ПОЛИТИКА
обработки персональных данных
в обществе с ограниченной ответственностью
«РЖД-Цифровые пассажирские решения»
1. ОБЩИЕ ПОЛОЖЕНИЯ
Политика обработки персональных данных в обществе с ограниченной ответственностью «РЖД-Цифровые пассажирские решения» (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ-152), а также в соответствии с Регламентом (ЕС) 2016/679 Европейского Парламента и Совета «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/EC» (Регламент ЕС).
Настоящая Политика определяет цели, принципы, условия и правила обработки персональных данных и меры по обеспечению безопасности персональных данных в обществе с ограниченной ответственностью «РЖД-Цифровые пассажирские решения» (далее – Общество,
ООО «РЖД-Цифровые пассажирские решения») с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Организационно-распорядительные документы ООО «РЖД-Цифровые пассажирские решения», действующие в сфере защиты персональных данных, охватывают все элементы защиты предоставляемых субъектами ООО «РЖД-Цифровые пассажирские решения» персональных данных.
Работники ООО «РЖД-Цифровые пассажирские решения» несут персональную ответственность за обеспечение режима защиты персональных данных, выполнение работниками требований законодательства Российской Федерации и нормативных документов ООО «РЖД-Цифровые пассажирские решения» в области обработки и защиты персональных данных.
Контактные данные
e-mail: info@smarttravel.ru
В Политике используются следующие основные понятия:
автоматизированная обработка персональных данных – обработка персональных данных, при которой такие действия с персональными данными, как уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляется без непосредственного участия человека;
биометрические персональные данные – сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, которые используются оператором для установления личности субъекта персональных данных;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
конфиденциальность персональных данных – обязательное для соблюдения ООО «РЖД-Цифровые пассажирские решения» требование не раскрывать третьим лицам персональные данные и не допускать их распространения без согласия субъектов персональных данных или наличия иного законного основания;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
неавтоматизированная обработка персональных данных – обработка персональных данных, при которой такие действия с персональными данными, как уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации (автоматизированной) только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
передача персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств, представляющих собой доступ, распространение, предоставление персональных данных;
защита персональных данных – деятельность ООО «РЖД-Цифровые пассажирские решения», включающая принятие правовых, организационных и технических мер, направленных на обеспечение защиты от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу;
уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители;
материальный носитель – бумажный или машинный носитель, предназначенный для фиксирования, передачи и хранения персональных данных;
контролер – это физическое или юридическое лицо, государственный орган, агентство или иной государственный орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных;
обработчик – это физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролера.
Общество обязано опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч. 2 ст. 18.1 ФЗ-152.
2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных в ООО «РЖД-Цифровые пассажирские решения» осуществляется со следующими целями:
2.1 Исполнение сделок по реализации субъектам персональных данных авиа и железнодорожных билетов, билетов на автобусы и водный транспорт, оформлению страховок, заключенных между ООО «РЖД-Цифровые пассажирские решения» и субъектами персональных данных, а также с целью исполнения иных сделок, заключенных Обществом с субъектами персональных данных.
2.2 Информирование субъектов персональных данных о тарифах, скидках перевозчиков, акциях, а также осуществлении рекламно-информационных рассылок.
2.3 Организация учета работников ООО «РЖД-Цифровые пассажирские решения» в соответствии с требованиями законов и иных нормативных правовых актов, содействия им в карьерном росте, в обучении, для осуществления медицинского страхования, направления в служебные командировки, контроля количества и качества выполняемой работы и обеспечения сохранности имущества в соответствии с Трудовым кодексом Российской Федерации, а также в целях реализации социальных программ, выполнения договорных обязательств с Контрагентами (оформление доверенностей, копий документов, содержащих персональные данные), оформления банковских карт в рамках зарплатных проектов.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Договоры публичной оферты об условиях предоставления услуг при использовании сервисов ООО «РЖД-Цифровые пассажирские решения», размещенные на сайте Общества и в интерфейсах Контрагентов ООО «РЖД-Цифровые пассажирские решения»;
-Договоры, заключенные между Контрагентами и ООО «РЖД-Цифровые пассажирские решения»;
- Договоры, заключенные между ООО «РЖД-Цифровые пассажирские решения» и организаторами перевозок.
4. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 ООО «РЖД-Цифровые пассажирские решения» осуществляется обработка персональных данных следующих категорий субъектов персональных данных:
- Клиенты – физические лица, состоявшие или состоящие в договорных и иных гражданско-правовых отношениях с Обществом или ее партнерами;
- Контрагенты (представители Контрагентов) – физические лица и/или юридические лица, предоставляющие на условиях договорных отношений услуги Общества;
- Кандидаты на замещение вакантных должностей (далее – кандидаты) – физические лица, претендующие на замещение вакантных должностей в ООО «РЖД-Цифровые пассажирские решения»;
- Работники – физические лица, состоящие или состоявшие с ООО «РЖД-Цифровые пассажирские решения» в трудовых отношениях;
- Члены семьи (близкие родственники) работников (далее – члены семьи) – физические лица, находящиеся в семейных либо родственных отношениях с работниками ООО «РЖД-Цифровые пассажирские решения».
4.2 Перечень персональных данных клиентов, физических лиц:
- фамилия, имя и отчество;
- дата рождения;
- вид, серия и номер документа, удостоверяющего личность, по которому приобретался проездной билет;
- пол;
- гражданство;
- контактные данные, номер телефона, адрес электронной почты;
- иные персональные данные, необходимые для достижения целей, предусмотренных п. 2 настоящего Положения.
4.3 Перечень персональных данных Контрагентов:
- фамилия, имя и отчество;
- паспортные данные;
- наименование должности;
- контактный телефон и/или адрес электронной почты;
- ИНН налогоплательщика;
- банковские реквизиты;
- иные персональные данные, необходимые для достижения целей, предусмотренных п. 2 настоящего Положения.
4.4 Перечень персональных данных кандидатов на замещение вакантных должностей:
- фамилия, имя и отчество;
- дата рождения;
- паспортные данные;
- сведения о семейном положении;
- ИНН;
- СНИЛС;
- адрес меcта жительства;
- образование, повышение квалификации;
- трудовой стаж;
- предыдущие места работы;
- пол;
- номер контактного телефона и адрес электронной почты;
- адрес электронной почты;
- иные персональные данные, необходимые для достижения целей, предусмотренных п. 2 настоящего Положения.
4.5 Перечень персональных данных работников:
- фамилия, имя и отчество;
- дата и место рождения;
- паспортные данные;
- адрес регистрации;
- семейное положение;
- образование;
- трудовой стаж;
- предыдущие места работы;
- воинский учет;
- СНИЛС;
- ИНН;
- пол;
- номер контактного телефона и адрес электронной почты;
- заработная плата;
- социальные льготы;
- должность;
- реквизиты для перечисления заработной платы;
- - другие персональные данные, необходимые для достижения целей, предусмотренных п. 2 настоящего Положения.
4.6 Перечень персональных данных членов семьи работников:
- фамилия, имя и отчество;
- дата рождения;
- пол;
- иные персональные данные, необходимые для достижения целей, предусмотренных п. 2 настоящего Положения.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Принципы обработки персональных данных
Обработка персональных данных в ООО «РЖД-Цифровые пассажирские решения» осуществляется на основе следующих принципов:
-законности, справедливой основы и прозрачности в отношении субъекта данных;
-ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей (ограничение цели);
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
-недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
-обработки только тех персональных данных, которые отвечают целям их обработки;
-соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
-недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки (принцип минимизации данных);
-обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных (принцип точности);
-хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
-уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения ООО «РЖД-Цифровые пассажирские решения» допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом (принцип ограничения хранения данных);
-законности целей и способов обработки персональных данных и добросовестности;
-личной ответственности работников ООО «РЖД-Цифровые пассажирские решения», а также физических лиц, работающих в Обществе на основании договора гражданско-правового характера, или работников сторонней организации, которым Общество поручило обработку персональных данных, за сохранность и конфиденциальность персональных данных;
-наличия разрешительной системы доступа работников ООО «РЖД-Цифровые пассажирские решения» к документам и базам данных, содержащим персональные данные;
-беспристрастности обработки персональных данных;
-обеспечения конфиденциальности персональных данных при их передаче, в том числе трансграничной, третьим лицам;
-обеспечение безопасности персональных данных, включая защиту от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер (принцип целостности и конфиденциальности).
5.2 Правомерность обработки персональных данных
Правомерность обработки персональных данных основывается на следующих требованиях и условиях:
-субъект персональных данных дал согласие на обработку его персональных данных для одной или нескольких целей;
-субъект персональных данных дал согласие на распространение персональных данных;
-обработка необходима в рамках исполнения договора;
-обработка необходима в рамках соблюдения соответствующих обязательств оператора, обработчика и контроллера;
- обработка необходима для защиты жизненных интересов субъекта персональных данных или иных жизненно важных интересов других лиц, если получение согласия субъекта персональных данных невозможно;
- в других случаях, указанных в пункте 2 статьи 10 ФЗ-152.
