I Общие положения
Настоящая Политика в области обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Целью Политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных.
Политика определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ООО «АБС Благовещенск» (далее – Общество, оператор).
Политика является общедоступным документом оператора и предусматривает возможность ознакомления с ней любых лиц.
В настоящей Политике используются следующие термины и определения:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
оператор – ООО «АБС Благовещенск», которое в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и действующими нормативными правовыми актами Российской Федерации организует и осуществляет обработку персональных данных.
конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
интернет-ресурсы – сайты и (или) иные элементы в информационно-телекоммуникационной сети «Интернет», принадлежащие оператору, в том числе https://bqs.aero.
Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой оператором:
– с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;
- без использования средств автоматизации.
Настоящей Политикой должны руководствоваться все работники оператора, осуществляющие обработку персональных данных или имеющие к ним доступ.
II Цели обработки персональных данных
Обработка персональных данных осуществляется оператором в следующих целях:
а) осуществления возложенных законодательством Российской Федерации функций в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, Воздушным кодексом РФ, Федеральными законами «О транспортной безопасности», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», «О связи», «Об информации, информационных технологиях и защите информации», а также в соответствии с положениями иных нормативно-правовых актов Российской Федерации;
б) обеспечения содействия работникам в трудоустройстве, обеспечение организации образования и (или) обучения, продвижении по службе, обеспечения личной безопасности работников, контроля за дисциплиной труда, учета рабочего времени, контроля количества и качества выполняемой работы, контроля обеспечения сохранности имущества, прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением, морального стимулирования труда, ведения воинского учета, расчетов с персоналом, передачи информации в налоговый орган и фонд пенсионного и социального страхования, пользования различного вида льготами в соответствии с законодательством Российской Федерации;
в) реализация требований Федерального закона «Об обществах с ограниченной ответственностью» и иных нормативных актов, регламентирующих деятельность на рынке ценных бумаг и раскрытии информации эмитентами эмиссионных ценных бумаг;
г) исполнения обязательств, возникающих при заключении, исполнении, расторжении (прекращении) договоров и соглашений, совершения сделок, при которых необходимо использование персональных данных субъекта, в том числе посредством интернет-ресурсов оператора;
д) проведения статистических исследований, улучшение качества работы интернет-ресурсов, предоставление посетителям интернет-ресурсов возможности использования всех сервисов и функций интернет-ресурсов оператора;
е) реализации медико-профилактических мероприятий, оказание медицинской помощи;
ж) осуществления обратной связи по обращениям, связанным с качеством оказываемых услуг.
III Правовые основания обработки персональных данных
1. Обработка персональных данных осуществляется в соответствии с согласием субъекта персональных данных на обработку персональных данных.
В случаях, прямо предусмотренных законодательством Российской Федерации, обработка персональных данных осуществляется без согласия субъекта персональных данных на обработку его персональных данных.
2. Обработка персональных данных необходима для достижения целей и выполнения функций, полномочий и обязанностей, возложенных на оператора в соответствии с законодательством Российской Федерации. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
4. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
IV Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Все обрабатываемые оператором персональные данные отнесены к одной из следующих категорий:
а) специальные категории персональных данных;
б) биометрические персональные данные;
в) иные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным.
Оператор осуществляет обработку персональных данных физических лиц, относящихся к категориям субъектов персональных данных:
- работники оператора;
- уволенные работники оператора;
- близкие родственники работников оператора;
- соискатели;
- клиенты оператора (в том числе пользующиеся услугами на интернет-ресурсах оператора);
- пользователи интернет-ресурсов оператора;
- посетители аэровокзального комплекса;
- контрагенты (физические лица), представители/работники контрагентов;
- акционеры, члены совета директоров и ревизионной комиссии оператора;
- студенты, практиканты;
- лица, персональные данные которых оператор обрабатывает по поручению в соответствии ч.3 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Содержание и объём обрабатываемых персональных данных категорий субъектов персональных данных, определяются в соответствии с целями их обработки. Не обрабатываются персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
Цели обработки персональных данных, категории обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются приведены в Приложении к настоящей Политике. Полный перечень обрабатываемых персональных данных установлен локальными нормативными актами оператора.
Обработка персональных данных в отношении каждой цели обработки осуществляется с использованием средств автоматизации и без использования средств автоматизации и может включать в себя, соответственно, их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Сроки хранения персональных данных в отношении каждой цели обработки определяются законодательством Российской Федерации, нормативными актами, локальными нормативными актами оператора или письменным согласием субъекта персональных данных.
