ПОЛОЖЕНИЕ
о защите, хранении, обработке и передаче
персональных данных
в ООО «Центральное Агентство Воздушных и ЖД Сообщений»


Настоящее Положение разработано на основании Конституции Российской Федерации, Трудового кодекса РФ, Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»


Термины и определения


Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.

Доступ в операционную среду компьютера (информационной системы персональных данных) – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации – возможность получения информации и ее использования.

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Использование персональных данных - действия (операции) с персональными данными, совершаемые Компанией в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Клиент – лицо, являющееся потребителем услуг либо потенциальным потребителем услуг Компании.

Компания – ООО «Центральное Агентство Воздушных и ЖД Сообщений».

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных - обязательное для соблюдения Компанией или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект – Работник или Клиент Компании, чьи персональные данные обрабатываются Компанией.

Раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных.

Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Работник – лицо, состоящее с Компанией в трудовых отношениях.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.


1. Общие положения


1.1. Настоящее положение применяется к защите персональных данных Субъекта. Целью настоящего Положения является обеспечение защиты прав человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. К персональным данным относятся:

- сведения, содержащиеся в удостоверении личности;

- информация, содержащаяся в трудовой книжке Работника;

- информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования;

- документы воинского учета - при их наличии;

- информация об образовании, квалификации или наличии специальных знаний или подготовки;

- информация медицинского характера (в отношении Работников, в случаях, предусмотренных законодательством);

- иные документы, содержащие сведения, необходимые для определения трудовых отношений;

- информация о размере заработной платы Работника;

- фамилия, имя, отчество Клиента;

- дата рождения Клиента;

- информация месте жительства Клиента, номер контактного телефона;

- паспортные данные Клиента, необходимые для оформления перевозочных документов.

1.3. Объектами защиты являются – информация, обрабатываемая в информационной системе персональных данных, и технические средства ее обработки и защиты. Перечень персональных данных, подлежащие защите, определен в Перечне персональных данных, подлежащих защите в информационной системе персональных данных.

1.4. Объекты защиты включают:

1) Обрабатываемая информация.

2) Технологическая информация.

3) Программно-технические средства обработки.

4) Средства защиты персональных данных.

5) Каналы информационного обмена и телекоммуникации.

6) Объекты и помещения, в которых размещены компоненты ИСПДн.

1.5. Все персональные сведения о Субъекте Компания может получить только от него самого. В случаях, когда Компания может получить необходимые персональные данные Субъекта только у третьего лица, Компания должна уведомить об этом Субъекта и получить от него письменное согласие.

1.6. Компания обязана сообщить Субъекту о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа Субъекта дать письменное согласие на их получение.

1.7. Персональные данные Субъекта являются конфиденциальной информацией и не могут быть использованы Компанией, или любым иным лицом в личных целях.

1.8. При определении объема и содержания персональных данных Субъекта, Компания руководствуется настоящим Положением, Трудовым кодексом РФ, Гражданским кодексом РФ, иными федеральными законами и Конституцией РФ.

1.9. Субъект не должен отказываться от своих прав на сохранение и защиту тайны.

1.10. Система защиты персональных данных представляет собой совокупность организационных и технических мероприятий для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий с ними.

1.11. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

1.12. Структура, состав и основные функции системы защиты персональных данных определяются исходя из класса информационной системы персональных данных. Система защиты персональных данных включает организационные меры и технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

Эти меры призваны обеспечить:

конфиденциальность информации (защита от несанкционированного ознакомления);

целостность информации (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

доступность информации (возможность за приемлемое время получить требуемую информационную услугу).


2. Задачи системы защиты персональных данных


2.1. Основной целью системы защиты персональных данных является минимизация ущерба от возможной реализации угроз безопасности персональных данных.