5.3 Условия обработки и распространения персональных данных
Персональные данные, обрабатываемые в ООО «РЖД-Цифровые пассажирские решения», не могут быть использованы в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.
Персональные данные предоставляются клиентами ООО «РЖД-Цифровые пассажирские решения» на добровольной основе и могут быть изменены (обновлены, дополнены, уточнены, заблокированы, удалены) по их желанию.
ООО «РЖД-Цифровые пассажирские решения» производит обработку персональных данных при наличии хотя бы одного из следующих условий:
-обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (согласие на обработку персональных данных в рамках Публичной оферте на оказание в электронной форме услуг по предоставлению сервиса для оформления электронных билетов на различные виды транспорта и сопутствующие услуги);
- распространение персональных данных осуществляется с согласия субъекта персональных данных на распространение его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
5.4 Перечень действий с персональными данными
Общество осуществляет следующие действия с персональными данными:
- сбор;
- запись;
- накопление;
- систематизация;
- распространение;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (предоставление доступа);
- обезличивание;
- блокирование;
- удаление;
- уничтожение;
- любые другие действия, предусмотренные действующим законодательством Российской Федерации, с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетей, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и/или доступ к таким персональным данным.
5.5 Конфиденциальность персональных данных
ООО «РЖД-Цифровые пассажирские решения» и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не передавать персональные данные без согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
5.6 Внутренние источники персональных данных
В целях информационного обеспечения в ООО «РЖД-Цифровые пассажирские решения» могут создаваться внутренние источники персональных данных субъектов, в том числе справочники и адресные книги. Во внутренние источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.
Сведения о субъекте должны быть в любое время исключены из внутренних источников персональных данных по требованию субъекта либо по решению суда или иных уполномоченных государственных органов.
5.7 Специальные категории персональных данных
Обработка ООО «РЖД-Цифровые пассажирские решения» специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных не осуществляется.
5.8 Биометрические персональные данные
Обработка ООО «РЖД-Цифровые пассажирские решения» сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), которые используются оператором для установления личности субъекта персональных данных, не осуществляется.
5.9 Поручение обработки персональных данных другому лицу
Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению ООО «РЖД-Цифровые пассажирские решения», обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152 и Регламентом ЕС.
5.10 Передача персональных данных
ООО «РЖД-Цифровые пассажирские решения» вправе передавать персональные данные субъектов третьим лицам, в том числе контрагентам Общества, организаторам перевозок и другим юридическим лицам, только с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с третьими лицами договора. Передача персональных данных осуществляется в целях исполнения договоров, соглашений между ООО «РЖД-Цифровые пассажирские решения» и третьими лицами, в которых указывается перечень обрабатываемых данных. Все третьи лица, куда осуществляется передача персональных данных субъектов, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152 и Регламентом ЕС.
Более подробная информация о третьих лицах, вовлеченных в обработку персональных данных (наименования, адреса и цель передачи персональных данных), может быть предоставлена субъекту персональных данных по его запросу.
ООО «РЖД-Цифровые пассажирские решения» вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации в рамках установленной в Обществе процедуры.
5.11 Трансграничная передача персональных данных и трансграничная обработка
ООО «РЖД-Цифровые пассажирские решения» обязано убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия субъекта персональных данных на трансграничную передачу его персональных данных;
- предусмотренных международными договорами Российской Федерации;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
- исполнения договора, стороной которого является субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
5.12 Сроки обработки персональных данных
Персональные данные субъектов, обрабатываемые ООО «РЖД-Цифровые пассажирские решения» подлежат уничтожению либо обезличиванию в случае:
- достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;
- отзыва согласия субъекта на обработку его персональных данных;
- получение от субъекта уведомления об удалении его персональных данных;
- получение от контроллера запроса на удаление персональных данных субъекта;
- прекращения деятельности ООО «РЖД-Цифровые пассажирские решения».
5.13 Хранение персональных данных
Все базы данных ООО «РЖД-Цифровые пассажирские решения» территориально распределены и находятся на территории Российской Федерации.
Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
Для субъектов персональных данных, являющимися гражданами ЕС, максимальный срок хранения персональных данных составляет 30 дней, со дня совершения поездки, или исполнения иных сделок, заключенных ООО «РЖД-Цифровые пассажирские решения» с субъектами персональных данных.
Для остальных субъектов максимальный срок хранения персональных данных составляет 1 год, со дня совершения поездки или исполнения иных сделок, заключенных ООО «РЖД-Цифровые пассажирские решения» с субъектами персональных данных.
