Ялта, Коктебель, Судак, Саки, Алушта, Гурзуф и не только! Подробнее.


Утверждено Приказом

Генерального директора

АО ТК «Гранд Сервис Экспресс»

ПОЛИТИКА

конфиденциальности в области защиты персональных данных пользователей услуг в АО ТК «Гранд Сервис Экспресс»

Оглавление:

  1. Термины и определения
  2. Общие положения
  3. Цели обработки персональных данных
  4. Принципы и условия обработки персональных данных
  5. Субъекты персональных данных
  6. Обрабатываемые персональные данные
  7. Обработка персональных данных в Обществе
  8. Защита информации
  9. Меры защиты, реализуемые Обществом при обработке персональных данных
  10. Ответственность

1. Термины и определения, используемые в настоящем документе.

1.1. Общество – АО ТК «Гранд Сервис Экспресс».

1.2. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.3. Пользователь услуг Общества – субъект персональных данных (пассажир либо иное физическое лицо, пользующееся услугами, оказываемыми Обществом, а также иные лица, чьи персональные данные стали известны в силу предоставления им со стороны Общества социальных льгот, гарантий и компенсаций, либо в результате их участия в программах поощрения пользователей услуг Общества).

1.4. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.

1.5. Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

1.6. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.7. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных информационной системе персональных данных и(или) в результате которых уничтожаются материальные носители персональных данных.

1.8. Конфиденциальность персональных данных - обязательное для соблюдения оператором и иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания.

1.9. Защита персональных данных - деятельность оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

2. Общие положения.

2.1. Настоящий документ, разработанный на основании Конституции Российской Федерации, Гражданского кодекса Российской Федерации, федеральных законов «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», «О персональных данных», «Об информации, информационных технологиях и о защите информации» и иных нормативных правовых актов Российской Федерации и нормативных актов Общества, устанавливает единые цели, принципы и правила обработки персональных данных в Обществе и определяет основные меры, реализуемые Обществом для обеспечения защиты персональных данных.

2.2. Общество является юридическим лицом, которое обеспечивает защиту персональных данных их субъектов, зарегистрированных на сайте - https://grandtrain.ru/, куда поступают и подлежат первоначальной обработке указанные персональные данные. Общество принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

2.3. Настоящий документ является общедоступным и подлежит размещению на официальном сайте Общества.

3. Цели обработки персональных данных

3.1. Обработка персональных данных пользователей услуг Общества осуществляется в целях: исполнения договоров перевозки и предоставления дополнительных услуг во время осуществления перевозки; обеспечения транспортной безопасности; повышения качества обслуживания пассажиров и доступности железнодорожных перевозок пассажиров путем реализации дополнительных программ поощрения пользователей услуг Общества.

3.2. Обработка персональных данных пользователей услуг Общества осуществляется в целях заключения и исполнения заключенных с ними договоров.

4. Принципы и условия обработки персональных данных

4.1. Обработка персональных данных в Обществе осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных», и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайны, а именно:

- обработка осуществляется на законной и справедливой основе;

- обработка ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

- обработке подлежат только те персональные данные, которые отвечают целям обработки;

- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка данных, избыточных по отношению к заявленным целям;

- при обработке обеспечиваются точность и достаточность персональных данных и при необходимости актуальность по отношению к целям обработки. Общество принимает меры по удалению или уточнению неполных или неточных данных либо обеспечивает принятие таких мер;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных;

- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

4.2. Обработка персональных данных в Обществе осуществляется с согласия пользователей услуг, если иное не предусмотрено законодательством Российской Федерации. При обработке персональных данных Общество обязано обеспечить их конфиденциальность.

5. Субъекты персональных данных

5.1. Общество осуществляет обработку персональных данных следующих категорий субъектов персональных данных: пользователей услуг Общества, а равно пассажиров либо иных физических лиц, пользующихся услугами, оказываемыми Обществом и иных лиц, чьи персональные данные стали известны в силу предоставления им со стороны Общества социальных льгот, гарантий и компенсаций, либо в результате их участия в программах поощрения пользователей услуг Общества.

