Политика обработки и защиты персональных данных

ООО «Сорога Глэмпинг»

1.         Общие положения

1.1.                Настоящая Политика обработки и защиты персональных данных ООО «Сорога Глэмпинг» (далее Политика) определяет политику ООО «Сорога Глэмпинг» (далее - ООО «Сорога Глэмпинг», Оператор) в области обработки и защиты персональных данных (далее — ПДн), разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2.                Политика действует в отношении всех ПДн, которые обрабатывает Оператор, в том числе применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://nosorogy.ru.

1.3.                Политика распространяется на отношения в области обработки ПДн, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.4.                Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на официальном сайте ООО «Сорога Глэмпинг» по адресу: https://nosorogy.ru.

1.5.                 ООО «Сорога Глэмпинг» включено в реестр операторов, осуществляющих обработку ПДн на основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Регистрационный номер в реестре операторов, осуществляющих обработку ПДн: 77-22-130501.

1.6.                Особенности обработки и защиты ПДн Работников ООО «Сорога Глэмпинг» дополнительно регламентированы в положении о защите персональных данных работников ООО «Сорога Глэмпинг».

1.7.                Основные понятия, используемые в Политике:

- Работник - физическое лицо, с которым оформлены трудовые отношения у ООО «Сорога Глэмпинг».

- Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), в том числе к Пользователю Сайта https://nosorogy.ru .

- Субъекты персональных данных/Субъект/Пользователь - работники, клиенты, контрагенты и их представители по договорам, любой посетитель Сайта https://nosorogy.ru, а также иные лица.

- Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

- Персональные данные клиента - фамилия, имя, отчество; дата и место рождения; адрес личной электронной почты; номер личного мобильного телефона; адрес регистрации (проживания); паспортные данные; иные персональные данные.

- Персональная информация - это информация, которую Субъект ПДн предоставляет о себе самостоятельно при регистрации (создании учетной записи) или в процессе использования Сервисов (сайта, программ, продуктов), включая ПДн Пользователя, а также данные, которые автоматически передаются сервисам Сайта в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к сервисам, адреса запрашиваемых страниц и иная подобная информация.

- Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

- Передача персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств, представляющих собой доступ, распространение, предоставление персональных данных.

- Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

- Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

- Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

- Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

- Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители.

- Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

- Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

- Сайт - официальный сайт ООО «Сорога Глэмпинг», расположен в сети Интернет по адресу https://nosorogy.ru.

- Cookie — небольшой фрагмент данных, отправленный веб-сервером Оператора и хранимый на компьютере пользователя сайта(ов) Оператора. Применяется для сохранения данных на стороне пользователя сайта Оператора и используется для аутентификации пользователя, хранения персональных предпочтений и настроек пользователя, отслеживания состояния сеанса доступа пользователя, ведения статистики о пользователях.

- Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО "Сорога Глэмпинг" в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

1.10. Использование сервисов Сайта означает безоговорочное согласие Субъекта ПДн с настоящей Политикой и указанными в ней условиями обработки его персональной информации (ПДн Пользователя, перечисленных в настоящей Политике).

В случае несогласия с этими условиями (обработкой ООО «Сорога Глэмпинг» ПДн) Пользователь должен воздержаться от использования сервисов Сайта.

2. Правовые основания обработки персональных данных

2.1. Правовым основанием обработки ПДн является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

·      Конституция Российской Федерации;

·      Гражданский кодекс Российской Федерации;

·      Трудовой кодекс Российской Федерации;

·      Налоговый кодекс Российской Федерации;

·      Федеральный закон от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью";

·      Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";

·      Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";

·      Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

·      Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ;

·      Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

·      иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

2.2. Правовым основанием обработки персональных данных также являются:

·      устав ООО "Сорога Глэмпинг";

·      договоры, заключаемые между Оператором и субъектами ПДн;

·      согласие субъектов ПДн на обработку их ПДн.

2.3.                Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов cookie и использование технологии JavaScript).

3.      Цели обработки персональных данных

3.1.                     Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора персональных данных.

3.2.                     Обработке подлежат только ПДн, которые отвечают целям их обработки.

