Этот сайт использует файлы cookie, чтобы обеспечить вам наилучший опыт использования.
Политика в отношении обработки персональных данных
УТВЕРЖДЕНА
Приказом Директора
ООО «Ф-ТРЕВЕЛ»
ОГРН 1 257 800 082 044 ИНН 7 802 967 846
№ 01 от 21 ноября 2025
1. Общие положения
1.1. Политика обработки персональных данных (далее — «Политика») утверждена ООО "Ф-ТРЕВЕЛ" (далее — «Оператор») в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 24.11.1996 № 132-ФЗ «Об основах туристской деятельности в Российской Федерации», а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных.
1.2. Политика определяет порядок и условия Оператора в отношении обработки персональных данных, устанавливает положения, направленные на соблюдение законодательства Российской Федерации, касающееся обработки персональных данных.
1.3. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации.
1.4. Политика действует в отношении всех персональных данных, которые Оператор может получить от субъектов персональных данных, являющихся клиентами (туристами), заказчиками по договору о реализации туристского продукта и (или) туристских услуг, контрагентами Оператора, заключившими с ним гражданско-правовые договоры, пользователями сайта f-travel.ru (далее — «Сайт»), содержащего сведения об услугах Оператора.
1.5. Сайт может содержать гиперссылки на сайты третьих лиц. Оператор не контролирует и не несет ответственности за такие сайты, на которые пользователь может перейти по ссылкам, доступным на Сайте. После того как пользователь покидает Сайт, Оператор не несет ответственности за защиту и конфиденциальность информации, предоставляемой пользователем на сторонних ресурсах. Субъект персональных данных должен проявлять осторожность и знакомиться с политикой конфиденциальности того сайта, который он посещает.
1.6. Оператор оставляет за собой право вносить изменения в настоящую Политику при изменении действующего законодательства Российской Федерации, а также условий своей деятельности. Актуальная редакция Политики размещается на Сайте.
2. Основные понятия
2.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.4. Конфиденциальная персональная информация — информация, которая может обрабатываться при посещении Сайта и автоматически передается сервисам Сайта в процессе его использования с помощью установленного на устройстве субъекта персональных данных программного обеспечения, включая использование файлов cookie и метрических программ.
2.5. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.6. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.7. Общедоступные персональные данные — персональные данные, размещенные субъектом персональных данных в общедоступных источниках персональных данных (в том числе справочниках, адресных книгах), доступ к которым предоставлен неограниченному кругу лиц, либо персональные данные, размещенные в общедоступных источниках персональных данных на основании письменного согласия субъекта персональных данных.
2.8. Оператор — юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.9. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такой информацией, в частности, являются: фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.
2.10. Пользователь Сайта — категория субъекта персональных данных, чьи данные собираются и обрабатываются на Сайте.
2.11. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.13. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.14. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.15. Обработка персональных данных без использования средств автоматизации — обработка, осуществляемая в виде документов на бумажных носителях, а также в электронном виде (файлы, базы данных) на электронных носителях информации.
3. Категории субъектов персональных данных, обрабатываемых Оператором
3.1. Клиенты — физические лица, заказчики туристских продуктов и (или) отдельных туристских услуг либо иные физические лица, имеющие намерение заказать или приобрести, а также заказывающие или приобретающие туристские услуги от имени потребителя (туриста), в том числе законные представители несовершеннолетнего потребителя (туриста).
3.2. Клиенты — физические лица, туристы, использующие туристские продукты и услуги исключительно для личных и иных нужд, не связанных с осуществлением предпринимательской деятельности.
3.3. Контрагенты — физические лица (субъекты персональных данных) и юридические лица, заключающие или намеревающиеся заключить гражданско-правовой договор с Оператором.
3.4. Пользователи — физические лица, пользователи Сайта в информационно-телекоммуникационной сети Интернет, желающие получить информацию об оказываемых Оператором услугах или заключить договор о реализации туристского продукта и (или) туристских услуг.
4. Цели обработки персональных данных и соответствующие им перечни обрабатываемых персональных данных
4.1. Персональные данные субъектов персональных данных обрабатываются в целях осуществления гражданско-правовых отношений, в том числе связанных с подготовкой, заключением и исполнением обязательств в рамках договоров о реализации туристского продукта и (или) туристских услуг, а также обеспечения предоставления услуг, входящих в состав туристского продукта и (или) отдельных туристских услуг.
4.2. Персональные данные клиентов, обрабатываемые Оператором:
● фамилия, имя, отчество (при наличии) на русском языке;
● фамилия, имя в латинской транскрипции (как указаны в заграничном паспорте);
● год, месяц и число рождения;
● место рождения;
● пол;
● гражданство (в том числе при рождении, если требуется);
● сведения об идентификационном номере налогоплательщика (ИНН);
● данные документа, удостоверяющего личность гражданина РФ (вид, серия, номер, кем и когда выдан, код подразделения);
● данные заграничного паспорта РФ (серия, номер, дата выдачи, орган, срок действия);
● данные свидетельства о рождении (для несовершеннолетних граждан);
● адрес места жительства, дата регистрации по месту жительства (или пребывания);
● адрес фактического проживания;
● сведения о трудовом и общем стаже;
● контактные номера телефонов (домашний/мобильный);
● адрес электронной почты;
● почтовый адрес;
● дополнительные сведения, представленные по собственному желанию туриста.