2.2. Для достижения основной цели система безопасности персональных данных информационной системы персональных данных должна обеспечивать эффективное решение следующих задач:

- защиту от вмешательства в процесс функционирования информационной системы персональных данных посторонних лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи);

- разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам информационной системы персональных данных (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям информационной системы персональных данных для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа:

1) к информации, циркулирующей в информационной системе персональных данных;

2) средствам вычислительной техники информационной системы персональных данных;

3) аппаратным, программным и криптографическим средствам защиты, используемым в информационной системе персональных данных;

- регистрацию действий пользователей при использовании защищаемых ресурсов информационной системы персональных данных в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов;

- контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;

- защиту от несанкционированной модификации и контроль целостности используемых в информационной системе персональных данных программных средств, а также защиту системы от внедрения несанкционированных программ;

- защиту информационной системы персональных данных от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;

- защиту информационной системы персональных данных, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;

- обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;

- своевременное выявление источников угроз безопасности информационной системы персональных данных, причин и условий, способствующих нанесению ущерба субъектам персональных данных, создание механизма оперативного реагирования на угрозы безопасности персональных данных и негативные тенденции;

- создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности персональных данных.


3. Хранение, обработка и передача персональных данных Субъекта


3.1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

3.2. Обработка персональных данных Субъекта осуществляется для обеспечения соблюдения законов и иных нормативно-правовых актов в целях:

- содействия Работнику в трудоустройстве, обучении и продвижении по службе;

- обеспечения личной безопасности Работника;

- контроля качества и количества выполняемой работы;

- оплаты труда;

- обеспечения сохранности имущества;

- пользования льготами, предусмотренными законодательством РФ и актами Компании;

- надлежащего оказания услуг Компанией Клиенту по договору оказания услуг;

- защита Работников и Клиентов, их прав и интересов, имущества от неблагоприятных воздействий;

- оказания услуг Клиентам по оформлению и бронированию авиа и железнодорожных перевозок, такси, размещения в отелях;

- поддержания обратной связи с Субъектом.

3.3. Обработка персональных данных субъектов осуществляется Компанией как в виде автоматизированной обработки персональных данных (оформление, бронирование, продажа перевозочных документов на сайте bilet.aero), так и неавтоматизированной обработки персональных данных (оформление, бронирование, продажа перевозочных документов кассирами билетными по месту нахождению Компании, обработка персональных данных уполномоченными сотрудниками Компании).

3.4. Персональные данные Работника хранятся у сотрудника, на которого возложены обязанности кадрового делопроизводства:

- в сейфе на бумажных носителях хранится трудовая книжка;

- личная карточка хранится в шкафу, запираемом на ключ;

- на электронных носителях с ограниченным доступом.

3.5. Право доступа к персональным данным Работника имеют:

- генеральный директор Компании;

- главный бухгалтер Компании;

- начальник отдела бухгалтерского учета и финансового анализа;

- программист 1С;

- юрисконсульт Компании;

- помощник Генерального директора.

3.6. Сотрудник на которого возложены обязанности ведения кадрового делопроизводства вправе передавать:

- информацию об образовании, квалификации или наличии специальных знаний или подготовки;

- информацию о размере заработной платы Работника руководителю подразделения, в котором работает Работник.

3.7. Генеральный директор Компании, главный бухгалтер Компании и системный администратор компьютерной сети Компании может передавать персональные данные Работника третьим лицам только если это необходимо в целях предупреждения угрозы жизни и здоровья Работника, а также в случаях, установленных законодательством.

3.8. При передаче персональных данных Работника, сотрудник, на которого возложены обязанности ведения кадрового делопроизводства, Генеральный директор Компании, главный бухгалтер Компании и системный администратор компьютерной сети Компании предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требуют от этих лиц письменное подтверждение соблюдения этого условия.

3.9. Все сведения о передаче персональных данных Работника учитываются для контроля правомерности использования данной информации лицами, ее получившими.

3.10. Сотрудник на которого возложены обязанности ведения кадрового делопроизводства обязан предоставлять персональную информацию в пенсионный фонд по форме, в порядке и объеме, установленном законодательством РФ.

3.11. Иные права, обязанности, действия Работников, в трудовые обязанности которых входит обработка персональных данных Работника, определяются должностными инструкциями.

3.12. Персональные данные Клиентов Компании хранятся в электронном виде на удаленном сервере ЗАО «Сирена-Трэвел», за сохранность которого отвечают сотрудники ЗАО «Сирена-Трэвел», на сервере Компании, за сохранность которого отвечает программист 1С Компании.

Контактные данные клиентов Компании на бумажных носителях хранятся в сейфе Компании, у сотрудника, на которого возложены обязанности кадрового делопроизводства.

Копии маршрутных квитанций с персональными данными Клиентов хранятся в архиве Компании. Ответственным за хранение маршрутных квитанций с персональными данными Клиентов является главный бухгалтер Компании.