3.3.                     Обработка Оператором ПДн осуществляется в следующих целях:

·      осуществление своей деятельности в соответствии с уставом ООО "Сорога Глэмпинг", в том числе заключение и исполнение договоров с клиентами и контрагентами;

·      исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Оператора, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухучета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования;

·    обеспечение соблюдения законов и иных нормативных правовых актов Российской Федерации;

·    осуществление дистанционного взаимодействия с клиентами в рамках информационного обслуживания путем использования телефонной связи, служб мгновенных сообщений, электронной почты, сайта ООО «Сорога Глэмпинг» в сети «Интернет», в том числе прием заявок с сайта и других средств коммуникации;

·    организация и проведение мероприятий, направленных на повышение узнаваемости и лояльности в отношении ООО «Сорога Глэмпинг», а также продвижение услуг ООО «Сорога Глэмпинг»;

·    обеспечение личной безопасности Работников, иных лиц, посещающих объекты недвижимости (помещения, здания, территорию) ООО «Сорога Глэмпинг», а также обеспечение сохранности материальных и иных ценностей, находящихся в ведении ООО «Сорога Глэмпинг»;

·    надлежащее оформление договоров;

·    обеспечение выполнения договорных обязательств;

·    анализ посещаемости и оптимизация работы сайта ООО «Сорога Глэмпинг»;

·    идентификация Субъекта ПДн (Пользователя), зарегистрированного на Сайте, предоставление Пользователю доступа к сервисам, информации и/или материалам, содержащимся на Сайте https://nosorogy.ru, заказа/бронирования услуг Пользователем, информирование Пользователя, посредством отправки электронных писем, установление с Пользователем обратной связи, включая направление уведомлений, запросов, подтверждений, касающихся использования Сайта, бронирования и оказания услуг, обработку заказов (запросов) и заявок от Пользователя; создание учетной записи для бронирования/заказа услуг, если Пользователь дал согласие на создание учетной записи; уведомления Пользователя Сайта о бронировании; предоставление Пользователю Сайта клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта.

·    осуществление пропускного режима.

3.4.                     Обработка ПДн работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

4.      Объем и категории обрабатываемых персональных данных,

категории субъектов персональных данных

4.1.                     Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки, предусмотренным в разделе 3 настоящей Политики. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

4.2.                     Перечень ПДн (в том числе специальных категорий ПДн), обрабатываемых в ООО «Сорога Глэмпинг», определяется в соответствии с законодательством Российской Федерации и внутренними нормативными документами Оператора с учетом целей обработки ПДн и в соответствии с уведомлением об обработке ПДн, направленным Оператором в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

4.3.                     Оператор может обрабатывать ПДн следующих категорий субъектов ПДн:

4.3.1.               Кандидаты для приема на работу к Оператору - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:

·           фамилия, имя, отчество;

·           пол;

·           гражданство;

·           дата и место рождения;

·           контактные данные;

·           сведения об образовании, опыте работы, квалификации;

·           иные ПДн, сообщаемые кандидатами в резюме и сопроводительных письмах.

4.3.2.               Работники и бывшие работники Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:

·           фамилия, имя, отчество;

·           пол;

·           гражданство;

·           дата и место рождения;

·           изображение (фотография);

·           паспортные данные;

·           адрес регистрации по месту жительства;

·           адрес фактического проживания;

·           контактные данные;

·           индивидуальный номер налогоплательщика;

·           страховой номер индивидуального лицевого счета (СНИЛС);

·           сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

·           семейное положение, наличие детей, родственные связи;

·           сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

·           данные о регистрации брака;

·           сведения о воинском учете;

·           сведения об инвалидности;

·           сведения об удержании алиментов;

·           сведения о доходе с предыдущего места работы;

·           иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

4.3.3.               Члены семьи работников Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:

·           фамилия, имя, отчество;

·           степень родства;

·           год рождения;

·           иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

4.3.4.               Клиенты и контрагенты Оператора (физические лица) - для целей осуществления своей деятельности в соответствии с уставом ООО "Сорога Глэмпинг", заключения и исполнения договоров, осуществления пропускного режима:

·           фамилия, имя, отчество;

·           дата и место рождения;

·           паспортные данные;

·           адрес регистрации по месту жительства;