4.3. Дополнительная информация, которая может запрашиваться консульскими службами иностранных государств при необходимости оформления визы в интересах клиента, либо страховыми компаниями для заключения договора страхования (выгодоприобретателем по которому является клиент). Она может включать:
● фамилия, имя отца, фамилия, имя матери;
● данные о работодателе и месте работы (наименование, адрес, телефон работодателя, должность на текущий момент);
● размер заработной платы;
● сведения об учебном заведении (для школьников и студентов: наименование, адрес, телефон учебного заведения);
● изображение (фотография) клиента;
● сведения о получении пенсии и лице, оплатившем поездку пенсионеру;
● даты прошлых выездов в страну планируемого посещения или группу стран;
● сведения о прошлых депортациях или нарушениях законодательства иностранных государств;
● копии претензий и исковых заявлений, относящихся к клиентам;
● иные сведения, требуемые консульскими службами соответствующей страны или страховыми организациями.
4.4. Документы Оператора, содержащие персональные данные клиентов:
● копия паспорта или иного документа, удостоверяющего личность;
● паспорт, удостоверяющий личность гражданина за пределами территории РФ;
● свидетельство о рождении;
● договор о реализации туристского продукта и (или) отдельных туристских услуг;
● комплекты документов, сопровождающих процесс оформления визы;
● копия доверенности (при необходимости);
● иные документы, подтверждающие право клиентов на получение туристских услуг, входящих в состав туристского продукта (ваучер, путевка, авиабилет, ж/д билет, страховой полис и т. п.).
5. Конфиденциальная персональная информация пользователей
5.1. Конфиденциальная персональная информация пользователей обрабатывается Оператором и включает данные, которые автоматически передаются сервисам Сайта в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, а именно:
● IP-адрес;
● данные файлов cookie;
● параметры и настройки интернет-браузеров (или иных программ, с помощью которых осуществляется доступ к сервисам Сайта);
● файлы журналов, технические характеристики оборудования и программного обеспечения, используемых пользователем;
● дата и время доступа к сервисам Сайта;
● адреса запрашиваемых страниц;
● история заказов;
● информация о подписках и обращениях в службу поддержки;
● иная аналогичная информация технического характера.
5.2. Конфиденциальная персональная информация пользователей содержится в текстовых файлах, которые Сайт сохраняет на компьютере пользователя с помощью браузера.
6. Условия и порядок обработки персональных данных
6.1. До начала обработки персональных данных Оператор, в случаях, предусмотренных законодательством РФ, уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о намерении осуществлять обработку персональных данных.
6.2. Правовыми основаниями обработки персональных данных являются:
● договоры о реализации туристского продукта и (или) отдельных туристских услуг, заключаемые между Оператором (его представителем) и клиентом (его представителем);
● п. 19 Постановления Правительства Р Ф от 18.11.2020 № 1852 «Об утверждении Правил оказания услуг по реализации туристского продукта»;
● ч. 4 ст. 16 Федерального закона от 07.02.1992 № 2300−1 «О защите прав потребителей»;
● Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
● согласие субъекта персональных данных на обработку его персональных данных — в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям Оператора.
6.3. Обработка персональных данных Оператором выполняется следующими способами:
● неавтоматизированная обработка персональных данных;
● автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
● смешанная обработка персональных данных.
6.4. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных Оператором осуществляются посредством:
● получения оригиналов документов либо их копий;
● копирования оригиналов документов;
● внесения сведений в учетные формы на бумажных и электронных носителях;
● внесения сведений в регистрационные и иные формы сбора;
● создания документов, содержащих персональные данные, на бумажных и электронных носителях;
● внесения персональных данных в информационные системы персональных данных;
● получения информации о персональных данных по телефону или с помощью электронной почты;
● использования метрических программ (веб-аналитики).
6.5. Оператор использует следующие информационные системы и сервисы:
● корпоративная электронная почта;
● система электронного документооборота;
● система поддержки рабочего места пользователя (Service/Help Desk);
● система нормативно-справочной информации;
● система контроля удаленного доступа;
● внутренний информационный портал (интранет);
● метрические программы (средства веб-аналитики/статистики).
6.6. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем предотвращения несанкционированного, в том числе случайного, доступа к персональным данным и/или последствий такого доступа, а также посредством реализации комплекса правовых, организационных и технических мер защиты.
6.7. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем применения соответствующих организационных мер и программно-технических средств в соответствии со ст. 19 Федерального закона «О персональных данных».
6.8. В случае выявления нарушений порядка обработки персональных данных в информационных системах Оператора незамедлительно принимаются меры по установлению причин нарушений и их устранению с момента их обнаружения; при необходимости осуществляется блокирование персональных данных до устранения нарушений.
7. Общие положения о передаче и распространении персональных данных
7.1. При передаче Оператором персональных данных субъект персональных данных должен дать на это согласие в письменной или электронной форме.
7.2. Оператор вправе передать информацию, относящуюся к персональным данным клиента, без его согласия, если такие сведения необходимо предоставить по запросу государственных органов в порядке, установленном законодательством Российской Федерации.
7.3. Оператор не вправе предоставлять персональные данные третьим лицам без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в иных случаях, установленных законодательством.
