Политика конфиденциальности
Уважаемые посетители сайта www.albioncom.ru! Вы можете использовать возможности нашего интернет-сайта для отправки заявок на заключение договора и/или оказания тех или иных услуг. При этом, совершая конклюдентные действия и предоставляя Компании свои персональные данные, Вы выражаете свое согласие на обработку Ваших персональных данных в порядке, предусмотренном настоящей Политикой. Если Вы не согласны с положениями настоящей Политики, мы просим Вас воздержаться от использования настоящего Интернет-сайта для передачи Компании Ваших персональных данных.
Если после ознакомления с настоящей Политикой у Вас остались вопросы, Вы можете получить разъяснения по этим вопросам, направив официальный запрос в Компанию по электронной почте.
ПОЛИТИКА ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «ОБРАЗОВАТЕЛЬНАЯ КОМПАНИЯ «АЛЬБИОН»
Статья 1. ОБЩИЕ ПОЛОЖЕНИЯ
В процессе осуществления уставной деятельности ООО «Образовательная компания «Альбион» (далее Компания) обрабатывает персональные данные Работников, Клиентов и иных физических лиц, и несет ответственность за соблюдение конфиденциальности и безопасности при обработке их персональных данных.
Настоящая Политика Компании по защите персональных данных (далее – Политика) устанавливает общие правила и процедуры в отношении защиты персональных данных и распространяется на все случаи обработки Компанией персональных данных, вне зависимости от того, является обработка персональных данных автоматизированной или неавтоматизированной, производится она вручную, либо автоматически.
В процессе обработки персональных данных Компания руководствуется Федеральным Законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон) и Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Политика является внутренним локальным нормативным документом Компании и обязательна к соблюдению всеми работниками Компании.
Каждый Работник, вновь принимаемый на работу в Компанию, подлежит ознакомлению с настоящей Политикой во время первого вводного инструктажа.
Политика служит основой для разработки Компанией комплекса организационных и технических мер по обеспечению защиты персональных данных, а также нормативных и методических документов, регламентирующих защиту и порядок обработки персональных данных, и подлежит пересмотру не реже одного раза в два года.
Согласно требованиям Закона, в целях обеспечения неограниченного доступа к сведениям о мероприятиях по защите персональных данных, реализуемых в Компании и к документам, определяющим политику Компании в отношении обработки персональных данных, текст настоящей Политики размещен в свободном доступе на сайте Компании в сети интернет.
Статья 2. ОСНОВНЫЕ ПОНЯТИЯ
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных - любое действие с персональными данными, совершаемое с использованием средств автоматизации или без использования таких средств, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), трансграничную передачу, обезличивание, блокирование, удаление, уничтожение персональных данных.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Субъект персональных данных - идентифицированное или не идентифицированное физическое лицо, в отношении которого проводится обработка персональных данных. К субъектам персональных данных относятся следующие категории физических лиц:
Работник Компании - физическое лицо (субъект персональных данных), заключившее с Компанией трудовой или гражданско-правовой договор.
Клиент Компании:
а) физическое лицо - заказчик услуг Компании (субъект персональных данных), заключивший с Компанией договор на организацию поездки, либо сделавший запрос на оказание отдельных видов услуг;
б) физическое лицо - студент (субъект персональных данных), от имени которого заказчик услуг Компании заключил с Компанией Договор, или сделал запрос на оказание отдельных видов услуг;
в) иное физическое лицо – физическое лицо (субъект персональных данных), заключившее с Компанией договор на оказание определенного вида услуг или работ, либо работник стороннего юридического лица, имеющего договорные отношения с Компанией.
Уполномоченный сотрудник – Работник Компании, ответственный за обработку персональных данных, а также за их защиту.
Статья 3. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Правомерность обработки персональных данных
Компания обязана осуществлять обработку персональных данных только на законной и справедливой основе.
Обработка персональных данных не может быть использована Компанией или ее Работниками в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.
Обработка персональных данных в Компании должна ограничиваться достижением законных, конкретных и заранее определенных целей. Обработке подлежат только те персональные данные, и только в том объеме, которые отвечают целям их обработки.
