Политика в отношении обработки персональных данных
Утверждена директором
ООО «ТТ-БЕЛ»
Приказ № 29 от 02.06.2023 года
Политика в отношении обработки персональных данных
1.Общие положения
1.1. Настоящая Политика определяет основные цели и правовые основания обработки персональных данных, перечни субъектов и обрабатываемых в Обществе с ограниченной ответственностью «ТТ-БЕЛ», зарегистрированном Минским городским исполнительным комитетом 14.03.2019 в Едином государственном регистре юридических лиц и индивидуальных предпринимателей за № 193223238, расположенном по адресу: 220030, г. Минск, проспект Независимости 32А, строение 4, 6 этаж, пом.22 (далее – «Оператор»), персональных данных, порядок, условия, способы обработки персональных данных, права субъектов персональных данных, обязанности Оператора при обработке персональных данных, а также реализуемые у Оператора требования и меры защиты персональных данных.
1.2. Настоящая Политика разработана с учетом требований Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», иных законодательных и нормативных правовых актов Республики Беларусь в области персональных данных.
1.3. Положения Политики служат основой для разработки иных локальных правовых актов Оператора, регламентирующих вопросы обработки персональных данных работников Оператора и других субъектов персональных данных.
1.4. Для целей настоящей Политики используются содержащиеся в статье 1 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» термины в аналогичном значении, а также следующие термины:
Сайт – Интернет-ресурс Оператора fstravel.by, а также Интернет-ресурсы, обозначенные доменами третьего и последующего уровней с доменом второго уровня fstravel.by, позволяющие подобрать, оформить и оплатить тур по выбору субъекта персональных данных.
Агентство – юридическое лицо либо индивидуальный предприниматель, с которым Оператором заключен соответствующий гражданско-правовой договор, направленный на реализацию субъектам персональных данных туристических услуг Оператора либо отдельных услуг, входящих в состав сформированных Оператором туров.
1.5. Политика действует в отношении всех персональных данных, обрабатываемых у Оператора.
1.6. Настоящая Политика вступает в силу с момента её утверждения Директором Оператора и действует бессрочно. Изменения в Политику вносятся на основании приказов Директора Оператора.
2.Требования к обработке персональных данных
2.1. Оператор осуществляет обработку персональных данных, полученных в том числе от третьих лиц, с учетом необходимости обеспечения защиты прав и свобод субъектов, персональные данные которых обрабатываются Оператором, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих требований к обработке персональных данных:
- обработка персональных данных осуществляется в соответствии с актами законодательства;
- обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей;
- не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки. В случае необходимости изменения первоначально заявленных целей обработки персональных данных Оператор обязан получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки;
- обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- обработка персональных данных должна носить прозрачный характер;
- Оператор обязан принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их;
- хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
3. Цели и основания обработки персональных данных
3.1. Персональные данные обрабатываются Оператором в следующих целях:
3.1.1. обеспечение исполнения норм действующего законодательства, исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством;
3.1.2. привлечения кандидатов на занятие вакантных должностей Оператора, организации кадрового учета, ведения кадрового делопроизводства, воинского учета, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам, исполнения требований налогового законодательства в связи с исчислением и уплатой подоходного налога с физических лиц, пенсионного законодательства, законодательства о социальном страховании, заполнения первичной статистической документации и т.д.;
3.1.3. оформление договоров на использование корпоративных банковских карточек в пользу работников Оператора;
3.1.4. обеспечения функционирования Сайта, регистрации и обслуживания личных кабинетов субъектов персональных данных на Сайте, коммуникации с субъектом персональных данных, включая направление уведомлений, запросов, касающихся использования Сайта, обработки запросов и заявок субъектов персональных данных на Сайте;
3.1.5. бронирования Оператором туристических услуг по заявкам субъектов персональных данных и совершения Оператором различных сделок с субъектами персональных данных на оказание туристических и иных услуг в отношении субъектов персональных данных, их последующее исполнение;
3.1.6. передача Оператором персональных данных субъектов следующим третьим лицам в целях исполнения Оператором заключенных с субъектами персональных данных договоров в интересах субъектов персональных данных и иных лиц, в отношении которых исполняются заключенные с субъектами персональных данных договора:
- третьим лицам, в том числе расположенным на территории иностранных государств, для предоставления им персональных данных субъектов в целях оказания Оператором туристических услуг в отношении субъектов персональных данных, приобретаемых субъектами у Оператора, а именно:
- авиаперевозчикам, перевозчикам железнодорожным, автобусным, автомобильным, морским, речным и иным транспортом для целей оказания транспортных услуг субъекту персональных данных и оформления перевозочных документов в отношении субъектов персональных данных;
- туроператорам-нерезидентам, расположенным на территории иностранных государств, в случае реализации субъектам персональных данных туров, сформированных такими туроператорами;
- администрациям гостиниц и отелей для целей бронирования номерного фонда для совершения туристического путешествия субъектами персональных данных;
- принимающей стороне Оператора в стране назначения туристического путешествия, организуемого Оператором в отношении субъектов персональных данных, для целей решения всех вопросов, возникающих у субъектов персональных данных во время их пребывания в стране назначения туристического путешествия, обслуживания субъектов персональных данных и оказания им экскурсионных и сопутствующих услуг;
- страховым компаниям для целей приобретения в отношении субъектов персональных данных услуг по предоставлению гарантий оплаты оказания медицинской помощи, страхования жизни и здоровья, страховки от невыезда за границу;
- медицинским учреждениям, расположенным на территории Республики Беларусь, для целей осуществления тестирования субъектов персональных данных на заболеваемость COVID-19 для определения возможности совершения туристического путешествия субъектом персональных данных.