7.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным субъекта персональных данных, Оператор обязан отказать такому лицу в выдаче информации. Лицу, обратившемуся с запросом, направляется уведомление об отказе в предоставлении информации.
7.5. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
7.6. Оператор обязан обеспечить субъекту персональных данных возможность самостоятельно определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.
7.7. В случае если из предоставленного субъектом персональных данных согласия на распространение не следует, что субъект персональных данных согласился с распространением персональных данных, такие данные обрабатываются Оператором без права распространения.
7.8. В случае если субъект персональных данных в согласии на передачу персональных данных не установил запреты и условия на обработку либо не указал категории и перечень персональных данных, для обработки которых установлены условия и запреты, Оператор обрабатывает такие персональные данные без возможности их передачи (распространения, предоставления, доступа) неопределенному кругу лиц.
7.9. Согласие субъекта персональных данных на распространение персональных данных может быть предоставлено Оператору непосредственно с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
7.10. В согласии на распространение персональных данных субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных неопределенному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неопределенным кругом лиц. Отказ Оператора в установлении субъектом персональных данных таких запретов и условий не допускается.
7.11. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно содержать фамилию, имя, отчество (при наличии), контактные данные субъекта (телефон, адрес электронной почты или почтовый адрес), а также перечень персональных данных, обработка которых подлежит прекращению. Действие согласия субъекта на распространение прекращается с момента поступления Оператору указанного требования.
7.12. Доступ к персональным данным субъектов персональных данных разрешен только уполномоченным лицам. Такие лица имеют право получать лишь те персональные данные, которые необходимы для выполнения конкретных функций.
8. Сроки обработки и хранения персональных данных
8.1. Оператор обеспечивает защиту персональных данных субъектов персональных данных от неправомерного использования или утраты.
8.2. Документы, содержащие персональные данные субъектов, могут храниться:
● в бумажном виде — в прошитых и пронумерованных по страницам папках, в специально отведенных шкафах, обеспечивающих защиту от несанкционированного доступа;
● в электронном виде — в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных.
8.3. Копирование и составление выписок из персональных данных допускается исключительно в служебных целях и только с письменного разрешения единоличного исполнительного органа Оператора.
8.4. Обработка персональных данных Оператором прекращается в следующих случаях:
8.4.1. при выявлении факта неправомерной обработки персональных данных — срок прекращения обработки не более трех рабочих дней с даты выявления такого факта;
8.4.2. при достижении целей обработки (за исключением случаев, когда законодательством предусмотрено дальнейшее хранение);
8.4.3. по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за исключением случаев, когда обработка допускается без согласия субъекта в силу закона);
8.4.4. при обращении субъекта персональных данных к Оператору с требованием о прекращении обработки его персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 ФЗ «О персональных данных»). Срок прекращения обработки — не более 10 рабочих дней с даты получения требования (может быть продлен еще на пять рабочих дней при уведомлении субъекта о причинах продления).
8.5. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, за исключением случаев, когда срок хранения установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем) является субъект персональных данных.
8.6. Персональные данные на бумажных носителях хранятся Оператором в течение сроков хранения документов, установленных законодательством об архивном деле в Российской Федерации, включая Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», а также Перечень типовых управленческих архивных документов, утвержденный Приказом Росархива от 20.12.2019 № 236.
8.7. Срок хранения персональных данных, обрабатываемых в информационных системах, соответствует срокам хранения персональных данных на бумажных носителях.
9. Порядок блокирования и уничтожения персональных данных
9.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством Российской Федерации в области персональных данных.
9.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные подлежат уничтожению либо обезличиванию. Исключения могут быть предусмотрены федеральным законом.
9.3. Персональные данные, полученные в результате обезличивания, могут обрабатываться с использованием и без использования средств автоматизации и не подлежат разглашению.
9.4. Персональные данные, полученные в результате обезличивания, не подлежат предоставлению третьим лицам, осуществляющим обработку персональных данных с использованием дополнительной информации, позволяющей прямо или косвенно определить конкретное физическое лицо.
9.5. При обработке персональных данных, полученных в результате обезличивания, без использования средств автоматизации обеспечивается сохранность содержащих их материальных носителей в помещениях, где они хранятся, в целях исключения несанкционированного доступа, возможности уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий.
9.6. При обработке персональных данных, полученных в результате обезличивания, в информационных системах персональных данных обеспечивается соблюдение правил защиты:
● парольной защиты информационных систем;
● антивирусной политики;
● правил работы со съемными носителями (при их использовании);
● правил резервного копирования;
● правил доступа в помещения, где расположены элементы информационных систем.
9.7. При хранении персональных данных, полученных в результате обезличивания, обеспечивается раздельное хранение:
● самих обезличенных данных;
● информации о методе и параметрах процедуры обезличивания.
9.8. Уничтожение персональных данных осуществляется комиссией, созданной приказом единоличного исполнительного органа Оператора.
9.9. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
9.10. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя (исключающего возможность считывания или восстановления данных), а также путем удаления информации методами и средствами гарантированного удаления остаточной информации.
