УТВЕРЖДЕНА
Приказом Генерального директора
ООО «Трип Эксперт»

№1 от «01» января 2024 г.

ПОЛИТИКА

обработки персональных данных

1.Общие положения

1.1. Настоящая Политика ООО «Трип Эксперт» (далее – Оператор, Организация) в отношении обработки персональных данных определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Организации.
1.2. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с ст. 7, п. 2 статьи 18.1 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г., ст. 86 Трудового кодекса Российской Федерации, ст. 152.2. Гражданского кодекса Российской Федерации, а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Организация может получить от субъекта персональных данных, потребителя или иного заказчика, являющегося стороной договорных отношений по договору о реализации туристского продукта и (или) туристских услуг, контрагентов Организации, заключивших с Организацией гражданско-правовой договор, пользователей сайта https://www.tripexpert-tour.ru (далее – «сайт»), содержащего сведения об услугах Оператора, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).
1.3. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г.
1.4. Оператор ООО «Трип Эксперт» (ИНН/ОГРН 4707050395 / 1234700011721 ) находится по адресу: 188514, ЛО, м.р-он Ломоносовский, с.п. Ропшинское, территория ДНП «Цветочное», ул. Фестивальная, 15.
1.5. Настоящая Политика и изменения к ней утверждаются Генеральным директором ООО «Трип Эксперт» и вводятся приказом. Все сотрудники ООО «Трип Эксперт» должны быть ознакомлены под подпись с данной Политикой и изменениями к ней. Настоящая Политика является обязательной для исполнения всеми сотрудниками ООО «Трип Эксперт», имеющими доступ к персональным данным.
1.6. ООО «Трип Эксперт» с целью обеспечения неограниченного доступа к настоящему документу, определяющему политику ООО «Трип Эксперт» в отношении обработки персональных данных и в сфере реализуемых мер по защите персональных данных, размещает текст настоящей Политики на официальном сайте ООО «Трип Эксперт» www.tripexpert-tour.ru (далее – «Сайт»).
1.7. Сайт может содержать гиперссылки на другие веб-сайты, предоставленные третьими лицами. Оператор не контролирует и не несет ответственности за сайты третьих лиц, на которые пользователь может перейти по ссылкам, доступным на сайте. После того как пользователь покинул сайты, Оператор не несет ответственности за защиту и конфиденциальность любой информации, которую предоставляет пользователь как субъект персональных данных и персональной информации. Субъект персональных данных должен проявлять осторожность и знакомиться с соответствующей политикой конфиденциальности веб-сайта, который он посещает.
1.8. ООО «Трип Эксперт» оставляет за собой право вносить необходимые изменения в Политику при изменении действующего законодательства РФ и условий своей деятельности.

2.Основные понятия

2.1.В настоящей Политике используются следующие основные понятия:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такой информацией, в частности, являются фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.
Конфиденциальная персональная информация – информация, которая может обрабатываться при посещении Сайта, которая автоматически передается сервисам Сайта в процессе их использования с помощью установленного на устройстве субъекта персональных данных программного обеспечения с использованием файлов cookie (метрических программ).
Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Общедоступные персональные данные – персональные данные, размещённые субъектом персональных данных в общедоступных источниках персональных данных (в том числе справочниках, адресных книгах), доступ к которым предоставлен неограниченному кругу лиц, либо персональные данные, размещённые в общедоступных источниках персональных данных на основании письменного согласия субъекта персональных данных.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.2.Обработка персональных данных в Организации выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных, персональные данные которых обрабатываются в Организации.
2.3.Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
2.4.Категории субъектов персональных данных, которые обрабатываются Оператором:
2.4.1. Работники – физические лица, кандидаты на работу, работники, члены их семей, бывшие работники, а также иные лица, персональные данные которых Организация обязана обрабатывать в соответствии с трудовым законодательством;
2.4.2. Клиенты – физические лица, заказчики туристских продуктов и (или) отдельных туристских услуг или иные физические лица, имеющие намерение заказать или приобрести либо заказывающие, приобретающие туристские услуги от имени потребителя (туриста), в том числе законные представители несовершеннолетнего потребителя (туриста);
2.4.3. Клиенты – физические лица, туристы, использующие туристские продукты и услуги исключительно для личных и иных нужд, не связанных с осуществлением предпринимательской деятельности;
2.4.4. Контрагенты – физические лица (субъекты персональных данных), заключающие или намеревающиеся заключить гражданско-правовой договор с Оператором;
2.4.5. Пользователи – физические лица, пользователи Сайта Организации в информационно­телекоммуникационной сети «Интернет» - физические лица, желающие получить информацию в отношении оказываемых Организацией услуг или заключить договор о реализации туристского продукта и (или) туристских услуг.