6. Обрабатываемые персональные данные

6.1. Общество обрабатывает следующие персональные данные пользователей услуг:

- фамилия, имя, отчество; число, месяц, год рождения; пол; вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (для несовершеннолетних - свидетельство о рождении или его нотариально заверенная копия); адрес электронной почты; номер телефона; гражданство; пункт отправления, пункт назначения; дата поездки.

В Обществе могут обрабатываться также другие персональные данные пользователей услуг, необходимые для реализации целей обработки, указанных в пункте 3.1. настоящего документа.

7. Обработка персональных данных в Обществе

7.1. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

7.2. К обработке персональных данных допускаются только те работники Общества, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

7.3. Общество может осуществлять следующие действия (операции) с персональными данными пользователей услуг: сбор, запись, систематизацию,

накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, а также осуществлять любые другие действия, предусмотренные действующим законодательством, с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и/или доступ к таким персональным данным.

7.4. Субъект персональных данных в соответствии с федеральным законодательством вправе обратиться в Общество с запросом на получение информации, касающейся обработки его персональных данных, об уточнении его персональных данных, ограничения их обработки, блокирования или уничтожения (в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки). Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос в письменном виде может быть направлен по адресу Общества, указанному на сайте, либо по адресу электронной почты: support@tkgse.ru в форме электронного документа. В рамках полученного запроса Общество осуществляет соответствующие мероприятия и направляет ответ по запросу в течение срока, установленного федеральным законодательством.

7.5. Пользователь услуг может также уточнить свои персональные данные путем внесения изменения в персональные данные в личном кабинете на сайте Общества, через форму обратной связи, после его идентификации.

7.6. Общество никогда не предоставляет полученную в ходе своей деятельности от пользователей услуг конфиденциальную информацию о персональных данных, банковских реквизитах и т.п. третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

Данные сведения могут передаваться организациям - партнерам Общества в целях оформления ж.д билетов, дополнительных услуг (страхование проезда, трансфер в/из вокзала, бронирование отелей, аренду автомобилей и прочих услуг), осуществления платежей с платежных карт банковских систем исключительно в случаях и порядке, предусмотренных законодательством.

Более подробная информация о третьих лицах, вовлеченных в обработку персональных данных (наименования, адреса и цель передачи персональных данных), может быть предоставлена субъекту персональных данных по его запросу.

7.7. Отдельная информация может передаваться в правоохранительные и другие государственные органы исключительно в соответствии с законодательством Российской Федерации.

7.8. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.9. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или в случае отзыва согласия на обработку персональных данных, если иное не предусмотрено законодательством Российской Федерации.

7.10. Пользователь сайта https://grandtrain.ru/ дает добровольное согласие на хранение и передачу информации, в том числе с использованием файлов cookies.

8. Защита информации

8.1. Защита информации является одной из основных задач Общества наряду с безопасностью перевозки пассажиров. В целях предотвращения несанкционированного доступа, неоговоренной передачи персональных данных третьим лицам или нецелевого использования персональных данных пользователей услуг постоянно разрабатывает и модернизирует средства осуществления защиты получаемой информации. Регулярно проверяются процессы сбора, хранения и обработки данных, используются специальные защитные механизмы и технологии.

8.2. Общество принимает необходимые и достаточные организационные и технические меры для защиты персональной информации субъектов персональных данных от неправомерного или случайного доступа, изменения, копирования, блокирования, распространения, уничтожения и иных неправомерных действий третьих лиц.

9. Меры защиты, реализуемые Обществом при обработке персональных данных

9.1. Принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

9.2. Назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в информационных системах Общества;

9.3. Организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в Обществе;

9.4. Создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;

9.5. Организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;

9.6. Хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

9.7. Обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;

9.8. Обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;

9.9. Установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет;

9.10. Обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;

9.11. Осуществление внутреннего контроля соблюдения в Обществе законодательства Российской Федерации и внутренних нормативных актов при обработке персональных данных.

10. Ответственность

10.1. За нарушение требований законодательства Российской Федерации и нормативных актов Общества в сфере обработки и защиты персональных данных ответственность определяется в соответствии с законодательством Российской Федерации.