Указанным третьим лицам Оператором предоставляются персональные данные субъектов только в том объеме, который обусловлен необходимостью оказания ими услуг в отношении субъекта персональных данных.
При передаче персональных данных субъектов третьим лицам, указанным в настоящем пункте Политики, может происходить трансграничная передача персональных данных, в том числе на территорию иностранных государств, где не обеспечивается надлежащий уровень защиты прав субъектов персональных данных. При этом, такая трансграничная передача персональных данных может происходить в следующих случаях:
- дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня защиты персональных данных на территории иностранного государства;
- персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
- такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- в иных случаях, предусмотренных законодательством.
3.1.7. отправки субъектам персональных данных новостной рассылки и иных сведений, в том числе рекламного характера, об оказываемых Оператором услугах и проводимых Оператором акциях, играх, конкурсах и иных рекламных мероприятиях;
3.1.8. проведения Оператором статистических и иных исследований в целях улучшения качества оказываемых Оператором услуг на основе обезличенных данных субъектов персональных данных;
3.1.9. прохождения субъектами персональных данных ПЦР-тестирования на СOVID-19 в медицинских учреждениях Республики Беларусь;
3.1.10. оказания консультативной и иной помощи субъектам персональных данных для получения ими виз с целью совершения туристического путешествия;
3.2. Основанием обработки персональных данных, в том числе полученных от Агентств, является согласие субъекта персональных данных, за исключением случаев, установленных законодательством Республики Беларусь, когда обработка персональных данных осуществляется без получения такого согласия.
Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает Оператору обработку своих персональных данных. Отказ в даче согласия на обработку персональных данных дает право Оператору отказать субъекту персональных данных в предоставлении доступа к Сайту, использованию его функционала.
4. Категории субъектов персональных данных. Перечень обрабатываемых Оператором персональных данных
4.1. Оператор обрабатывает персональные данные субъектов, в том числе полученные от Агентств, которые могут быть получены от следующих субъектов персональных данных:
- работников Оператора, бывших работников Оператора, а также их родственников;
- кандидатов на замещение вакантных должностей Оператора;
- заказчиков Оператора, в том числе привлекаемых Агентствами, которым оказываются туристические и иные услуги Оператором, а также туристы, в отношении которых Оператором оказываются такие услуг по заключенным с заказчиками договорам;
- посетителей Сайта (лиц, использующих Сайт без прохождения процедуры регистрации);
- лиц, предоставивших Оператору персональные данные путем оформления подписок на рассылки, согласий на участие в акциях, играх, конкурсах и иных рекламных мероприятиях, проводимых Оператором;
- лиц, предоставивших Оператору персональные данные иным способом.
4.2. Перечень персональных данных, обрабатываемых Оператором, в том числе полученные от Агентств, определяется им применительно к каждой категории субъектов персональных данных с учетом целей обработки персональных данных, указанных в разделе 3 настоящей Политики.
4.3. Оператор обрабатывает следующие персональные данные субъекта персональных данных:
- фамилия, имя, отчество (если имеется);
- пол, гражданство (подданство);
- дата и место рождения;
- адрес электронной почты;
- номер телефона;
- паспортные данные или данные иного документа, удостоверяющего личность;
- адрес места жительства;
- иные данные о субъекте персональных данных, которые субъект персональных данных пожелал оставить на Сайте, направил на электронную почту Оператора.
4.4. Для анализа работы Сайта, в том числе получения информации о том, какие сведения наиболее актуальны и востребованы среди посетителей, частоту посещения, какой браузер и устройство при этом используют, какой контент Сайта просматривают, в целях определения их региона, а также получениях иных схожих демографических и статистических данных, Оператор также может обрабатывать следующие данные:
- данные, которые автоматически передаются устройством субъекта персональных данных, с помощью которого используется Сайт, в том числе технические характеристики устройства, IP-адрес, информация, сохраненная в файлах «cookies», которые были отправлены на устройства, информация о браузере, дата и время доступа к Сайту, адреса запрашиваемых страниц и иная подобная информация;
- данные о местонахождении посетителей Сайтов, если они сообщили свои координаты или выбрали свое местоположение в соответствующем интерфейсе.