9.11. Комиссия подтверждает уничтожение персональных данных в соответствии с требованиями Приказа Роскомнадзора от 28.10.2022 № 179:
● актом об уничтожении персональных данных — если данные обрабатывались без использования средств автоматизации;
● актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий информационной системы — если данные обрабатывались с использованием средств автоматизации или смешанным способом;
● акт может составляться на бумажном носителе или в электронной форме, подписанной электронной подписью;
● формы акта и выгрузки утверждаются приказом единоличного исполнительного органа Оператора.
9.12. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий информационной системы комиссия обеспечивает их хранение в течение трех лет с момента уничтожения персональных данных.
10. Защита персональных данных
10.1. В соответствии с требованиями законодательства Российской Федерации и нормативных документов в области защиты информации, Оператором создана система защиты персональных данных, состоящая из трех подсистем: правовой, организационной и технической защиты.
10.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты персональных данных.
10.3. Подсистема организационной защиты включает в себя:
● организацию структуры управления системой защиты персональных данных;
● реализацию разрешительной системы доступа;
● меры по защите информации при работе с сотрудниками, партнерами и сторонними лицами.
10.4. Подсистема технической защиты включает комплекс технических, программных и программно-аппаратных средств, обеспечивающих защиту персональных данных при их обработке в информационных системах.
10.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:
● назначение лица, ответственного за организацию обработки персональных данных, которое осуществляет обучение и инструктаж работников, а также внутренний контроль за соблюдением требований к защите персональных данных;
● определение актуальных угроз безопасности персональных данных при их обработке в информационных системах и разработка мер по защите;
● установление правил доступа к персональным данным, обрабатываемым в информационных системах, обеспечение регистрации и учета всех действий, совершаемых с персональными данными;
● установление индивидуальных паролей доступа сотрудников Оператора в информационные системы в соответствии с их должностными обязанностями;
● использование прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
● применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
● соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
● обнаружение фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
● восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа;
● обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, ознакомление их с документами, определяющими политику Оператора, и локальными актами по вопросам обработки персональных данных;
● обеспечение безопасности программного обеспечения, включая регулярное сканирование сервисов и приложений на наличие уязвимостей с использованием методов статического анализа исходного кода и динамического тестирования;
● шифрование всех данных пользователей при транспортировке с использованием протокола TLS;
● проведение ежегодного независимого тестирования Сайта на проникновение (penetration testing);
● осуществление регулярного внутреннего контроля и аудита состояния защиты персональных данных.
11. Основные права субъекта персональных данных и обязанности Оператора. Рассмотрение запросов субъектов персональных данных
11.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
● подтверждение факта обработки персональных данных Оператором;
● правовые основания и цели обработки персональных данных;
● цели и применяемые Оператором способы обработки персональных данных;
● наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
● обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения (если иной порядок представления таких данных не предусмотрен федеральным законом);
● сроки обработки персональных данных, в том числе сроки их хранения;
● порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
● информацию об осуществленной или предполагаемой трансграничной передаче персональных данных;
● наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора (если обработка поручена или будет поручена такому лицу);
● иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
11.2. Указанные сведения предоставляются субъекту персональных данных в доступной форме и не должны содержать персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда существуют законные основания для раскрытия таких данных.
11.3. Указанные сведения предоставляются субъекту персональных данных или его представителю уполномоченным лицом Оператора, осуществляющим обработку соответствующих персональных данных, в течение 10 рабочих дней с момента получения запроса субъекта персональных данных или его представителя. Срок может быть продлен, но не более чем на 5 рабочих дней, при условии направления субъекту мотивированного уведомления с указанием причин продления.
11.4. Запрос субъекта персональных данных должен содержать:
● номер основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и органе, его выдавшем;
● сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер и дата договора, словесное обозначение тура/услуги и т. п.), либо иные сведения, подтверждающие факт обработки данных Оператором;
● подпись субъекта персональных данных или его представителя.
11.5. Субъекты персональных данных вправе требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
11.6. Оператор обязан:
● при обращении субъекта персональных данных предоставить информацию об обработке персональных данных;
● если персональные данные были получены не от субъекта — уведомить субъекта персональных данных о факте получения данных;
● при отказе в предоставлении персональных данных разъяснить субъекту персональных данных последствия такого отказа;
● опубликовать и обеспечить неограниченный доступ к документу, определяющему политику Оператора в отношении обработки персональных данных;
● принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий;
● давать ответы на запросы субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
● мотивированно отказывать субъекту персональных данных в удовлетворении его запроса, если запрос не соответствует требованиям законодательства, уведомив его о причинах отказа;
● в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов, уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в сроки, установленные ч. 3.1 ст. 21 Федерального закона № 152-ФЗ.
12. Отзыв согласия на обработку персональных данных
12.1. Срок действия согласия субъекта персональных данных является неограниченным. Однако субъект персональных данных вправе в любой момент отозвать согласие на обработку его персональных данных Оператором в случаях, установленных законодательством, путем направления письменного уведомления по адресу местонахождения Оператора или на электронный адрес: info@f-travel.ru с пометкой «Отзыв согласия на обработку персональных данных».
12.2. Отзыв согласия на обработку персональных данных влечет за собой удаление учетной записи пользователя на Сайте, а также уничтожение записей, содержащих персональные данные, на бумажных носителях и в информационных системах обработки персональных данных Оператора и третьих лиц в срок, не превышающий 10 рабочих дней с момента получения уведомления.
