Положение (политика) о защите и хранении персональных данных контрагентов, клиентов, пользователей веб-сайта и иных лиц, не являющихся работниками ООО «Промо Трэвел»


1. Общие положения

1.1. Настоящим Положением определяется порядок обработки персональных данных контрагентов, клиентов, пользователей веб-сайта и иных лиц, не являющихся работниками Общества с ограниченной ответственностью «Промо Трэвел» (далее – Общество).
1.2. Обработка персональных данных субъекта персональных данных осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, выполнения гражданско-правовых обязательств, обеспечения личной безопасности субъектов персональных данных в соответствии с положениями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» и иных нормативных актов Российской Федерации.


2. Основные понятия. Состав персональных данных

2.1. Для целей настоящего Положения используются следующие основные понятия:
субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных (далее – субъект персональных данных/субъект);
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ), в том числе Пользователю веб-сайта http://promotravel.ru/;
- персональные данные, разрешенные субъектом персональных данных для распространения,
- персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ (далее - персональные данные, разрешенные для распространения) (п. 1.1. ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
обработка персональных данных субъекта - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
распространение персональных данных - действия, направленные на раскрытие персональных данных субъектов персональных данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
предоставление персональных данных - действия, направленные на раскрытие персональных данных субъектов персональных данных определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
блокирование персональных данных - временное прекращение обработки персональных данных субъектов персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных субъектов персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных субъектов персональных данных (п. 8 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (п. 9 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
клиент Общества:
а) физическое лицо - заказчик туристского продукта (субъект персональных данных), заключивший с Обществом или иным юридическим лицом, договор на реализацию туристского продукта;
б) физическое лицо - турист (субъект персональных данных), от имени которого заказчик туристского продукта заключил с Обществом договор на реализацию туристского продукта.
веб-сайт - совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу http://promotravel.ru/;
пользователь веб-сайта - любой посетитель веб-сайта http://promotravel.ru/;
иное физическое лицо – физическое лицо (субъект персональных данных), заключившее с Обществом договор на оказание определенного вида услуг или работ либо работник стороннего юридического лица, имеющего договорные отношения с Обществом.
2.2. В целях исполнения обязательств по гражданско-правовым договора и в связи с иными взаимоотношениями с контрагентами и иными лицами, не являющимися работниками Общества, Общество с обязательным соблюдением норм действующего законодательства РФ о защите персональных данных осуществляет обработку следующих категорий данных:
  • персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  • биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
  • сведения о клиенте Общества в объеме, необходимом для реализации турпродукта в целях заключения и надлежащего исполнения договора, включая, но не ограничиваясь: фамилия, имя, отчество клиента, данные общегражданского паспорта, данные загранпаспорта, пол, дата рождения, гражданство, номер телефона и другие персональные данные (в соответствии со статьей 10 Федерального закона от 24.11.1996 № 132-ФЗ "Об основах туристской деятельности в Российской Федерации").
2.3. В Основном подразделении Общества создаются и хранятся следующие группы документов, содержащие данные о субъектах персональных данных в единичном или сводном виде:
  • комплексы документов, сопровождающие процесс оказания услуг, выполнения обязательств в рамках гражданско-правовых отношений Общества с субъектами персональных данных;
  • комплекс материалов по анкетированию субъектов;
  • личные дела, в том числе: электронная копия паспорта (страницы с данными о фамилии, имени, отчестве, дате и месте выдачи паспорта, регистрации по месту жительства, регистрации брака и наличии детей); электронная копия заграничного паспорта; электронная копия документа об образовании, повышении квалификации, переквалификации и т.п.; сведения о семейном положении субъекта персональных данных, перемене им фамилии;
  • комплекс материалов по заявкам Пользователей веб-сайта
  • документы планирования, учета, анализа и отчетности по вопросам расчетов с субъектами.
2.5. Категории субъектов персональных данных.
К субъектам, персональные данные которых обрабатываются в Обществе в соответствии с Положением, относятся:
  • клиенты Общества – физические лица;
  • сотрудники клиентов Общества;
  • контрагенты Общества – физические лица;
  • сотрудники контрагентов Общества;
  • пользователи веб-сайта;
  • иные лица, персональные данные которых Общество обязано обрабатывать в соответствии с законодательством о персональных данных.