5. Порядок обработки персональных данных Оператором
5.1. Обработка персональных данных Оператором, в том числе полученных от Агентств, включает в себя следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
5.2. Обработка персональных данных, в том числе полученных от Агентств, осуществляется Оператором следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
5.3. Источником информации обо всех персональных данных является непосредственно субъект персональных данных либо Агентство в отношении субъектов персональных данных, с которыми Агентством были заключены соответствующие договоры на реализацию туристических и иных услуг, оказываемых Оператором.
5.4. Оператор при обработке персональных данных может использовать сторонние автоматизированные сервисы и инструменты.
5.5. Обрабатываемые Оператором персональные данные могут храниться в базах данных на серверах Оператора, его аффилированных лиц, поставщиков услуг Оператора, в том числе расположенных на территории иностранных государств. В этой связи субъект персональных данных при предоставлении Оператору согласия на обработку персональных данных также предоставляет согласие на передачу Оператором его персональных данных таким третьим лицам, в том числе на территорию иностранных государств, в которых законы в области защиты данных могут отличаться от законодательства, действующего в стране проживания субъекта персональных данных. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен законодательством Республики Беларусь, договором, заключенным (заключаемым) с субъектом персональных данных, в целях совершения действий, предусмотренных этим договором.
5.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока обработки персональных данных, отзыв согласия субъекта персональных данных на обработку персональных данных.
5.7. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.8. Срок обработки Оператором персональных данных субъекта составляет 10 лет.
6. Права субъекта персональных данных
6.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки его персональных данных Оператором, включая получение от Оператора подтверждения того, обрабатываются ли персональные данные, касающиеся субъекта персональных данных, Оператором. Настоящее право может быть реализовано субъектом персональных данных посредством подачи Оператору заявления в письменной форме, направленного по адресу Оператора: 220030, г. Минск, проспект Независимости 32А, строение 4, 6 этаж, пом.22, либо в виде электронного документа, направленного на электронный адрес Оператора minsk@fstravel.by.
Заявление должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
- личную подпись либо электронную цифровую подпись субъекта персональных данных.
Оператор в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных предоставит ему запрашиваемую информацию либо уведомит его о причинах отказа в ее предоставлении.
6.2. Субъект персональных данных вправе требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает Оператору заявление в порядке, установленном пунктом 6.1 Политики, с приложением соответствующих документов и (или) их заверенных копий, подтверждающих необходимость внесения изменений в персональные данные. Оператор в течение пятнадцати дней после получения заявления субъекта персональных данных вносит соответствующие изменения в его персональные данные и уведомляет об этом субъекта персональных данных либо уведомляет субъекта персональных данных о причинах отказа во внесении таких изменений.
6.3. Субъект персональных данных вправе получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно посредством подачи заявления в порядке, установленном пунктом 6.1 Политики. Оператор в течение пятнадцати дней после получения заявления субъекта персональных данных предоставляет ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомляет субъекта персональных данных о причинах отказа в ее предоставлении.
6.4. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных посредством подачи Оператору заявления в порядке, установленном пунктом 6.1 Политики. Оператор в течение пятнадцати дней после получения заявления субъекта персональных данных в соответствии с его содержанием прекращает обработку персональных данных (если нет оснований для их обработки согласно законодательству Республики Беларусь), осуществляет их удаление, а при отсутствии технической возможности удаления – принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта персональных данных в тот же срок.
6.5. Субъект персональных данных вправе требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки, посредством подачи заявления в порядке, установленном пунктом 6.1 Политики. Оператор в течение пятнадцати дней после получения заявления субъекта персональных данных прекращает обработку персональных данных (если нет оснований для их обработки согласно законодательству Республики Беларусь), осуществляет их удаление, а при отсутствии технической возможности удаления – принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта персональных данных в тот же срок.
6.6. Прекращение обработки Оператором персональных данных в случаях, предусмотренных пунктом 6.4 и пунктом 6.5 Политики, может сделать невозможным или затруднительным дальнейшее предоставление Оператором услуг субъекту персональных данных.
6.7. Субъект персональных данных вправе обжаловать действия (бездействие) и решения Оператора, связанные с обработкой его персональных данных, в уполномоченный орган по защите прав субъектов персональных данных (Национальный центр защиты персональных данных Республики Беларусь) в порядке, установленном законодательством об обращениях граждан и юридических лиц.
7. Обязанности Оператора при осуществлении обработки персональных данных
7.1. Оператор при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь в области персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных у Оператора;
- издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных Оператора;
- осуществляет ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных нормативных актов Оператора в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
- публикует настоящую Политику на Сайте с возможностью ознакомления с ней любым пользователем Сайта;
- сообщает в установленном порядке субъектам персональных данных информацию о наличии персональных данных, относящихся к соответствующим субъектам, а также информацию о предоставлении его персональных данных третьим лицам, предоставляет возможность ознакомления с этой информацией при обращении и (или) поступлении запросов указанных субъектов персональных данных, если иное не установлено законодательством Республикой Беларусь;
- прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
- совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.