Приказом Директора
ООО «Ф-ТРЕВЕЛ»
ОГРН 1 257 800 082 044 ИНН 7 802 967 846
№ 01 от 21 ноября 2025
1. Общие положения
1.1. Политика обработки персональных данных (далее — «Политика») утверждена ООО "Ф-ТРЕВЕЛ" (далее — «Оператор») в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 24.11.1996 № 132-ФЗ «Об основах туристской деятельности в Российской Федерации», а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных.
1.2. Политика определяет порядок и условия Оператора в отношении обработки персональных данных, устанавливает положения, направленные на соблюдение законодательства Российской Федерации, касающееся обработки персональных данных.
1.3. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации.
1.4. Политика действует в отношении всех персональных данных, которые Оператор может получить от субъектов персональных данных, являющихся клиентами (туристами), заказчиками по договору о реализации туристского продукта и (или) туристских услуг, контрагентами Оператора, заключившими с ним гражданско-правовые договоры, пользователями сайта f-travel.ru (далее — «Сайт»), содержащего сведения об услугах Оператора.
1.5. Сайт может содержать гиперссылки на сайты третьих лиц. Оператор не контролирует и не несет ответственности за такие сайты, на которые пользователь может перейти по ссылкам, доступным на Сайте. После того как пользователь покидает Сайт, Оператор не несет ответственности за защиту и конфиденциальность информации, предоставляемой пользователем на сторонних ресурсах. Субъект персональных данных должен проявлять осторожность и знакомиться с политикой конфиденциальности того сайта, который он посещает.
1.6. Оператор оставляет за собой право вносить изменения в настоящую Политику при изменении действующего законодательства Российской Федерации, а также условий своей деятельности. Актуальная редакция Политики размещается на Сайте.
2. Основные понятия
2.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.4. Конфиденциальная персональная информация — информация, которая может обрабатываться при посещении Сайта и автоматически передается сервисам Сайта в процессе его использования с помощью установленного на устройстве субъекта персональных данных программного обеспечения, включая использование файлов cookie и метрических программ.
2.5. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.6. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.7. Общедоступные персональные данные — персональные данные, размещенные субъектом персональных данных в общедоступных источниках персональных данных (в том числе справочниках, адресных книгах), доступ к которым предоставлен неограниченному кругу лиц, либо персональные данные, размещенные в общедоступных источниках персональных данных на основании письменного согласия субъекта персональных данных.
2.8. Оператор — юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.9. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такой информацией, в частности, являются: фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.
2.10. Пользователь Сайта — категория субъекта персональных данных, чьи данные собираются и обрабатываются на Сайте.
2.11. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.13. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.14. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.15. Обработка персональных данных без использования средств автоматизации — обработка, осуществляемая в виде документов на бумажных носителях, а также в электронном виде (файлы, базы данных) на электронных носителях информации.
3. Категории субъектов персональных данных, обрабатываемых Оператором
3.1. Клиенты — физические лица, заказчики туристских продуктов и (или) отдельных туристских услуг либо иные физические лица, имеющие намерение заказать или приобрести, а также заказывающие или приобретающие туристские услуги от имени потребителя (туриста), в том числе законные представители несовершеннолетнего потребителя (туриста).
3.2. Клиенты — физические лица, туристы, использующие туристские продукты и услуги исключительно для личных и иных нужд, не связанных с осуществлением предпринимательской деятельности.
3.3. Контрагенты — физические лица (субъекты персональных данных) и юридические лица, заключающие или намеревающиеся заключить гражданско-правовой договор с Оператором.
3.4. Пользователи — физические лица, пользователи Сайта в информационно-телекоммуникационной сети Интернет, желающие получить информацию об оказываемых Оператором услугах или заключить договор о реализации туристского продукта и (или) туристских услуг.
4. Цели обработки персональных данных и соответствующие им перечни обрабатываемых персональных данных
4.1. Персональные данные субъектов персональных данных обрабатываются в целях осуществления гражданско-правовых отношений, в том числе связанных с подготовкой, заключением и исполнением обязательств в рамках договоров о реализации туристского продукта и (или) туристских услуг, а также обеспечения предоставления услуг, входящих в состав туристского продукта и (или) отдельных туристских услуг.
4.2. Персональные данные клиентов, обрабатываемые Оператором:
● фамилия, имя, отчество (при наличии) на русском языке;
● фамилия, имя в латинской транскрипции (как указаны в заграничном паспорте);
● год, месяц и число рождения;
● место рождения;
● пол;
● гражданство (в том числе при рождении, если требуется);
● сведения об идентификационном номере налогоплательщика (ИНН);
● данные документа, удостоверяющего личность гражданина РФ (вид, серия, номер, кем и когда выдан, код подразделения);
● данные заграничного паспорта РФ (серия, номер, дата выдачи, орган, срок действия);
● данные свидетельства о рождении (для несовершеннолетних граждан);
● адрес места жительства, дата регистрации по месту жительства (или пребывания);
● адрес фактического проживания;
● сведения о трудовом и общем стаже;
● контактные номера телефонов (домашний/мобильный);
● адрес электронной почты;
● почтовый адрес;
● дополнительные сведения, представленные по собственному желанию туриста.