·           контактные данные;

·           замещаемая должность;

·           индивидуальный номер налогоплательщика;

·           номер расчетного счета;

·           иные ПДн, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

4.3.5.               Представители (работники) клиентов и контрагентов Оператора (юридических лиц) - для целей осуществления своей деятельности в соответствии с уставом ООО "Сорога Глэмпинг", осуществления пропускного режима:

·           фамилия, имя, отчество;

·           паспортные данные;

·           контактные данные;

·           замещаемая должность;

·           иные ПДн, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

4.4.                     Перечень ПДн (в том числе специальных категорий ПДн), обрабатываемых в ООО «Сорога Глэмпинг» также включает в себя технологическую информацию, а именно:

·           конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.;

·           технологическую информацию средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

·           служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия;

·           информацию, собираемую при помощи cookie (IР-адрес пользователя, дата и время посещения сайта, типы браузера и операционной системы, тип и модель мобильного устройства, источник входа на сайт, информация о поведении пользователя на сайте (включая количество и наименование просмотренных страниц), возраст, пол, интересы, географическое месторасположение пользователя, прочие технические данные (flash, java и т.п.).

4.5.   Обработка Оператором биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

4.6.    Оператором не осуществляется обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

4.7. На Сайте Оператора происходит сбор и обработка обезличенных данных о посетителях/пользователях (в том числе файлов cookie) с помощью сервисов интернет-статистики – программных средств «Яндекс.Метрика» и других. Указанные программные средства (сервисы) позволяют определить Пользователя Сайта, формировать сведения о его предпочтениях и поведения на Сайте Оператора. При использовании Сервиса Сайта Пользователь дает свое согласие Оператору на обработку ПДн, передачу ПДн третьим лицам в письменной или электронной форме.

5. Порядок и условия обработки персональных данных

5.1. ООО «Сорога Глэмпинг» при осуществлении своей деятельности осуществляет обработку ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.

5.2. Обработка ПДн в ООО «Сорога Глэмпинг» осуществляется на основе следующих принципов:

- обработка ПДн осуществляется на законной и справедливой основе;

- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. По достижении цели обработка ПДн прекращается, за исключением случаев, предусмотренных законодательством Российской Федерации;

- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только ПДн, которые отвечают целям их обработки;

- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;

- при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн, обеспечивается принятие необходимых мер по удалению или уточнению неполных, или неточных данных;

- обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом.

5.3 Обработка ПДн в ООО «Сорога Глэмпинг» осуществляется следующими способами:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

5.4. Работники ООО «Сорога Глэмпинг», осуществляющие обработку ПДн без использования средств автоматизации должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется ООО «Сорога Глэмпинг» без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами ООО «Сорога Глэмпинг».

5.5. Получение персональных данных5.5.1. Все ПДн получаются от самого субъекта. Если ПДн субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

5.5.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

5.5.3. Документы, содержащие ПДн создаются путем:

а) копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);

б) внесения сведений в учетные формы;

в) получения оригиналов необходимых документов (трудовая книжка, характеристика и др.).

5.6. Условия передачи персональных данных

5.6.1. Передача ПДн ООО «Сорога Глэмпинг» в адрес сторонних организаций осуществляется при наличии согласий субъектов ПДн или в иных случаях, установленных законодательством Российской Федерации

5.6.2. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий/ Субъекта на обработку его персональных данных.

5.6.3. Оператор обязан в срок не позднее трех рабочих дней с момента получения согласия субъекта ПДн на распространение ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн для распространения.

5.6.4. ООО «Сорога Глэмпинг» вправе поручить обработку ПДн другим лицам с согласия субъектов ПДн, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемых с этими лицами договоров, предусматривающих обязанность указанных лиц соблюдать конфиденциальность полученных от ООО «Сорога Глэмпинг» ПДн, а также выполнять требования к защите ПДн в соответствии с законодательством Российской Федерации. При поручении обработки ПДн соблюдаются принципы и правила обработки ПДн, предусмотренные законодательством Российской Федерации.