1.Общие положения

1.1. Настоящая Политика ООО «Трип Эксперт» (далее – Оператор, Организация) в отношении обработки персональных данных определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Организации.
1.2. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с ст. 7, п. 2 статьи 18.1 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г., ст. 86 Трудового кодекса Российской Федерации, ст. 152.2. Гражданского кодекса Российской Федерации, а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Организация может получить от субъекта персональных данных, потребителя или иного заказчика, являющегося стороной договорных отношений по договору о реализации туристского продукта и (или) туристских услуг, контрагентов Организации, заключивших с Организацией гражданско-правовой договор, пользователей сайта https://www.tripexpert-tour.ru (далее – «сайт»), содержащего сведения об услугах Оператора, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).
1.3. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г.
1.4. Оператор ООО «Трип Эксперт» (ИНН/ОГРН 4707050395 / 1234700011721 ) находится по адресу: 188514, ЛО, м.р-он Ломоносовский, с.п. Ропшинское, территория ДНП «Цветочное», ул. Фестивальная, 15.
1.5. Настоящая Политика и изменения к ней утверждаются Генеральным директором ООО «Трип Эксперт» и вводятся приказом. Все сотрудники ООО «Трип Эксперт» должны быть ознакомлены под подпись с данной Политикой и изменениями к ней. Настоящая Политика является обязательной для исполнения всеми сотрудниками ООО «Трип Эксперт», имеющими доступ к персональным данным.
1.6. ООО «Трип Эксперт» с целью обеспечения неограниченного доступа к настоящему документу, определяющему политику ООО «Трип Эксперт» в отношении обработки персональных данных и в сфере реализуемых мер по защите персональных данных, размещает текст настоящей Политики на официальном сайте ООО «Трип Эксперт» www.tripexpert-tour.ru (далее – «Сайт»).
1.7. Сайт может содержать гиперссылки на другие веб-сайты, предоставленные третьими лицами. Оператор не контролирует и не несет ответственности за сайты третьих лиц, на которые пользователь может перейти по ссылкам, доступным на сайте. После того как пользователь покинул сайты, Оператор не несет ответственности за защиту и конфиденциальность любой информации, которую предоставляет пользователь как субъект персональных данных и персональной информации. Субъект персональных данных должен проявлять осторожность и знакомиться с соответствующей политикой конфиденциальности веб-сайта, который он посещает.
1.8. ООО «Трип Эксперт» оставляет за собой право вносить необходимые изменения в Политику при изменении действующего законодательства РФ и условий своей деятельности.