4.3. Дополнительная информация, которая может запрашиваться консульскими службами иностранных государств при необходимости оформления визы в интересах клиента, либо страховыми компаниями для заключения договора страхования (выгодоприобретателем по которому является клиент). Она может включать:
● фамилия, имя отца, фамилия, имя матери;
● данные о работодателе и месте работы (наименование, адрес, телефон работодателя, должность на текущий момент);
● размер заработной платы;
● сведения об учебном заведении (для школьников и студентов: наименование, адрес, телефон учебного заведения);
● изображение (фотография) клиента;
● сведения о получении пенсии и лице, оплатившем поездку пенсионеру;
● даты прошлых выездов в страну планируемого посещения или группу стран;
● сведения о прошлых депортациях или нарушениях законодательства иностранных государств;
● копии претензий и исковых заявлений, относящихся к клиентам;
● иные сведения, требуемые консульскими службами соответствующей страны или страховыми организациями.
4.4. Документы Оператора, содержащие персональные данные клиентов:
● копия паспорта или иного документа, удостоверяющего личность;
● паспорт, удостоверяющий личность гражданина за пределами территории РФ;
● свидетельство о рождении;
● договор о реализации туристского продукта и (или) отдельных туристских услуг;
● комплекты документов, сопровождающих процесс оформления визы;
● копия доверенности (при необходимости);
● иные документы, подтверждающие право клиентов на получение туристских услуг, входящих в состав туристского продукта (ваучер, путевка, авиабилет, ж/д билет, страховой полис и т. п.).
5. Конфиденциальная персональная информация пользователей
5.1. Конфиденциальная персональная информация пользователей обрабатывается Оператором и включает данные, которые автоматически передаются сервисам Сайта в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, а именно:
● IP-адрес;
● данные файлов cookie;
● параметры и настройки интернет-браузеров (или иных программ, с помощью которых осуществляется доступ к сервисам Сайта);
● файлы журналов, технические характеристики оборудования и программного обеспечения, используемых пользователем;
● дата и время доступа к сервисам Сайта;
● адреса запрашиваемых страниц;
● история заказов;
● информация о подписках и обращениях в службу поддержки;
● иная аналогичная информация технического характера.
5.2. Конфиденциальная персональная информация пользователей содержится в текстовых файлах, которые Сайт сохраняет на компьютере пользователя с помощью браузера.
6. Условия и порядок обработки персональных данных
6.1. До начала обработки персональных данных Оператор, в случаях, предусмотренных законодательством РФ, уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о намерении осуществлять обработку персональных данных.
6.2. Правовыми основаниями обработки персональных данных являются:
● договоры о реализации туристского продукта и (или) отдельных туристских услуг, заключаемые между Оператором (его представителем) и клиентом (его представителем);
● п. 19 Постановления Правительства Р Ф от 18.11.2020 № 1852 «Об утверждении Правил оказания услуг по реализации туристского продукта»;
● ч. 4 ст. 16 Федерального закона от 07.02.1992 № 2300−1 «О защите прав потребителей»;
● Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
● согласие субъекта персональных данных на обработку его персональных данных — в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям Оператора.
6.3. Обработка персональных данных Оператором выполняется следующими способами:
● неавтоматизированная обработка персональных данных;
● автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
● смешанная обработка персональных данных.
6.4. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных Оператором осуществляются посредством:
● получения оригиналов документов либо их копий;
● копирования оригиналов документов;
● внесения сведений в учетные формы на бумажных и электронных носителях;
● внесения сведений в регистрационные и иные формы сбора;
● создания документов, содержащих персональные данные, на бумажных и электронных носителях;
● внесения персональных данных в информационные системы персональных данных;
● получения информации о персональных данных по телефону или с помощью электронной почты;
● использования метрических программ (веб-аналитики).
6.5. Оператор использует следующие информационные системы и сервисы:
● корпоративная электронная почта;
● система электронного документооборота;
● система поддержки рабочего места пользователя (Service/Help Desk);
● система нормативно-справочной информации;
● система контроля удаленного доступа;
● внутренний информационный портал (интранет);
● метрические программы (средства веб-аналитики/статистики).
6.6. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем предотвращения несанкционированного, в том числе случайного, доступа к персональным данным и/или последствий такого доступа, а также посредством реализации комплекса правовых, организационных и технических мер защиты.
6.7. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем применения соответствующих организационных мер и программно-технических средств в соответствии со ст. 19 Федерального закона «О персональных данных».
6.8. В случае выявления нарушений порядка обработки персональных данных в информационных системах Оператора незамедлительно принимаются меры по установлению причин нарушений и их устранению с момента их обнаружения; при необходимости осуществляется блокирование персональных данных до устранения нарушений.
7. Общие положения о передаче и распространении персональных данных
7.1. При передаче Оператором персональных данных субъект персональных данных должен дать на это согласие в письменной или электронной форме.
7.2. Оператор вправе передать информацию, относящуюся к персональным данным клиента, без его согласия, если такие сведения необходимо предоставить по запросу государственных органов в порядке, установленном законодательством Российской Федерации.
7.3. Оператор не вправе предоставлять персональные данные третьим лицам без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в иных случаях, установленных законодательством.