3.2. Цели обработки персональных данных
Компания проводит обработку персональных данных в целях:
а) осуществления возложенных на Компанию законодательством Российской Федерации функций, в частности, функций работодателя в соответствии с Трудовым кодексом Российской Федерации и функций налогоплательщика в соответствии с Налоговым кодексом Российской Федерации;
б) организации учета Работников Компании в соответствии с требованиями законов и иных нормативно-правовых актов, содействия им в карьерном росте и трудоустройстве, в обучении, для осуществления медицинского страхования и для предоставления им иных льгот и компенсаций;
в) исполнения обязательств Компании и осуществления прав Компании по заключенным с Клиентами Договорам в соответствии с нормами Федерального закона № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации»;
г) исполнения договора и/или заявки на оказание услуг для Клиента, стороной/заявителем которого (либо выгодоприобретателем или поручителем по которому) является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем;
д) исполнения обязательств Компании и осуществление прав Компании по заключенным с юридическими лицами договорам в соответствии с нормами Гражданского кодекса Российской Федерации и Федерального закона № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации»;
е) исполнения обязательств Компании и осуществление прав Компании по заключенным с иными физическими лицами или юридическими лицами договорам в соответствии с нормами Гражданского кодекса Российской Федерации;
ж) обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен Клиентом, либо по его просьбе;
з) проведения маркетинговых исследований и акций рекламного характера для установления и дальнейшего развития отношений с Клиентами.
Обработке подлежат только те персональные данные, которые отвечают указанным выше целям обработки в каждом конкретном случае. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.
Обработка персональных данных осуществляется на основании письменного согласия субъекта персональных данных, если иное не предусмотрено Законом. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических и религиозных взглядов, философских убеждений, состояния здоровья, интимной жизни, должна быть незамедлительно прекращена, если устранены причины, вследствие которых она осуществлялась.
3.3. Защита и безопасность персональных данных, и режим их конфиденциальности
До начала обработки персональных данных Компания предпринимает технические и организационные меры к защите персональных данных от потери, незаконного использования и минимизации рисков, связанных с предоставлением персональных данных. К таким мерам относятся, в том числе, но не только: использование шлюзов безопасности, безопасного серверного оборудования, реализация надлежащих систем и процессов управления доступом, осмотрительный выбор процессоров, противовирусное программное обеспечение, а также иные технически и коммерчески обоснованные меры для гарантии надлежащей защиты персональных данных от несанкционированного использования или раскрытия.
Доступ к персональным данным в Компании предоставляется исключительно уполномоченным сотрудникам в тех случаях и тогда, когда это требуется для эффективного исполнения ими своих служебных обязанностей.
Все документы и сведения, содержащие информацию о персональных данных, являются конфиденциальными. Компания обеспечивает режим конфиденциальности персональных данных и обязана не допускать их распространения без согласия субъекта персональных данных, либо наличия иного законного основания.
Все меры конфиденциальности при сборе, обработке, передаче и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.4. Сроки обработки персональных данных
Сроки обработки персональных данных определяются Договором с субъектом персональных данных, сроком исполнения обязательств Компании по заявке субъекта персональных данных на оказание услуг, сроком исковой давности, сроками хранения документов в соответствии с действующими нормативами, иными требованиями законодательства, а также сроком предоставленного субъектом согласия на обработку персональных данных.
3.5. Получение персональных данных и согласие на их обработку
Субъект персональных данных принимает решение о предоставлении своих персональных данных Компании и дает согласие на их обработку по собственной воле, без принуждения, и действуя в своем интересе.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. Как правило, такое согласие дается при заключении договоров с Компанией или ее партнерами, либо в форме совершения субъектом персональных данных конклюдентных действий на Интернет-сайте Компании, либо при обращении в Компанию за получением разовой услуги. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя подлежат проверке.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе.
3.6. Допуск к обработке персональных данных
Безопасность персональных данных при их обработке обеспечивает руководитель Компании.
Работники, осуществляющие обработку персональных данных с разрешения руководителя Компании, должны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами Компании, и соблюдать требования Компании по соблюдению режима конфиденциальности.