3. Цели обработки персональных данных,

категории и перечни обрабатываемых персональных данных

3.1. Согласно Положению, персональные данные обрабатываются с целью:
а) применения и исполнения гражданского законодательства в рамках договорных и иных непосредственно связанных с ними отношений;
б) исполнения обязательств Общества и осуществление прав Общества по заключенным с клиентами договорам реализации туристского продукта в соответствии с нормами Федерального закона № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации»;
в) исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является клиент, а также для заключения договора по инициативе клиента или договора, по которому клиент будет являться выгодоприобретателем или поручителем;
г) исполнения обязательств Общества и осуществление прав Общества по заключенным с юридическими лицами договорам в соответствии с нормами Гражданского кодекса Российской Федерации и Федерального закона № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации»;
д) выполнения маркетинговых и рекламных действий в целях установления и дальнейшего развития отношений с клиентами и пользователями веб-сайта;
е) проведения статистических исследований для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
3.2. В соответствии с целью, указанной в п. 3.1 Положения, в Обществе обрабатываются следующие персональные данные:
  • фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
  • пол;
  • дата (число, месяц, год) и место рождения;
  • фотографическое изображение;
  • сведения о гражданстве;
  • вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
  • страховой номер индивидуального лицевого счета (СНИЛС);
  • идентификационный номер налогоплательщика (ИНН);
  • адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
  • номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
  • реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
  • сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
  • сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
  • информация о владении иностранными языками;
  • сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
  • сведения, содержащиеся в разрешении на временное проживание в РФ (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
  • номера расчетного счета, банковской карты;
  • сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий субъектов);
  • телефон, электронная почта, социальные сети;
  • иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 3.1 Положения;
  • иные персональные данные, которые субъект пожелал сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п. 3.1 Положения.

4. Сбор и обработка персональных данных субъектов персональных данных

4.1. Источником информации обо всех персональных данных субъекта является непосредственно субъект персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Общество обязано сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
4.2. Общество собирает и обрабатывает персональные данные Пользователя веб-сайта только в случае их отправки Пользователем через формы, расположенные на веб-сайте. Отправляя свои персональные данные Обществу, Пользователь выражает свое согласие с данной Политикой.
4.3. Общество собирает и обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
4.4. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Федерального закона от 27.07.2006 N 152-ФЗ, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 указанного Закона.
4.5. Общество не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
4.6. Обработка персональных данных субъектов Обществом возможна только с их согласия. Исключение составляют случаи, предусмотренные законодательством РФ (в частности, согласие не требуется при наличии оснований и соблюдении условий, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, п. п. 2.1 - 10 ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ).
4.7. Письменное согласие субъекта на обработку своих персональных данных должно включать в себя, в частности, сведения, указанные в п. п. 1 - 9 ч. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ.
4.8. Письменное согласие субъекта на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Федерального закона от 27.07.2006 N 152-ФЗ. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.
4.9. Письменное согласие на обработку персональных данных, разрешенных для распространения, субъект предоставляет Обществу лично либо в форме электронного документа, подписанного электронной подписью с использованием информационной системы Роскомнадзора.
4.10. Общество обязано не позднее трех рабочих дней с момента получения указанного согласия опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
4.11. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Обществу требования, указанного в п. 5.2.5 настоящего Положения.
4.12. Субъект Общества представляет в отдел кадров достоверные сведения о себе. Отдел кадров проверяет достоверность сведений.
4.13. В целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке персональных данных субъекта должны соблюдать, в частности, следующие общие требования:
  • При определении объема и содержания обрабатываемых персональных данных субъекта Общество должно руководствоваться Конституцией РФ и иными федеральными законами.
  • При принятии решений, затрагивающих интересы субъекта, Общество не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
  • Защита персональных данных субъекта от неправомерного их использования, утраты обеспечивается Обществом за счет его средств в порядке, установленном федеральными законами.
  • Субъекты и их представители должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
  • Субъекты не должны отказываться от своих прав на сохранение и защиту тайны.