2.Основные понятия

2.1.В настоящей Политике используются следующие основные понятия:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такой информацией, в частности, являются фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.
Конфиденциальная персональная информация – информация, которая может обрабатываться при посещении Сайта, которая автоматически передается сервисам Сайта в процессе их использования с помощью установленного на устройстве субъекта персональных данных программного обеспечения с использованием файлов cookie (метрических программ).
Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Общедоступные персональные данные – персональные данные, размещённые субъектом персональных данных в общедоступных источниках персональных данных (в том числе справочниках, адресных книгах), доступ к которым предоставлен неограниченному кругу лиц, либо персональные данные, размещённые в общедоступных источниках персональных данных на основании письменного согласия субъекта персональных данных.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.2.Обработка персональных данных в Организации выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных, персональные данные которых обрабатываются в Организации.
2.3.Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
2.4.Категории субъектов персональных данных, которые обрабатываются Оператором:
2.4.1. Работники – физические лица, кандидаты на работу, работники, члены их семей, бывшие работники, а также иные лица, персональные данные которых Организация обязана обрабатывать в соответствии с трудовым законодательством;
2.4.2. Клиенты – физические лица, заказчики туристских продуктов и (или) отдельных туристских услуг или иные физические лица, имеющие намерение заказать или приобрести либо заказывающие, приобретающие туристские услуги от имени потребителя (туриста), в том числе законные представители несовершеннолетнего потребителя (туриста);
2.4.3. Клиенты – физические лица, туристы, использующие туристские продукты и услуги исключительно для личных и иных нужд, не связанных с осуществлением предпринимательской деятельности;
2.4.4. Контрагенты – физические лица (субъекты персональных данных), заключающие или намеревающиеся заключить гражданско-правовой договор с Оператором;
2.4.5. Пользователи – физические лица, пользователи Сайта Организации в информационно­телекоммуникационной сети «Интернет» - физические лица, желающие получить информацию в отношении оказываемых Организацией услуг или заключить договор о реализации туристского продукта и (или) туристских услуг.

9. Защита персональных данных

9.1.В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.
9.2.Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование систем защиты персональных данных.
9.3.Подсистема организационной защиты включает в себя организацию структуры управления систем защиты персональных данных, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
9.4.Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
9.5.Основными мерами защиты персональных данных, используемыми Оператором, являются:
- назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных;
- определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и разработка мер и мероприятий по защите персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
- установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
- соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, ознакомление с документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
- для обеспечения безопасности программного обеспечения сканирование сервисов и приложений на наличие уязвимостей с использованием комбинации статического анализа исходного кода и динамического тестирования;
- шифрование всех данных пользователей при транспортировке с использованием TLS;
- проведение на ежегодной основе независимого теста Сайта на проникновение;
- осуществление внутреннего контроля и аудита.

10. Основные права субъекта персональных данных и обязанности Оператора.

Рассмотрение запросов субъектов персональных данных

10.1.Основные права субъекта персональных данных.
10.1.1.Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
Указанные сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Указанные сведения предоставляются субъекту персональных данных или его представителю уполномоченным лицом Оператора, осуществляющим обработку соответствующих персональных данных, в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на пять рабочих дней, в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения) либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
10.1.2.Субъекты персональных данных вправе требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.1.3.Обязанности Оператора.
Оператор обязан:
1) при обращении субъекта персональных данных предоставить информацию об обработке персональных данных;
2) в случаях, если персональные данные были получены не от субъекта персональных данных, уведомить субъект персональных данных о факте получения персональных данных Оператором;
3) при отказе в предоставлении персональных данных разъяснить субъекту персональных данных последствия такого отказа;
4) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Оператора в отношении обработки персональных данных;
5) принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
6) давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
7) отказать субъекту персональных данных в выполнении запроса о предоставлении сведений, указанных в п. 5.1.1. в случае несоответствия запроса условиям, предусмотренным п.5.1.1. или иным требованиям законодательства. Такой отказ должен быть мотивированным.
8) В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в сроки, установленные ч. 3.1 ст. 21 Федерального закона №152-ФЗ «О персональных данных».

11.Отзыв согласия об обработке персональных данных.

11.1.Срок действия согласия субъекта персональных данных является неограниченным, однако, субъект персональных данных вправе в любой момент отозвать согласие на обработку Оператором персональных данных в случаях, установленных законодательством, путём направления письменного уведомления по адресу местонахождения Оператора или на электронный адрес: tripexpert-tour@yandex.ru с пометкой «Отзыв согласия на обработку персональных данных».
11.2.Отзыв согласия на обработку персональных данных влечёт за собой удаление учётной записи пользователя с Сайта, а также уничтожение записей, содержащих персональные данные, на бумажных носителях и в информационных системах обработки персональных данных Оператора и третьих лиц в срок, не превышающий 10 рабочих дней с момента получения.