5.7. Сбор и обработка ПДн с использованием сайта ООО «Сорога Глэмпинг»

5.7.1. В работе Сайта ООО «Сорога Глэмпинг» задействованы, в том числе, технологии cookie и веб-маяки (web beacons). Указанные технологии позволяют предоставлять пользователям Сайта настроенное под них окружение при повторном посещении Сайта.

5.7.2. Файлы cookie, используемые на Сайте, подразделяются на такие категории как: «необходимые», «эксплуатационные» и «функциональные».

5.7.3. Необходимые файлы cookie обязательны для просмотра веб-страниц Сайта и полноценного использования их функций. Без их использования невозможно обеспечить работу ряда сервисов сайта.

5.7.4 Эксплуатационные файлы cookie собирают информацию об использовании Сайта, например, о наиболее часто посещаемых его страницах. Указанные файлы используются для оптимизации работы Сайта и упрощения для пользователей навигации по нему. Эксплуатационные файлы cookie также используются аффилированными лицами Компании в целях определения переходов пользователей на Сайт с сайтов аффилированных лиц, а также определения использования сервисов ООО «Сорога Глэмпинг» в результате посещения Сайта. Вся информация, собранная с помощью указанных файлов предназначена для статистических целей и остается анонимной.

5.7.5. Функциональные файлы cookie позволяют Сайту запоминать пользовательский выбор при использовании Сайта. Такие файлы могут запоминать месторасположение пользователей для отображения Сайта на языке страны, в которой располагается пользователь, а также запоминать настройки размера шрифта текста и других настраиваемых параметров Сайта.

5.7.6. Сайт ООО «Сорога Глэмпинг» использует «cookie» и собирает следующие сведения о посетителях в целях улучшения работы сайта: IP-адрес посетителя, дата и время посещения сайта, типы браузера и операционной системы, тип и модель мобильного устройства. Информация собираемые посредством файлов cookie не позволяет однозначно идентифицировать пользователей Сайта.

5.7.7. Компания может обрабатывать файлы cookie самостоятельно или с привлечением сервиса Яндекс.Метрика для целей, указанных выше.

5.7.8. Если пользователи Сайта предпочитают не получать файлы cookie при просмотре Сайта, они могут настроить свой браузер таким образом, чтобы не получать такие файлы, либо так, чтобы браузер предупреждал пользователей перед принятием файлов cookie, либо блокировал их. Используя сайт ООО «Сорога Глэмпинг» и/или предоставляя ООО «Сорога Глэмпинг» свои ПДн, пользователь Сайта выражает согласие на обработку своих ПДн на условиях, предусмотренных настоящей Политикой.

5.8. Условия хранения персональных данных

5.8.1. ООО «Сорога Глэмпинг» осуществляет хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

5.8.2. Хранение ПДн на материальных (бумажных) носителях осуществляется ООО «Сорога Глэмпинг» способом, позволяющим исключить несанкционированный доступ к ПДн, включая использование металлических запираемых на ключ шкафов, запираемых тумб, сейфов.

5.8.3. При сборе ПДн, в том числе посредством сети Интернет, ООО «Сорога Глэмпинг» обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

5.8.4. Персональные данные на бумажных носителях хранятся в ООО "Сорога Глэмпинг" в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).

5.8.5. Срок хранения ПДн, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения ПДн на бумажных носителях.

5.9. Условия прекращения обработки персональных данных

5.9.1. Оператор прекращает обработку ПДн или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «Сорога Глэмпинг») в следующих случаях:

·                    выявлен факт их неправомерной обработки. Срок - в течение 3 (Трех) рабочих дней с даты выявления;

·                    достигнута цель их обработки;

·                    истек срок действия или отозвано согласие субъекта ПДн на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.

5.9.2. При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку Оператор прекращает обработку этих данных, если:

·                    иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

·                    Оператор не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

·                    иное не предусмотрено другим соглашением между Оператором и субъектом ПДн.

5.9.3. При обращении субъекта ПДн к Оператору с требованием о прекращении обработки ПДн в срок, не превышающий 10 (Десять) рабочих дней с даты получения Оператором соответствующего требования, обработка ПДн прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней. Для этого Оператору необходимо направить субъекту ПДн ПДн мотивированное уведомление с указанием причин продления срока.