3.13. Персональные данные Клиентов Компании, хранятся на сервере Компании не более 5 лет, после чего уничтожаются путем форматирования соответствующего сектора данных.

Копии маршрутных квитанций с персональными данными Клиентов хранятся в архиве Компании не более 5 лет, после чего уничтожаются методом шредирования.

3.14. Компания может передавать персональные данные Клиента третьим лицам только если это необходимо в целях оказания услуг Клиентам по оформлению и бронированию авиа и железнодорожных перевозок, такси, размещения в отелях, а также в случаях, установленных законодательством.

3.15. Право доступа к персональным данным Клиента, являющегося получателем услуг Компании имеет:

- Генеральный директор Компании;

- главный бухгалтер Компании;

- кассир билетный Компании;

- юрисконсульт Компании;

- сотрудники отдела учета выручки Компании;

- программист 1С Компании.

3.16. Генеральный директор Компании вправе передавать бланки с персональными данными Клиента главному бухгалтеру Компании для организации налоговой отчетности.

3.17. При передаче персональных данных Клиента сотрудники Компании предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

3.18. Иные права, обязанности, действия Работников, в трудовые обязанности которых входит обработка персональных данных Клиента, определяются должностными инструкциями.

3.19. Все сведения о передаче персональных данных Клиента учитываются для контроля правомерности использования данной информации лицами, ее получившими.


4. Обязанности Компании по хранению и защите персональных данных Субъекта


4.1. Компания обязана за свой счет обеспечить защиту персональных данных Субъекта от неправомерного их использования или утраты, в порядке, установленном законодательством РФ.

4.2. Компания обязана ознакомить Субъекта и его представителей с настоящим Положением и их правами в области защиты персональных данных.

4.3. Компания обязана осуществлять передачу персональных данных Субъекта только в соответствии с настоящим Положением и законодательством РФ.

4.4. Компания обязана предоставлять персональные данные Субъекта только уполномоченным лицам, и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящим Положением и законодательством РФ.

4.5. Компания не вправе получать и обрабатывать персональные данные Субъекта о его политических, религиозных и иных убеждениях и частной жизни.

В случаях, непосредственно связанных с вопросами трудовых отношений, Компания вправе получать и обрабатывать персональные данные Субъекта о его личной жизни, только с письменного согласия Субъекта.

4.6. Компания не имеет права получать и обрабатывать персональные данные Субъекта о его членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.

4.7. Компания не вправе предоставлять персональные данные Субъекта в коммерческих целях, без письменного согласия Субъекта.

4.8. Компания обязана обеспечить Субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством.

4.9. Компания обязана по требованию Субъекта предоставить ему полную информацию о его персональных данных и обработке этих данных.


5. Права Субъекта на защиту его персональных данных


5.1. Субъект в целях обеспечения защиты своих персональных данных, хранящихся у Компании, имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.


6. Ответственность Компании и ее сотрудников


6.1. Защита прав Субъекта, установленных настоящим Положением и законодательством РФ, осуществляется судом, в целях пресечения неправомерного использования персональных данных Субъекта, восстановления нарушенных прав и возмещения причиненного ущерба, в том числе морального ущерба.

6.2. В случае нарушения норм, регулирующих обработку, хранение, передачу и защиту персональных данных Субъекта Компанией и иными лицами, они несут ответственность в соответствии с действующим законодательством.

STATUTE OF PROTECTION, STORAGE, PROCESSING AND TRANSFER PERSONAL DATA IN THE LIMITED LIABILITY COMPANY CENTRAL AIR TRAVEL AGENCY

This Regulation was developed on the basis of the Constitution of the Russian Federation, the Labor Code of the Russian Federation, Federal Law No. 149-FZ of July 27, 2006 "On Information, Information Technologies and Information Protection", Federal Law No. 152-FZ of July 27, 2006 "About personal data"


Terms and Definitions


Automated system - a system consisting of personnel and a set of automation tools for its activities, which implements information technology for the performance of established functions.

Automated processing of personal data - processing of personal data by means of computer facilities.

Personal data security - the state of security of personal data, characterized by the ability of users, technical means and information technologies to ensure the confidentiality, integrity and accessibility of personal data when processing them in personal data information systems.

Blocking of personal data - temporary suspension of collection, systematization, accumulation, use, distribution, personal data, including their transfer.