5. Передача персональных данных

5.1. При передаче персональных данных субъекта Общество должно соблюдать следующие требования:
  • Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных законодательством о персональных данных.
  • Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия. Обработка персональных данных субъектов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
  • Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные субъекта, обязаны соблюдать режим секретности (конфиденциальности).
  • Осуществлять передачу персональных данных субъектов в пределах Общества в соответствии с настоящим Положением, с которым субъекты должны быть ознакомлены под подпись.
  • Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
  • Передавать персональные данные субъекта представителям субъектов в порядке, установленном законодательством о персональных данных и иными федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
5.2. Установленные субъектом запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
5.3. Персональные данные субъектов обрабатываются и хранятся в Основном подразделении Общества.
5.4. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
5.5. При получении персональных данных не от субъекта (за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 N 152-ФЗ) Общество до начала обработки таких персональных данных обязано предоставить субъекту следующую информацию:
  • наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные Федеральным законом от 27.07.2006 N 152-ФЗ права субъекта персональных данных;
  • источник получения персональных данных.


6. Доступ к персональным данным субъектов

6.1. Право доступа к персональным данным субъектов имеют:
  • Генеральный директор;
  • Руководитель проектов;
  • Главный бухгалтер;
  • Менеджер по туризму.
6.2. Субъект, в частности, имеет право:
  • Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом.
  • Требовать от Общества исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона. При отказе Общества исключить или исправить персональные данные субъекта он имеет право заявить в письменной форме Обществу о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения.
  • Получать от Общества сведения о наименовании и месте нахождения оператора, сведения о лицах (за исключением субъектов оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона.
  • Требовать извещения Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
  • Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Общества при обработке и защите его персональных данных.

7. Сроки обработки и хранения персональных данных

7.1. Обработка персональных данных в Обществе прекращается в следующих случаях:
  • при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
  • при достижении целей их обработки (за некоторыми исключениями);
  • по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия.
7.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.

8. Порядок блокирования и уничтожения персональных данных

8.1. Общество блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
8.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
8.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
8.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления неправомерной обработки.
8.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
8.6. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
8.7. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Обществом. Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
8.8. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.
8.9. Уничтожение персональных данных осуществляет комиссия, созданная приказом Генерального директора.
8.9.1. Комиссия составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
8.9.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.9.3. Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении. Форма акта утверждается приказом Генерального директора.

9. Защита персональных данных. Процедуры,

направленные на предотвращение и выявление нарушений

законодательства, устранение последствий таких нарушений

9.1. Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
9.1.1. Запрещено раскрытие и распространение персональных данных субъектов персональных данных по телефону.
9.2. С целью защиты персональных данных в Обществе приказами Генерального директора назначается (утверждаются):
  • субъект, ответственный за организацию обработки персональных данных;
  • форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
  • форма согласия на передачу персональных данных;
  • иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
9.3. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Общества, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под подпись.
9.4. Доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется по индивидуальным паролям.
9.5. В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
9.6. Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.
9.7. В должностные инструкции субъектов Общества, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.
9.8. В Обществе проводятся внутренние расследования в следующих ситуациях:
  • при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
  • в иных случаях, предусмотренных законодательством в области персональных данных.
9.9. Субъект, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
  • за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
  • соответствием указанных актов, требованиям законодательства в области персональных данных.
Внутренний контроль проходит в виде внутренних проверок.
9.9.1. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается генеральным директором.
9.92. Внутренние внеплановые проверки осуществляются по решению субъекта, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
9.9.3. По итогам внутренней проверки оформляется докладная записка на имя генерального директора. В случае выявления нарушений в документе приводятся перечень мероприятий по их устранению и соответствующие сроки.
9.10. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
9.10.1. В случае инцидента Общество в течение 24 часов уведомляет Роскомнадзор:
- об инциденте;
- его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
- принятых мерах по устранению последствий инцидента;
- представителе Общества, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
9.10.2. В течение 72 часов Общество обязано сделать следующее:
- уведомить Роскомнадзор о результатах внутреннего расследования;
- предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
9.11. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Общество уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
9.12. Общество уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
9.12.1. В случае уничтожения персональных данных, которые неправомерно обрабатывались, уведомление направляется в соответствии с п. 9.12 Положения.
9.13. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Общество уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Общество уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

10. Ответственность за нарушение норм, регулирующих

обработку персональных данных

10.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных субъекта, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном действующим законодательством РФ, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
10.2. Моральный вред, причиненный субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом убытков.

11. Заключительные положения

11.1. Общество оставляет за собой право вносить любые изменения в действующую Политику путем размещения Политики в новой редакции на сайте. Изменения вступают в силу с момента размещения новой редакции Политики на сайте http://promotravel.ru/
11.2. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Обществу с помощью электронной почты info@promotravel.ru.