После достижения цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку или обращения с требованием прекращения их обработки, персональные данные помещаются в архив, если это предусмотрено законодательством Российской Федерации, нормативными актами или письменным согласием субъекта персональных данных, или уничтожаются в соответствии с порядком уничтожения персональных данных, определённым оператором в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
V Порядок и условия обработки персональных данных
Главный принцип в области обработки персональных данных – обеспечение конфиденциальности и защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, удаления, извлечения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, используя правовые, организационные, технические, физические, криптографические меры защиты персональных данных, а также меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
Оператор не передаёт персональные данные субъектов персональных данных третьим лицам без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Оператор передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации.
Общество не является оператором персональных данных пассажиров, получаемых в целях оформления и осуществления их перевозки, в соответствии с условиями договора. Полномочные работники работают с такими персональными данными в рамках своих должностных обязанностей. Обработка персональных данных пассажиров осуществляется специализированными организациями - операторами, предоставляющими Обществу ограниченный доступ к своим ресурсам на основании соответствующих договоров.
Перечень действий (операций) с персональными данными пассажиров, которые совершаются работниками оператора, и конкретные требования к их защите определяются специализированными организациями - операторами.
В целях взаимодействия оператора с контрагентами осуществляется трансграничная передача данных работников оператора, в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Персональные данные, обрабатываемые оператором, хранятся в центре обработки данных (сервер) на территории Российской Федерации.
Оператор может осуществлять принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, только при наличии согласия в письменной форме субъекта персональных данных.
Оператор в целях реализации требований законодательства РФ о транспортной безопасности осуществляет обработку специальных категорий персональных данных, касающихся, состояния здоровья и сведений о судимости, а также обрабатывает биометрические персональные данные, необходимые для осуществления биометрической идентификации физических лиц, обладающих постоянными пропусками на объект транспортной инфраструктуры для осуществления контроля доступа на контролируемую территорию аэропорта или иные его объекты, в том числе и без согласия субъекта персональных данных (п.2 ч.1 ст.6, ч.2 ст. 9, п.7. ч.2. ст.10 и ч.2 ст.11 и Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).
На интернет-ресурсах оператора может использоваться программное средство сбора метрических данных «Яндекс.Метрика» для сбора сведений об использовании сайта, таких как сведения о местоположении, тип и версия операционной системы (далее – ОС), тип и версия Браузера, тип устройства и разрешение его экрана, источник, откуда пришел на сайт пользователь – с какого сайта или по какой рекламе, язык ОС и Браузера, какие страницы открывает и на какие кнопки нажимает пользователь, IP-адрес.
Сведения, полученные с использованием «Яндекс.Метрики», используются с целью проведения статистических исследований, улучшения качества работы сайта, предоставления посетителям сайта возможности использования всех сервисов и функций сайта.
Сведения, полученные с использованием «Яндекс.Метрики», не объединяются и не коррелируются с персональными сведениями посетителей сайта, заполняющими формы обратной связи или формы бронирования.
Возможности разработчиков «Яндекс.Метрики» по использованию и передаче третьим лицам сведений, собранных посредством «Яндекс.Метрики» о посещениях сайта, ограничиваются Политикой конфиденциальности владельца «Яндекс.Метрики» (ООО «ЯНДЕКС», 119021, Россия, Москва, ул. Л. Толстого, 16), размещенной по адресу: https://yandex.ru/legal/confidential/.
При посещении сайта пользователь может дать согласие оператору на обработку указанных данных с использованием метрических сервисов для проведения статистических исследований, улучшение качества работы сайта, предоставление возможности использования всех сервисов и функций интернет-ресурсов оператора.
Посетитель сайта может запретить «Яндекс.Метрике» фиксировать свои действия при повторных посещениях сайта, ограничив разрешения на сбор файлов cookie (куки) в своем браузере или использовать специальные программные средства блокировки действий «Яндекс.Метрики».
VI Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных
Оператор, при обращении субъекта персональных данных или его представителя, сообщает информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными.
В соответствии с частью 1 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» субъект персональных данных имеет право на получение сведений, касающихся обработки его персональных данных, в том числе указанных в части 7 статьи 14 Федерального закона «О персональных данных», за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных». Субъект персональных данных также вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Соответствующий запрос/обращение субъект персональных данных направляет в адрес оператора, запрос/обращение должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных, подпись субъекта персональных данных или его представителя.
Субъект персональных данных имеет право отозвать согласие на обработку персональных данных и/или обратиться с требованием о прекращении обработки своих персональных данных. Способ отзыва согласия на обработку персональных данных предусмотрен согласием на обработку персональных данных.
Прекращение обработки персональных данных или обеспечение прекращения такой обработки осуществляется оператором в сроки, установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Оператор подготавливает и направляет в адрес субъекта персональных данных или его представителя мотивированный ответ и другие необходимые документы тем же способом доставки, каким был получен запрос/обращение, если иное не указано в запросе/обращении, в сроки, установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
В соответствии с частью 4 статьи 20 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» оператор сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение десяти рабочих дней с даты получения такого запроса.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральным законодательством Российской Федерации.