A virus (computer, software) - is an executable program code or an interpreted set of instructions that has the properties of unauthorized distribution and self-reproduction. Created duplicates of a computer virus do not always coincide with the original, but retain the ability to further spread and reproduce themselves.

Malicious program - is a program designed to perform unauthorized access and (or) impact on personal data or resources of the personal data information system.

Auxiliary equipment and systems - are technical means and systems not intended for the transfer, processing and storage of personal data, installed in conjunction with technical means and systems designed for the processing of personal data or in the premises in which information systems for personal data are installed.

Access to the operating system of the computer (information system for personal data) - obtaining the ability to run on full-time commands, functions, operating system procedures (destruction, copying, moving, etc.), executable application files.

Access to information - the possibility of obtaining information and its use.

Personal Data Information System (PDIS) - is an information system that is a collection of personal data contained in a database, as well as information technologies and technical means that allow processing such personal data using automation tools or without using such means.

Information technologies - are processes, methods of searching, collecting, storing, processing, providing, disseminating information and ways of implementing such processes and methods.

Use of personal data - actions (operations) with personal data made by the Company for the purpose of making decisions or performing other actions that generate legal consequences with respect to the subject of personal data or other persons or otherwise affecting the rights and freedoms of the subject of personal data or other persons.

Customer - a person who is a consumer of services or a potential consumer of the Company's services.

The company - is the Limited Liability Company Central Air Travel Agency.

Controlled zone - space (territory, building, part of the building, premises), in which uncontrolled stay of unauthorized persons, as well as transportation, technical and other material assets is excluded.

Confidentiality of personal data - is a mandatory requirement for the Company or other persons who have access to a personal data to prevent their dissemination without the consent of the subject of personal data or other legal grounds.

A firewall - is a local (one-component) or functionally distributed software (hardware-software) facility (complex) that implements monitoring of information entering the personal data information system and (or) exiting the information system.

The infringer of the security of personal data - is an individual who accidentally or intentionally commits an action that results in a violation of the security of personal data when processed by technical means in information systems of personal data.

Non-automated processing of personal data - processing of personal data contained in the personal data information system or extracted from such a system is considered to be carried out without the use of automation (manual), if such actions with personal data, such as use, clarification, distribution, destruction of personal data in relation to each of the subjects of personal data, are carried out with the direct participation of a person.

Depersonalization of personal data - is an action, as a result of which it is impossible to determine the ownership of personal data by a specific subject of personal data.

Processing of personal data - actions (operations) with personal data, including collection, systematization, accumulation, storage, updating (updating, modification), use, distribution (including transfer), depersonalization, blocking, destruction of personal data.

Publicly available personal data - are personal data, the access of an unlimited number of persons to which is provided with the consent of the personal data subject or to which confidentiality requirements do not apply in accordance with federal laws.

Operator (personal data) - a state body, a municipal body, a legal entity or an individual, independently or jointly with other persons organizing and (or) carrying out the processing of personal data, as well as defining the purposes of processing personal data, the composition of personal data subject to processing, actions operations) performed with personal data.

Technical means of the personal data information system - means of computer technology, information and computer systems and networks, means and systems for transmitting, receiving and processing PDN (means and systems of sound recording, sound amplification, sound reproduction, intercommunication and television devices, means of production, replication of documents and other technical means of processing speech, graphic, video and alphanumeric information), software (operating systems, database management systems etc.), information security tools used in information systems.

Personal data - any information related to a directly or indirectly defined or determined individual (subject of personal data).

Subject - Employee or Client of the Company, whose personal data is processed by the Company.

Disclosure of personal data - willful or accidental violation of the confidentiality of personal data.

Dissemination of personal data - actions aimed at the transfer of personal data to a certain range of persons (transfer of personal data) or for acquaintance with personal data of an unlimited number of persons, including the disclosure of personal data in the media, placement in information and telecommunications networks or provision of access to personal data in any other way.

Employee - a person who is with the Company in labor relations.

Cross-border transfer of personal data - the transfer of personal data to the territory of a foreign state to the authority of a foreign state, to a foreign individual or to a foreign legal entity.

Threats to the security of personal data - a combination of conditions and factors that create the danger of unauthorized access to personal data, including random access, resulting in the destruction, modification, blocking, copying, dissemination of personal data, as well as other unauthorized actions when processing them in the information system of personal data.