Работникам, осуществляющим обработку персональных данных, запрещается несанкционированное или нерегистрируемое копирование персональных данных, в том числе с использованием сменных носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а также устройств фото и видеосъемки.
3.7. Передача персональных данных
Передача персональных данных, в том числе трансграничная передача персональных данных осуществляется Компанией исключительно для достижения целей, заявленных в договоре, и/или необходимых для выполнения договора и/или оказания услуг.
Передача персональных данных третьим лицам осуществляется с письменного согласия субъекта персональных данных для следующих целей: исполнения договора, стороной которого или выгодоприобретателем или поручителем по которому является субъект персональных данных; заключения договора по инициативе субъекта персональных данных, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; оказания услуг по запросу субъекта персональных данных, или его представителя; либо в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных; либо в иных случаях, установленных федеральным законодательством.
3.8. Обязанности Компании при обработке персональных данных
Компания обязана соблюдать установленные Законом требования и обязанности, в том числе обязанности по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
В случае получения от субъекта персональных данных запроса об уничтожении своих персональных данных, либо отзыве своего согласия на обработку персональных данных до исполнения Компанией обязательств по заключенному договору и/или заказанной услуги, Компания вправе продолжить обработку персональных данных до полного исполнения своих обязательств.
В случае отсутствия возможности уничтожения персональных данных в сроки, установленные Законом, Компания осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и обеспечивает уничтожение персональных данных в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.
3.9. Права субъекта персональных данных
Субъект персональных данных имеет право на доступ к своим персональным данным и вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным, или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения; подтверждение факта обработки персональных данных; правовые основания, цели и способы обработки персональных данных; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу; сроки обработки персональных данных, в том числе сроки их хранения; иные сведения, предусмотренные Законом или другими федеральными законами.
Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований Закона, или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
3.10. Порядок предоставления информации субъекту персональных данных
Доступ к своим персональным данным предоставляется Компанией субъекту персональных данных или его законному представителю при обращении, либо при получении запроса от субъекта персональных данных или его законного представителя. Запрос должен содержать полные реквизиты основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, собственноручную подпись субъекта персональных данных или его законного представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора и/или оформления заявки на получение услуги), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Компания сообщает субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя в течение десяти рабочих дней с даты получения запроса от субъекта персональных данных или его законного представителя.
Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.
3.11. Обязанности Компании при обращении субъекта персональных данных
Компания обязана сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в сроки, установленные Законом.
В случае отказа предоставить информацию о наличии персональных данных Компания обязана дать в письменной форме мотивированный ответ, содержащий ссылку на Закон или иной федеральный закон, являющийся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения, либо с даты получения запроса субъекта персональных данных или его представителя.
В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Компания обязана внести в них необходимые изменения.
В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана уничтожить такие персональные данные.
Компания обязана уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.12. Ответственность Компании за обеспечение безопасности персональных данных
Компания несет ответственность за безопасность обработки и защиту персональных данных. Компания закрепляет в трудовом договоре персональную ответственность Работников за соблюдение установленного в Компании режима конфиденциальности.
Руководитель Компании отвечает за соблюдение Работниками норм, регламентирующих получение, обработку и защиту персональных данных. Руководитель, разрешающий Работникам доступ к документам, содержащим персональные данные, несет ответственность за данное разрешение.
Каждый Работник, получающий для работы документ, содержащий персональные данные, несет личную ответственность за сохранность носителя и конфиденциальность информации.
Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
В целях обеспечения безопасности персональных данных Компания осуществляет:
1) оценку угроз безопасности персональных данных при их обработке;
2) применение организационных и технических мер по обеспечению безопасности персональных данных;
3) учет машинных носителей персональных данных;
4) выявление фактов несанкционированного доступа к персональным данным и принятие мер;
5) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6) контроль мер обеспечения безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3.13. Лица, ответственные за организацию обработки персональных данных
Компания назначает лиц, ответственных за организацию обработки персональных данных.
Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от руководителя Компании и подотчетно ему.
Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением Компанией и ее Работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения Работников Компании положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) вести прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.