7.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным субъекта персональных данных, Оператор обязан отказать такому лицу в выдаче информации. Лицу, обратившемуся с запросом, направляется уведомление об отказе в предоставлении информации.
7.5. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
7.6. Оператор обязан обеспечить субъекту персональных данных возможность самостоятельно определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.
7.7. В случае если из предоставленного субъектом персональных данных согласия на распространение не следует, что субъект персональных данных согласился с распространением персональных данных, такие данные обрабатываются Оператором без права распространения.
7.8. В случае если субъект персональных данных в согласии на передачу персональных данных не установил запреты и условия на обработку либо не указал категории и перечень персональных данных, для обработки которых установлены условия и запреты, Оператор обрабатывает такие персональные данные без возможности их передачи (распространения, предоставления, доступа) неопределенному кругу лиц.
7.9. Согласие субъекта персональных данных на распространение персональных данных может быть предоставлено Оператору непосредственно с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
7.10. В согласии на распространение персональных данных субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных неопределенному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неопределенным кругом лиц. Отказ Оператора в установлении субъектом персональных данных таких запретов и условий не допускается.
7.11. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно содержать фамилию, имя, отчество (при наличии), контактные данные субъекта (телефон, адрес электронной почты или почтовый адрес), а также перечень персональных данных, обработка которых подлежит прекращению. Действие согласия субъекта на распространение прекращается с момента поступления Оператору указанного требования.
7.12. Доступ к персональным данным субъектов персональных данных разрешен только уполномоченным лицам. Такие лица имеют право получать лишь те персональные данные, которые необходимы для выполнения конкретных функций.
8. Сроки обработки и хранения персональных данных
8.1. Оператор обеспечивает защиту персональных данных субъектов персональных данных от неправомерного использования или утраты.
8.2. Документы, содержащие персональные данные субъектов, могут храниться:
● в бумажном виде — в прошитых и пронумерованных по страницам папках, в специально отведенных шкафах, обеспечивающих защиту от несанкционированного доступа;
● в электронном виде — в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных.
8.3. Копирование и составление выписок из персональных данных допускается исключительно в служебных целях и только с письменного разрешения единоличного исполнительного органа Оператора.
8.4. Обработка персональных данных Оператором прекращается в следующих случаях:
8.4.1. при выявлении факта неправомерной обработки персональных данных — срок прекращения обработки не более трех рабочих дней с даты выявления такого факта;
8.4.2. при достижении целей обработки (за исключением случаев, когда законодательством предусмотрено дальнейшее хранение);
8.4.3. по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за исключением случаев, когда обработка допускается без согласия субъекта в силу закона);
8.4.4. при обращении субъекта персональных данных к Оператору с требованием о прекращении обработки его персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 ФЗ «О персональных данных»). Срок прекращения обработки — не более 10 рабочих дней с даты получения требования (может быть продлен еще на пять рабочих дней при уведомлении субъекта о причинах продления).
8.5. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, за исключением случаев, когда срок хранения установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем) является субъект персональных данных.
8.6. Персональные данные на бумажных носителях хранятся Оператором в течение сроков хранения документов, установленных законодательством об архивном деле в Российской Федерации, включая Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», а также Перечень типовых управленческих архивных документов, утвержденный Приказом Росархива от 20.12.2019 № 236.
8.7. Срок хранения персональных данных, обрабатываемых в информационных системах, соответствует срокам хранения персональных данных на бумажных носителях.
9. Порядок блокирования и уничтожения персональных данных
9.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством Российской Федерации в области персональных данных.
9.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные подлежат уничтожению либо обезличиванию. Исключения могут быть предусмотрены федеральным законом.
9.3. Персональные данные, полученные в результате обезличивания, могут обрабатываться с использованием и без использования средств автоматизации и не подлежат разглашению.
9.4. Персональные данные, полученные в результате обезличивания, не подлежат предоставлению третьим лицам, осуществляющим обработку персональных данных с использованием дополнительной информации, позволяющей прямо или косвенно определить конкретное физическое лицо.
9.5. При обработке персональных данных, полученных в результате обезличивания, без использования средств автоматизации обеспечивается сохранность содержащих их материальных носителей в помещениях, где они хранятся, в целях исключения несанкционированного доступа, возможности уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий.
9.6. При обработке персональных данных, полученных в результате обезличивания, в информационных системах персональных данных обеспечивается соблюдение правил защиты:
● парольной защиты информационных систем;
● антивирусной политики;
● правил работы со съемными носителями (при их использовании);
● правил резервного копирования;
● правил доступа в помещения, где расположены элементы информационных систем.
9.7. При хранении персональных данных, полученных в результате обезличивания, обеспечивается раздельное хранение:
● самих обезличенных данных;
● информации о методе и параметрах процедуры обезличивания.
9.8. Уничтожение персональных данных осуществляется комиссией, созданной приказом единоличного исполнительного органа Оператора.
9.9. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
9.10. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя (исключающего возможность считывания или восстановления данных), а также путем удаления информации методами и средствами гарантированного удаления остаточной информации.