5.9.4. Для осуществления отзыва согласия на обработку ПДн, субъект ПДн может в любой момент времени направить письменный отзыв согласия по адресу: 143581, Московская обл, городской округ Истра, Борзые д, Шереметьевская ул, дом 713/1, помещение 3, либо через официальный Сайт ООО «Сорога Глэмпинг» https://nosorogy.ru  с указанием сведений документа, удостоверяющего личность.

5.9.5. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

5.10. Использование метрической программы Яндекс.Метрика.

5.10.1. ООО «Сорога Глэмпинг» использует метрическую программу - “Яндекс.Метрика” для сбора сведений об использовании Сайта, таких как частота посещения Сайта пользователями, посещенные страницы и сайты, на которых были пользователи до перехода на данный Сайт. Яндекс.Метрика собирает только IP-адреса, назначенные вам в день посещения данного Сайта, но не имя или другие идентификационные сведения (обезличенные данные).

5.10.2. Яндекс.Метрика размещает постоянный cookie-файл в веб-браузере Пользователя для идентификации его в качестве уникального пользователя при следующем вашем посещении Сайта Оператора. Этот cookie-файл не может использоваться никем, кроме Яндекс соответственно. Сведения, собранные с помощью cookie-файла, будут передаваться в Яндекс.

5.10.3. ООО «Сорога Глэмпинг» использует сведения, полученные через Яндекс.Метрику, только в целях совершенствования услуг на Сайте Оператора. ООО «Сорога Глэмпинг» не объединяет сведения, полученные через Яндекс,Метрику, с персональными сведениями Пользователя.

5.10.4. Возможности Яндекс по использованию и передаче третьим лицам сведений, собранных средством Яндекс.Метрики о посещениях данного Сайта, ограничиваются Политикой конфиденциальности Яндекс. Пользователь может запретить Яндекс.Метрике узнавать его при повторных посещениях Сайта Оператора, отключив cookie-файлы Яндекс.Метрики в своем браузере (в настройках браузера). Однако это может повлиять на работу некоторых функций Сайта. Используя Сайт Оператора, Пользователь соглашается на обработку данных о нем Яндекс.Метрикой в порядке и целях, указанных выше и по тексту настоящей Политики.

6. Основные права субъекта персональных данных.

6.1. Субъект ПДн имеет право:

6.1.1.      Получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлен Законом о персональных данных;

6.1.2.      Требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

6.1.3.      Дать предварительное согласие на обработку ПДн в целях продвижения на рынке товаров, работ и услуг;

6.1.4.      Отзывать согласия на обработку своих ПДн;

6.1.5.      Требовать прекратить передачу (распространение, предоставление, доступ) своих ПДн, ранее разрешенных для распространения, к любому лицу, обрабатывающему его ПДн, в случае несоблюдения положений Законом о персональных данных:

6.1.6.      Обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его ПДн.

7.Основные права и обязанности Оператора.

7.1. Оператор имеет право:

7.1.1.               Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

7.1.2.               Поручить обработку персональных данных ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом о персональных данных, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;

7.1.3.               В случае отзыва субъектом ПДн согласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в Законе о персональных данных.

7.2.                     Оператор обязан:

7.2.1.               Организовывать обработку ПДн в соответствии с требованиями Закона о персональных данных;

7.2.2.               Отвечать на обращения и запросы субъектов ПДн и их законных представителей в соответствии с требованиями Закона о персональных данных;

7.2.3.               Сообщать в уполномоченный орган по защите прав субъектов ПДн (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;

В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) ПДн.

8. Меры по надлежащей организации обработки и обеспечению безопасности персональных данных

8.1. Меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн устанавливаются в соответствии с локальными нормативными актами ООО «Сорога Глэмпинг» и включают в себя следующие действия:

8.1.1. Назначение лица, ответственного за организацию обработки ПДн в «Сорога Глэмпинг»;

8.1.2. Ознакомление и обучение Работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и локальными актами в отношении ПДн;

8.1.3. Разработку, утверждение и контроль за исполнением локальных нормативных актов и иных документов в области обработки и защиты ПДн;

8.1.4. Получение согласий Субъектов персональных данных на обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;

