнала с учетом сведений, которые должны
содержаться в указанных документах, утверждаются приказом генерального директора.
8.12. После составления акта об уничтожении персональных данных и выгрузки из
журнала регистрации событий в информационной системе персональных данных комиссия
передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала
хранятся в течение трех лет с момента уничтожения персональных данных.

9. Защита персональных данных
9.1. В соответствии с требованиями нормативных документов Оператором
создана система защиты персональных данных, состоящая из подсистем правовой,
организационной и технической защиты.
9.2. Подсистема правовой защиты представляет собой комплекс правовых,
организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование систем защиты персональных данных.
9.3. Подсистема организационной защиты включает в себя организацию
структуры управления систем защиты персональных данных, разрешительной системы,
защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
9.4. Подсистема технической защиты включает в себя комплекс технических,
программных, программно-аппаратных средств, обеспечивающих защиту персональных
данных.
9.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:
- назначение лица, ответственного за обработку персональных данных, которое
осуществляет организацию обработки персональных данных, обучение и инструктаж,
внутренний контроль за соблюдением учреждением и его работниками требований к
защите персональных данных;
- определение актуальных угроз безопасности персональных данных при их
обработке в информационных системах персональных данных и разработка мер и
мероприятий по защите персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в
информационных системах персональных данных, а также обеспечение регистрации и
учета всех действий, совершаемых с персональными данными в информационных системах
персональных данных;
- установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
- применение прошедших в установленном порядке процедуру оценки
соответствия средств защиты информации;
- сертифицированное антивирусное программное обеспечение с регулярно
обновляемыми базами;
- соблюдение условий, обеспечивающих сохранность персональных данных и
исключающих несанкционированный к ним доступ;
- обнаружение фактов несанкционированного доступа к персональным данным и
принятие мер;
- восстановление персональных данных, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним;
- обучение работников Оператора, непосредственно осуществляющих обработку
персональных данных, положениям законодательства РФ о персональных данных, в том
числе требованиям к защите персональных данных, ознакомление с документами,
определяющими политику Оператора в отношении обработки персональных данных,
локальными актами по вопросам обработки персональных данных;
- для обеспечения безопасности программного обеспечения сканирование
сервисов и приложений на наличие уязвимостей с использованием комбинации
статического анализа исходного кода и динамического тестирования;
- шифрование всех данных пользователей при транспортировке с использованием
TLS;
- проведение на ежегодной основе независимого теста Сайта на проникновение;
- осуществление внутреннего контроля и аудита.

10.Основные права субъекта персональных данных и обязанности Оператора.
Рассмотрение запросов субъектов персональных данных
10.1. Основные права субъекта персональных данных.
10.1.1. Субъект персональных данных имеет право на получение информации,
касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за
исключением работников оператора), которые имеют доступ к персональным данным или
которым могут быть раскрыты персональные данные на основании договора с оператором
или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему
субъекту персональных данных, источник их получения, если иной порядок представления
таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной
передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего
обработку персональных данных по поручению оператора, если обработка поручена или
будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или
другими федеральными законами.
Указанные сведения должны быть предоставлены субъекту персональных данных
Оператором в доступной форме, и в них не должны содержаться персональные данные,
относящиеся к другим субъектам персональных данных, за исключением случаев, если
имеются законные основания для раскрытия таких персональных данных.
Указанные сведения предоставляются субъекту персональных данных или его
представителю уполномоченным лицом Оператора, осуществляющим обработку соответствующих персональных данных, в течение десяти рабочих дней с момента
обращения либо получения запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на пять рабочих дней, в
случае направления оператором в адрес субъекта персональных данных мотивированного
уведомления с указанием причин продления срока предоставления запрашиваемой
информации.
Запрос должен содержать: номер основного документа, удостоверяющего личность
субъекта персональных данных или его представителя, сведения о дате выдачи указанного
документа и выдавшем его органе, сведения, подтверждающие участие субъекта
персональных данных в отношениях с оператором (номер договора, дата заключения
договора, условное словесное обозначение и (или) иные сведения) либо сведения, иным
образом подтверждающие факт обработки персональных данных оператором, подпись
субъекта персональных данных или его представителя.
10.1.2. Субъекты персональных данных вправе требовать от Оператора уточнения
их персональных данных, их блокирования или уничтожения в случае, если персональные
данные являются неполными, устаревшими, неточными, незаконно полученными или не
являются необходимыми для заявленной цели обработки, а также принимать
предусмотренные законом меры по защите своих прав.
10.1.3. Обязанности Оператора.
Оператор обязан:
1) при обращении субъекта персональных данных предоставить информацию об
обработке персональных данных;
2) в случаях, если персональные данные были получены не от субъекта
персональных данных, уведомить субъект персональных данных о факте получения
персональных данных Оператором;
3) при отказе в предоставлении персональных данных разъяснить субъекту
персональных данных последствия такого отказа;
4) опубликовать или иным образом обеспечить неограниченный доступ к
документу, определяющему политику Оператора в отношении обработки персональных
данных;
5) принимать необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от неправомерного или
случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
предоставления, распространения персональных данных, а также от иных неправомерных
действий в отношении персональных данных;
6) давать ответы на запросы и обращения субъектов персональных данных, их
представителей и уполномоченного органа по защите прав субъектов персональных
данных;
7) отказать субъекту персональных данных в выполнении запроса о предоставлении сведений, указанных в п. 5.1.1. в случае несоответствия запроса условиям,
предусмотренным п.5.1.1. или иным требованиям законодательства. Такой отказ должен
быть мотивированным.
8) В случае установления факта неправомерной или случайной передачи
(предоставления, распространения, доступа) персональных данных, повлекшей нарушение
прав субъектов персональных данных, уведомить об этом уполномоченный орган по
защите прав субъектов персональных данных в сроки, установленные ч. 3.1 ст. 21
Федерального закона №152-ФЗ «О персональных данных».

11.Отзыв согласия об обработке персональных данных.
11.1. Срок действия согласия субъекта персональных данных является неограниченным, однако, субъект персональных данных вправе в любой момент отозвать
согласие на обработку Оператором персональных данных в случаях, установленных
законодательством, путём направления письменного уведомления по адресу местонахождения Оператора или на электронный адрес: Joga.Put@yandex.ru с пометкой «Отзыв согласия на обработку персональных данных».
11.2. Отзыв согласия на обработку персональных данных влечёт за собой удаление
учётной записи пользователя с Сайта, а также уничтожение записей, содержащих
персональные данные, на бумажных носителях и в информационных системах обработки
персональных данных Оператора и третьих лиц в срок, не превышающий 10 рабочих дней
с момента получения.