9.11. Комиссия подтверждает уничтожение персональных данных в соответствии с требованиями Приказа Роскомнадзора от 28.10.2022 № 179:
● актом об уничтожении персональных данных — если данные обрабатывались без использования средств автоматизации;
● актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий информационной системы — если данные обрабатывались с использованием средств автоматизации или смешанным способом;
● акт может составляться на бумажном носителе или в электронной форме, подписанной электронной подписью;
● формы акта и выгрузки утверждаются приказом единоличного исполнительного органа Оператора.
9.12. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий информационной системы комиссия обеспечивает их хранение в течение трех лет с момента уничтожения персональных данных.
10. Защита персональных данных
10.1. В соответствии с требованиями законодательства Российской Федерации и нормативных документов в области защиты информации, Оператором создана система защиты персональных данных, состоящая из трех подсистем: правовой, организационной и технической защиты.
10.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты персональных данных.
10.3. Подсистема организационной защиты включает в себя:
● организацию структуры управления системой защиты персональных данных;
● реализацию разрешительной системы доступа;
● меры по защите информации при работе с сотрудниками, партнерами и сторонними лицами.
10.4. Подсистема технической защиты включает комплекс технических, программных и программно-аппаратных средств, обеспечивающих защиту персональных данных при их обработке в информационных системах.
10.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:
● назначение лица, ответственного за организацию обработки персональных данных, которое осуществляет обучение и инструктаж работников, а также внутренний контроль за соблюдением требований к защите персональных данных;
● определение актуальных угроз безопасности персональных данных при их обработке в информационных системах и разработка мер по защите;
● установление правил доступа к персональным данным, обрабатываемым в информационных системах, обеспечение регистрации и учета всех действий, совершаемых с персональными данными;
● установление индивидуальных паролей доступа сотрудников Оператора в информационные системы в соответствии с их должностными обязанностями;
● использование прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
● применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
● соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
● обнаружение фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
● восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа;
● обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, ознакомление их с документами, определяющими политику Оператора, и локальными актами по вопросам обработки персональных данных;
● обеспечение безопасности программного обеспечения, включая регулярное сканирование сервисов и приложений на наличие уязвимостей с использованием методов статического анализа исходного кода и динамического тестирования;
● шифрование всех данных пользователей при транспортировке с использованием протокола TLS;
● проведение ежегодного независимого тестирования Сайта на проникновение (penetration testing);
● осуществление регулярного внутреннего контроля и аудита состояния защиты персональных данных.
11. Основные права субъекта персональных данных и обязанности Оператора. Рассмотрение запросов субъектов персональных данных
11.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
● подтверждение факта обработки персональных данных Оператором;
● правовые основания и цели обработки персональных данных;
● цели и применяемые Оператором способы обработки персональных данных;
● наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
● обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения (если иной порядок представления таких данных не предусмотрен федеральным законом);
● сроки обработки персональных данных, в том числе сроки их хранения;
● порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
● информацию об осуществленной или предполагаемой трансграничной передаче персональных данных;
● наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора (если обработка поручена или будет поручена такому лицу);
● иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
11.2. Указанные сведения предоставляются субъекту персональных данных в доступной форме и не должны содержать персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда существуют законные основания для раскрытия таких данных.
11.3. Указанные сведения предоставляются субъекту персональных данных или его представителю уполномоченным лицом Оператора, осуществляющим обработку соответствующих персональных данных, в течение 10 рабочих дней с момента получения запроса субъекта персональных данных или его представителя. Срок может быть продлен, но не более чем на 5 рабочих дней, при условии направления субъекту мотивированного уведомления с указанием причин продления.
11.4. Запрос субъекта персональных данных должен содержать:
● номер основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и органе, его выдавшем;
● сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер и дата договора, словесное обозначение тура/услуги и т. п.), либо иные сведения, подтверждающие факт обработки данных Оператором;
● подпись субъекта персональных данных или его представителя.
11.5. Субъекты персональных данных вправе требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
11.6. Оператор обязан:
● при обращении субъекта персональных данных предоставить информацию об обработке персональных данных;
● если персональные данные были получены не от субъекта — уведомить субъекта персональных данных о факте получения данных;
● при отказе в предоставлении персональных данных разъяснить субъекту персональных данных последствия такого отказа;
● опубликовать и обеспечить неограниченный доступ к документу, определяющему политику Оператора в отношении обработки персональных данных;
● принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий;
● давать ответы на запросы субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
● мотивированно отказывать субъекту персональных данных в удовлетворении его запроса, если запрос не соответствует требованиям законодательства, уведомив его о причинах отказа;
● в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов, уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в сроки, установленные ч. 3.1 ст. 21 Федерального закона № 152-ФЗ.
12. Отзыв согласия на обработку персональных данных
12.1. Срок действия согласия субъекта персональных данных является неограниченным. Однако субъект персональных данных вправе в любой момент отозвать согласие на обработку его персональных данных Оператором в случаях, установленных законодательством, путем направления письменного уведомления по адресу местонахождения Оператора или на электронный адрес: info@f-travel.ru с пометкой «Отзыв согласия на обработку персональных данных».
12.2. Отзыв согласия на обработку персональных данных влечет за собой удаление учетной записи пользователя на Сайте, а также уничтожение записей, содержащих персональные данные, на бумажных носителях и в информационных системах обработки персональных данных Оператора и третьих лиц в срок, не превышающий 10 рабочих дней с момента получения уведомления.