Destruction of personal data - is an action that makes it impossible to restore the contents of personal data in the personal data information system and (or) as a result of which material data carriers of personal data are destroyed.

Leakage of (protected) information through technical channels - uncontrolled dissemination of information from a carrier of protected information through a physical medium to a technical means that intercepts information.


1. General Provisions


1.1. This provision applies to the protection of the personal data of the Subject. The purpose of this Regulation is to ensure the protection of human and civil rights in the processing of his personal data, including the protection of privacy rights, personal and family secrets.

1.2. The personal data includes:

- information contained in the identity card;

- information contained in the employee's work record book;

- information contained in the insurance certificate of the state pension insurance;

- documents of military registration - if they are available;

- information on education, qualifications or availability of special knowledge or training;

- information of a medical nature (in relation to Employees, in cases stipulated by law);

- other documents containing information necessary to determine the employment relationship;

- information on the amount of the salary of the Employee;

- last name, first name, patronymic of the Client;

- Date of birth of the Client;

- information about the Client's place of residence, contact phone number;

- the passport data of the Client, necessary for registration of transportation documents.

1.3. The objects of protection are - the information processed in the personal data information system and the technical means for its processing and protection. The list of personal data to be protected is defined in the Personal Data List to be protected in the personal information system.

1.4. Protection objects include:

1) Processed information.

2) Technological information.

3) Software and hardware processing.

4) Means of protection of personal data.

5) Information exchange channels and telecommunications.

6) Objects and premises in which the components of the PDIS are located.

1.5. All the personal information about the Subject can be obtained only from the Company. In cases where the Company can only obtain the necessary personal data of the Subject from a third party, the Company must notify the subject about it and receive written consent from it.

1.6. The Company is obliged to inform the Subject about the purposes, methods and sources of obtaining personal data, as well as the nature of the personal data to be received and the possible consequences of the refusal of the Subject to give written consent for their receipt.

1.7. Personal data of the Subject is confidential information and can not be used by the Company, or any other person for personal purposes.

1.8. In determining the scope and content of the Subject's personal data, the Company is guided by this Regulation, the Labor Code of the Russian Federation, the Civil Code of the Russian Federation, other federal laws and the Constitution of the Russian Federation.

1.9. The subject must not waive his rights to preserve and protect secrecy.

1.10. The personal data protection system is a set of organizational and technical measures for the protection of personal data from unauthorized or accidental access to them, destruction, modification, blocking, copying, distribution of personal data, as well as other illegal actions with them.

1.11. The security of personal data is achieved through the exclusion of unauthorized, including accidental, access to personal data, the result of which can be the destruction, modification, blocking, copying, distribution of personal data, as well as other unauthorized actions.

1.12. The structure, composition and basic functions of the personal data protection system are determined on the basis of the class of the personal data information system. The personal data protection system includes organizational measures and technical means of information protection (including encryption (cryptographic) means, means of preventing unauthorized access, information leakage through technical channels, software and technical impacts on technical means of processing personal data), as well as used in information system of information technology.

These measures are designed to ensure:

confidentiality of information (protection from unauthorized familiarization);

integrity of information (relevance and consistency of information, its protection from destruction and unauthorized change);

accessibility of information (the opportunity for an acceptable time to obtain the required information service).


2. The aims of the personal data protection system


2.1. The main purpose of the personal data protection system is to minimize the damage from the possible implementation of threats to the security of personal data.

2.2. To achieve the main goal, the personal data security system of the personal data information system should provide an effective solution to the following tasks:

- protection from interference in the process of the operation of the personal information system of unauthorized persons (the possibility of using the automated system and access to its resources should be available only to registered users);

- delineation of the access of registered users to the hardware, software and information resources of the personal data information system (the ability to access only those resources and perform only those operations with them that are necessary for specific users of the personal data information system to perform their official duties), that is, protection from unauthorized access:

1) to information circulating in the personal data information system;

2) the means of computer technology of the personal data information system;

3) hardware, software and cryptographic means of protection used in the personal data information system;

- registration of user actions when using the protected resources of the personal data information system in system logs and periodic monitoring of the correctness of the actions of system users by analyzing the contents of these logs;

- Integrity control (ensuring unchanged) of the program execution environment and its restoration in case of violation;