5.14 Актуализация, исправление, удаление и уничтожение персональных данных
В случае подтверждения факта неточности персональных данных или неправомерности их обработки в ООО «РЖД-Цифровые пассажирские решения», персональные данные подлежат актуализации, а обработка их прекращается.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральными законами;
- иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
5.15 Порядок реагирования на запросы обращения субъектов персональных данных, их представителей и уполномоченных органов
При обращении или запросе в письменной или электронной форме субъекта персональных данных или его законного представителя, на доступ к своим персональным данным ООО «РЖД-Цифровые пассажирские решения» руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ и требованиями Регламента ЕС.
В зависимости от информации, предоставленной в запросе, принимается решение о предоставлении доступа субъекта к его персональным данным.
В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставления персональных данных нарушает конституционные права и свободы других лиц, Общество подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющего основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя.
Сведения о наличии персональных данных предоставляются субъекту при ответе на запрос в течение тридцати дней от даты получения запроса субъекта персональных данных или его законного представителя.
В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ Общество вправе сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления указанного органа, в течение тридцати дней с даты получения такого запроса. Допускается запрос уполномоченного органа, отправленный в электронном виде.
В случае, если получен запрос от пользователя на отказ от обработки его персональных данных, данные в системах ООО «РЖД-Цифровые пассажирские решения» подлежат немедленному удалению.
В случае, если получен запрос от пользователя на выгрузку его персональных данных, производится выгрузка его персональных данных в любом доступном в системе формате.
6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Согласие субъекта персональных данных на обработку его персональных данных
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку и распространение свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку и распространение его персональных данных или доказательство наличия оснований, указанных в ФЗ-152, возлагается на ООО «РЖД-Цифровые пассажирские решения».
6.2. Права субъекта персональных данных
Субъект персональных данных имеет право на получение у Общества информации, касающейся обработки и распространения его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от ООО «РЖД-Цифровые пассажирские решения» уточнения его персональных данных, их изменения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав, а также иметь возможность выгрузки своих данных в любом предлагаемом формате.
Запрос от субъекта (Приложения 1-3) должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
Запрос в письменном виде может быть направлен по адресу: 107078, город Москва, вн.тер.г. муниципальный округ Красносельский, ул. Новорязанская, д. 8А, стр. 2, либо на адрес электронной почты support@smarttravel.ru в форме электронного документа, подписанного электронной подписью, в соответствии с законодательством Российской Федерации.
По факту получения запроса ООО «РЖД-Цифровые пассажирские решения» осуществляет соответствующие мероприятия и направляет ответ в течение срока, установленного федеральным законодательством.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Общество не докажет, что такое согласие было получено.
ООО «РЖД-Цифровые пассажирские решения» обязано немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.
Если субъект персональных данных считает, что ООО «РЖД-Цифровые пассажирские решения» осуществляет обработку его персональных данных с нарушением требований ФЗ-152, Регламента ЕС и иных законодательных актов или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Безопасность персональных данных, обрабатываемых ООО «РЖД-Цифровые пассажирские решения», обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных, а также Регламента ЕС.
Для предотвращения несанкционированного доступа к персональным данным
ООО «РЖД-Цифровые пассажирские решения» применяются следующие организационно-технические меры:
- назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
- ограничение состава лиц, имеющих доступ к персональным данным;
- ограничение списка помещений, где ведется обработка персональных данных;
- ознакомление субъектов с требованиями федерального законодательства и нормативных документов Общества по обработке и защите персональных данных;
- организация учета, хранения и обращения носителей информации;
- определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
- разработка на основе модели угроз системы защиты персональных данных;
- проверка готовности и эффективности использования средств защиты информации;
- разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учет всех действий, совершаемых с персональными данными в информационной системе ООО «РЖД-Цифровые пассажирские решения», в установленном ООО «РЖД-Цифровые пассажирские решения» порядке;
- использование антивирусных средств;
- использование средств восстановления системы защиты персональных данных;
- применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
- применение при необходимости шифрования данных;
-использование шифрования трафика передачи персональных данных (HTTPS, IPSec, TLS, PPTP, SSH);
- использование средств мониторинга событий информационной безопасности;
- применение двухфакторной аутентификации для администрирования средств защиты информации;
- использование резервирование технических средств и дублирование массивов и носителей информации, содержащей персональные данные;
- организация пропускного режима на территорию Общества, охраны помещений с техническими средствами обработки персональных данных.
8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Иные права и обязанности Общества как обработчика и контроллера персональных данных определяются международным законодательством, в частности Регламентом ЕС.
Должностные лица ООО «РЖД-Цифровые пассажирские решения», виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