8.1.5. Ограничение доступа и установление правил доступа к ПДн;

8.1.6. Установление индивидуальных паролей доступа Работников в информационную систему в соответствии с их должностными обязанностями;

8.1.7. Установление правил доступа к ПДн, обрабатываемым в информационных системах ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн;

8.1.8. Обеспечение раздельного хранения ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;

8.1.9. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

8.1.10. Применение сертифицированного антивирусного программного обеспечения, с регулярно обновляемыми базами и программных средств защиты информации от несанкционированного доступа;

8.1.11. Установление запрета на передачу ПДн по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, и сетям Интернет без применения мер по обеспечению безопасности ПДн (за исключением общедоступных и (или) обезличенных ПДн, а также случаев, когда Субъект дал свое согласие на передачу сведений о нем по открытом каналам связи);

8.1.12. Хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;

8.1.13. Запрет на хранение ПДн на отчуждаемых носителях информации;

8.1.14. Выявление фактов несанкционированного доступа к ПДн и принятием соответствующих мер, а также применение технических и организационных мер для обеспечения восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8.1.15. Осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн законодательству Российской Федерации о ПДн, требованиям к защите ПДн, политике и локальным актам ООО «Сорога Глэмпинг» в отношении обработки ПДн;

8.1.16. Проведение оценки вреда, который может быть причинен субъектам ПДн в случае нарушения требований к обработке и защите ПДн, а также определение соотношения указанного вреда и принимаемых ООО «Сорога Глэмпинг» мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;

8.1.17. Проведение оценки эффективности принимаемых мер по обеспечению безопасности ПДн;

8.1.18. Определение угроз безопасности ПДн при их обработке в информационных системах персональных данных, мониторинг событий информационной безопасности с целью обнаружения фактов несанкционированного доступа к ПДн и принятия предупредительных мер защиты;

8.1.19. Проведение учета машинных (материальных) носителей ПДн;

8.1.20. Контроль над соблюдением требований в сфере обеспечения безопасности ПДн и к уровням защищенности информационных систем ПДн;

8.1.21. Организация работы с информационными системами, в которых обрабатываются ПДн;

8.1.22. Иные меры, предусмотренные законодательством Российской Федерации в области ПДн.

8.2. Обеспечение конфиденциальности ПДн, обрабатываемых в ООО «Сорога Глэмпинг», является обязательным требованием для всех Работников, допущенных к обработке ПДн в связи с исполнением трудовых обязанностей. Все Работники, имеющие действующие трудовые отношения, деятельность которых связана с получением, обработкой и защитой ПДн, подписывают Обязательство о неразглашении персональных данных, проходят инструктажи по обеспечению информационной безопасности под подпись и несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПДн.

8.3. ООО «Сорога Глэмпинг» не принимаются решения, порождающие юридические последствия в отношении субъектов ПДн или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их ПДн.

8.4. ООО «Сорога Глэмпинг» осуществило уведомление уполномоченного органа по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн.

9.      Рассмотрение обращений (ответы на запросы) субъектов персональных данных. Актуализация, исправление, удаление, уничтожение персональных данных.

9.1. Подтверждение факта обработки ПДн Оператором, правовые основания и цели обработки ПДн, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту ПДн или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта ПДн или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту ПДн мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн.

9.2. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие взаимоотношение субъекта ПДн с ООО «Сорога Глэмпинг» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн в ООО «Сорога Глэмпинг», подпись субъекта ПДн или его представителя.

Запрос может быть также направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9.3. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Если в обращении (запросе) субъекта ПДн не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

9.4.            Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с частью 8 статьи 14 Закона о персональных данных в том случае, если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.

9.5.            В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн данных или третьих лиц.

В случае подтверждения факта неточности ПДн Оператор на основании сведений, представленных субъектом ПДн или его представителем либо Роскомнадзором, или иных необходимых документов уточняет ПДн в течение семи рабочих дней со дня представления таких сведений и снимает блокирование ПДн.

9.6. В случае выявления неправомерной обработки ПДн при обращении (запросе) субъекта ПДн или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, с момента такого обращения или получения запроса.