- protection against unauthorized modification and monitoring of the integrity of software tools used in the information system, as well as protection of the system from the introduction of unauthorized programs;

- protection of the personal data information system from leakage through technical channels during its processing, storage and transmission through communication channels;

- protection of the personal data information system, stored, processed and transmitted through communication channels, from unauthorized disclosure or distortion;

- ensuring the survivability of cryptographic means of information protection when some of the key system is compromised;

- timely identification of sources of threats to the security of the personal data information system, causes and conditions that contribute to damage to personal data subjects, the establishment of a mechanism for prompt response to threats to the security of personal data and negative trends;

- creation of conditions for minimization and localization of damage caused by unlawful actions of individuals and legal entities, mitigation of negative influence and elimination of consequences of violation of personal data security.


3. Storage, processing and transfer of personal data of the Subject


3.1. Processing of personal data should be based on the following principles:

1) the legality of methods for processing personal data and integrity;

2) the correspondence of the purposes of processing personal data to the goals predetermined and claimed when collecting personal data, as well as the powers of the operator;

3) the correspondence between the volume and nature of the personal data being processed, the ways of processing personal data for the purposes of processing personal data;

4) the reliability of personal data, their sufficiency for processing purposes, inadmissibility of processing personal data that is redundant in relation to the purposes claimed in the collection of personal data;

5) inadmissibility of combining the databases of information systems for personal data created for incompatible purposes.

3.2. Processing of the personal data of the subject is carried out to ensure compliance with laws and other regulatory legal acts in order to:

- Assistance to the Employer in employment, training and promotion;

- ensuring the personal safety of the Employee;

- quality control and quantity of work performed;

- remuneration of labor;

- maintenance of safety of property;

- the use of benefits provided for by the legislation of the Russian Federation and the Company's acts;

- the proper provision of services by the Company to the Client under a service contract;

- Protection of Employees and Clients, their rights and interests, property from adverse impacts;

- rendering services to clients on registration and booking of air and rail transportation, taxi, accommodation in hotels;

- maintaining feedback from the subject.

3.3. Processing of personal data of subjects is carried out by the Company both in the form of automated processing of personal data (registration, booking, sale of transportation documents on the site bilet.aero), and manual processing of personal data (registration, booking, sale of transportation documents by ticket-takers at the location of the Company, processing personal data by authorized employees of the Company).

3.4. Personal data of the Employee shall be kept by the employee, who is responsible for the personnel records:

- in the safe on paper carriers a work record is kept;

- a personal card is stored in a locker locked with a key;

- on electronic media with limited access.

3.5. The right to access the Employee's personal data is:

- General Director of the Company;

- Chief Accountant of the Company;

- Head of Accounting and Financial Analysis Department;

- 1C programmer;

- Legal Advisor of the Company;

- Assistant to the Director General.

3.6. The employee on whom the duties of conducting the personnel recordkeeping are entrusted have the right to transfer:

- information on education, qualifications or availability of special knowledge or training;

- information on the amount of the employee's salary to the head of the unit in which the employee works.

3.7. The General Director of the Company, the Chief Accountant of the Company and the System Administrator of the Company's computer network may transfer personal data of the Employee to third parties only if this is necessary in order to prevent a threat to the life and health of the Employee, and also in cases established by law.

3.8. In the transfer of personal data of the Employee, the employee entrusted with the duties of conducting HR records, the Company's Chief Executive Officer, the Chief Accountant of the Company and the System Administrator of the Company's computer network shall warn the persons receiving this information that these data can only be used for purposes, for and they require written confirmation from these persons that this condition has been met.

3.9. All information about the transfer of the Employee's personal data is taken into account to control the legality of using this information by the persons who received it.

3.10. The employee on whom the duties of conducting personnel management are assigned is obliged to provide personal information to the pension fund in the form, in the order and in the amount established by the legislation of the Russian Federation.

3.11. Other rights, duties, actions of employees, whose labor duties include the processing of the Employee's personal data, are determined by job descriptions.

3.12. The personal data of the Company's Clients are stored electronically on the remote server of CJSC Sirena-Travel, for the safety of which the employees of CJSC Sirena-Travel are responsible, on the Company's server, for the safety of which the programmer 1C of the Company is responsible.

The contact details of the Company's customers on paper are stored in the Company's safe, from the employee who is assigned the duties of personnel records management.

Copies of routing receipts with personal data of the Clients are stored in the Company's archive. The chief accountant of the Company is responsible for storing routing receipts with personal data of the Clients.

3.13. The personal data of the Company's Clients are stored on the Company's server for not more than 5 years, after which they are destroyed by formatting the relevant data sector.

Copies of route receipts with personal data of Clients are stored in the Company's archives for no more than 5 years, after which they are destroyed by the method of shredding.

3.14. The Company may transfer personal data of the Customer to third parties only if this is necessary for the provision of services to customers for the formulation and reservation of air and rail transportation, taxis, accommodation in hotels, as well as in cases established by law.

3.15. The right of access to the personal data of the Customer who is the recipient of the Company's services has:

- General Director of the Company;

- Chief Accountant of the Company;

- The ticket-teller of the Company;

- Legal Advisor of the Company;

- employees of the Company's revenue accounting department;

- 1C Company programmer.

3.16. The General Director of the Company has the right to transfer forms with personal data of the Client to the chief accountant of the Company for the organization of tax reporting.

3.17. When transferring personal data of the Client, Company employees warn persons receiving this information that these data can be used only for the purposes for which they are communicated.

3.18. Other rights, duties, actions of employees in whose employment duties the processing of personal data of the Client is included, are defined by job descriptions.

3.19. All information about the transfer of personal data of the Client is taken into account to control the legality of using this information by the persons who received it.


4. Obligations of the Company for the storage and protection of personal data of the Subject


4.1. The Company is obliged at its own expense to protect the Personal Data of the Subject from unauthorized use or loss, in accordance with the procedure established by the legislation of the Russian Federation.

4.2. The Company is obliged to familiarize the Subject and its representatives with this Regulation and their rights in the field of personal data protection.

4.3. The Company is obliged to transfer the personal data of the Subject only in accordance with this Regulation and the laws of the Russian Federation.

4.4. The Company is obliged to provide the personal data of the Subject only to authorized persons, and only in the part that is necessary for them to fulfill their labor duties, in accordance with this Regulation and the legislation of the Russian Federation.

4.5. The Company has no right to receive and process the personal data of the Subject about its political, religious and other beliefs and private life.

In cases directly related to the issues of labor relations, the Company is entitled to receive and process the personal data of the Subject about his personal life, only with the written consent of the Subject.

4.6. The Company has no right to receive and process the personal data of the Subject about its membership in public associations or trade union activities, except for cases provided for by the legislation of the Russian Federation.

4.7. The Company may not provide personal data of the Subject for commercial purposes, without the written consent of the Subject.

4.8. The Company is obliged to provide the subject with free access to his personal data, including the right to receive copies of any record containing his personal data, except as provided by law.

4.9. The Company is obliged, at the request of the Subject, to provide him with full information about his personal data and the processing of this data.


5. The rights of the subject to protect his personal data


5.1. The Subject, in order to protect its personal data stored by the Company, has the right to receive information concerning the processing of its personal data, including:

1) confirmation of the fact of personal data processing by the operator;

2) legal grounds and purposes for processing personal data;

3) purposes and methods of processing personal data used by the operator;

4) the name and location of the operator, information on persons (except for the operator's employees) who have access to personal data or who can disclose personal data on the basis of a contract with the operator or on the basis of a federal law;

5) the processed personal data relating to the relevant personal data subject, the source of their receipt, if another procedure for the submission of such data is not provided for by federal law;

6) the terms of processing of personal data, including the terms of their storage;

7) the procedure for the subject of personal data to exercise the rights provided for by this Federal Law;

8) information on the carried out or expected transboundary data transfer;

9) the name or surname, name, patronymic and address of the person carrying out the processing of personal data on behalf of the operator, if the processing is entrusted or will be entrusted to such person;

10) other information provided by the Federal Law of July 27, 2006 No. 152-FZ "On Personal Data" or other federal laws.


6. Liability of the Company and its employees


6.1. The protection of the rights of the Subject established by this Statute and the legislation of the Russian Federation shall be exercised by the court in order to prevent the misuse of the personal data of the Subject, the restoration of the violated rights and compensation for the damage caused, including moral damage.

6.2. In the event of violation of the rules governing the processing, storage, transfer and protection of the personal data of the Subject by the Company and other persons, they are liable in accordance with the current legislation.

×