9.7. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) ПДн (доступа к ПДн), повлекшей нарушение прав субъектов ПДн, Оператор:

·                    в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов ПДн, предполагаемом вреде, нанесенном правам субъектов ПДн, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;

·                    в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

9.8. Порядок уничтожения персональных данных Оператором.

9.8.1. Условия и сроки уничтожения ПДн  Оператором:

·                    достижение цели обработки ПДн либо утрата необходимости достигать эту цель - в течение 30 дней;

·                    достижение максимальных сроков хранения документов, содержащих ПДн - в течение 30 дней;

·                    предоставление субъектом ПДн (его представителем) подтверждения того, что ПДн получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;

·                    отзыв субъектом ПДн согласия на обработку его ПДн, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.

9.8.2. При достижении цели обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:

·                    иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;

·                    Оператор не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

·                    иное не предусмотрено другим соглашением между Оператором и субъектом ПДн.

9.8.3. Уничтожение ПДн осуществляет комиссия, созданная приказом генерального директора ООО "Сорога Глэмпинг".

9.8.4. Способы уничтожения ПДн устанавливаются в локальных нормативных актах Оператора.

10.  Проведение расследования по фактам нарушения обработки ПДн.

10.1. В случае разглашения или неправомерной обработки ПДн в ООО «Сорога Глэмпинг» принимаются меры, направленные на обеспечение законных прав и свобод Субъектов персональных данных, на устранение условий, способствовавших нарушению режима защиты ПДн, и минимизацию ущерба.

10.2. О фактах разглашения ПДн либо неправомерной обработки ПДн информируется письменно руководитель подразделения, в котором допущено нарушение, Работник, ответственный за организацию обработки ПДн в ООО «Сорога Глэмпинг».

10.3. Для расследования обстоятельств разглашения либо неправомерной обработки ПДн назначается комиссия по расследованию нарушений обработки ПДн (далее - комиссия), в состав которой включается руководитель подразделения, в котором допущено нарушение, а также Работник, ответственный за организацию обработки ПДн в ООО «Сорога Глэмпинг».

10.4. При проведении служебного расследования комиссия, созданная в соответствии с п.10.3. Политики, выполняет следующие функции:

1) определяет обоснованность отнесения разглашенной либо утраченной информации к ПДн;

2) устанавливает обстоятельства разглашения либо неправомерной обработки ПДн (время, место, способ);

3) устанавливает лиц, которые допустили разглашение либо неправомерную обработку ПДн;

4) устанавливает причины и условия, которые привели к разглашению либо неправомерной обработке ПДн;

5) оценивает причиненный или возможный вред Субъекту персональных данных вследствие разглашения либо неправомерной обработки ПДн;

6) составляет заключение о результатах проведенного служебного расследования.

10.5. Служебное расследование проводится в возможно короткие сроки (не более 72 часов) со дня установления факта разглашения либо неправомерной обработки ПДн.

10.6. Члены комиссии, проводящей служебное расследование, имеют право:

1) опрашивать Работников ООО «Сорога Глэмпинг»;

2) запрашивать и получать информацию и документы, имеющие отношение к проведению служебного расследования;

3) проводить осмотр помещений, в которых хранятся и обрабатываются ПДн, рабочих мест, обследование средств вычислительной техники, используемых для обработки ПДн;

10.7. Заключение о проведении служебного расследования должно быть подписано всеми членами комиссии.

10.8. По результатам служебного расследования принимается решение об отсутствии нарушения, а при наличии нарушения о привлечении виновных Работников к ответственности, о принятии мер по устранению причин и условий, способствовавших нарушению режима защиты ПДн.

10.9. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную и гражданско-правовую ответственность в порядке, установленном законодательством РФ, локальными актами ООО «Сорога Глэмпинг», договорами, регламентирующими правоотношения с третьими лицами.

10.10. Вред, причиненный субъектам ПДн, подлежит возмещению в соответствии с законодательством Российской Федерации.

10.11. Руководители подразделений ООО «Сорога Глэмпинг» несут персональную ответственность за надлежащую обработку и обеспечение режима защиты ПДн, выполнение Работниками требований законодательства Российской Федерации и нормативных документов ООО «Сорога Глэмпинг» в области обработки и защиты ПДн.