Политика конфиденциальности

Общие положения

Политика обработки персональных данных в ООО «Армянские Авиалинии» (далее Общество) разработана в соответствии с требованиями Закона РА «О защите персональных данных» от 18.05.2015 N ՀՕ-49-Ն (далее по тексту «Закон»).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению их безопасности в Обществе с целью защиты прав субъектов персональных данных при обработке их персональных данных.

В настоящей Политике используются следующие термины и определения:

  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • блокирование персональных данных временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
  • обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • персональные данные — любое относящееся к физическому лицу сведение, которое дает возможность или может дать возможность прямо или косвенно идентифицировать личность лица;
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
  • трансграничная передача персональных данных передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
  • уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;
  • работник Общества - физическое лицо, вступившее в трудовые отношения с ООО «Армянские Авиалинии».
Правовые основания и принципы обработки персональных данных

Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе:

  • Конституция Республики Армения;
  • Гражданский кодекс Республики Армения;
  • Трудовой кодекс Республики Армения;
  • Налоговый кодекс Республики Армения;
  • Закон РА «Об Авиации» ред. от 19.06.15 ՀՕ-101-Ն;
  • Закон РА «Об Обществах с ограниченной ответственностью» от 24.10.2001 N ՀՕ-252;
  • Закон РА «О Бухгалтерском учете» от 04.12.2019 N ՀՕ-282-Ն;
  • Закон РА «О Накопительных пенсиях» от 22.12.2010 N ՀՕ-244-Ն;
  • иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества;
  • Устав Общества;
  • Договоры, заключаемые между Обществом и субъектами персональных данных;
  • Согласия субъектов персональных данных на обработку их персональных данных.

Обработка персональных данных в Обществе осуществляется на основе следующих принципов:

  • обработка персональных данных осуществляется на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
  • при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Цели сбора и обработки персональных данных

В Обществе осуществляется обработка персональных данных следующих категорий субъектов персональных данных:

  • кандидаты на вакантные должности — физические лица, претендующие на замещение вакантных должностей Общества (далее — кандидаты);
  • работники — физические лица, состоящие или состоявшие с Обществом в трудовых отношениях;
  • члены семьи работников (при их отсутствии — близкие родственники) — физические лица, находящиеся в семейных либо родственных отношениях с работниками Общества (далее — члены семьи);
  • контрагенты — физические лица, оказывающие Обществу услуги и выполняющие работы на основе договоров гражданско-правового характера;
  • клиенты — физические лица, пользующиеся услугами Общества на основании договоров гражданско-правового характера.

Перечень обрабатываемых персональных данных кандидатов, работников и членов семьи работников Общества:

  • фамилия, имя и отчество;
  • дата и место рождения;
  • пол;
  • паспортные данные;
  • адреса мест регистрации и фактического проживания;
  • данные заграничного паспорта, при наличии;
  • сведения о семейном положении;
  • сведения о членах семьи (ближайших родственниках);
  • сведения документов об образовании и о повышении квалификации;
  • сведения об учёных званиях и степенях, научных трудах и изобретениях;
  • сведения о трудовом и общем стаже работы;
  • сведения о предыдущих местах работы;
  • сведения о воинском учёте;
  • страховой номер индивидуального лицевого счёта, при наличии;
  • индивидуальный налоговый номер, при наличии;
  • занимаемая должность;
  • табельный номер;
  • сведения о заработной плате;
  • сведения о социальных льготах;
  • сведения о страховании;
  • сведения о владении иностранными языками;
  • сведения о пропуске;
  • номер контактного телефона; — адрес электронной почты; фотография.

Перечень персональных данных клиентов и контрагентов Общества:

  • фамилия, имя и отчество;
  • дата рождения;
  • адрес по месту жительства; паспортные данные (серия, номер паспорта, дата выдачи);
  • телефонный номер (мобильный, стационарный);
  • сведения о состоянии здоровья; — свидетельство о рождении;
  • банковские реквизиты;
  • банковская карта.

Для каждой категории субъектов персональных данных Обществом определены цели обработки персональных данных.

Персональные данные работников обрабатываются с целью с целью обеспечения соблюдения трудового, налогового и пенсионного законодательства Республики Армения, а также политики Общества, в том числе:

  • регулирования трудовых отношений с работниками (содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Общества);
  • формирования и ведения справочников для информационного обеспечения деятельности Общества;
  • а также в иных законных целях.

Персональные данные членов семьи работника обрабатываются с целыо обеспечения соблюдения трудового, налогового и пенсионного законодательства Республики Армения.

Персональные данные кандидатов на вакантные должности обрабатываются исключительно с целью их подбора на замещение вакантных должностей и ведения кадрового резерва Общества.

Персональные данные контрагентов обрабатываются с целью заключения и выполнения условий договоров гражданско-правового характера на оказание услуг и выполнение работ.

Персональные данные клиентов Общества обрабатываются с целью заключения и выполнения условий договоров на оказание услуг, а также в иных целях осуществления основной деятельности Общества, в интересах клиента.

При определении объема и содержания обрабатываемых персональных данных субъектов персональных данных Общество руководствуется целями сбора и обработки персональных данных.

Перечень персональных данных, обрабатываемых в Обществе, утверждается приказом генерального директора Общества.

Условия обработки персональных данных

Общество осуществляет обработку персональных данных при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц, при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных.
Конфиденциальность персональных данных

Информация, относящаяся к персональным данным, ставшая известной Обществу, является конфиденциальной и охраняется законом, не подлежит раскрытию без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Общество и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Армения.

Общедоступные источники персональных данных

В целях информационного обеспечения в Обществе создаются общедоступные источники персональных данных, включающие сведения о руководстве Общества, а именно официальный сайт Общества, расположенный по адресу: armenianairlines.am

В общедоступные источники персональных данных с письменного согласия субъекта персональных данных включаются: фамилия, имя, отчество, должность.

Сведения о субъекте персональных данных должны быть исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, по истечении сроков обработки персональных данных, либо по решению суда или иных уполномоченных государственных органов.

Специальные категории персональных данных

Общество осуществляет обработку специальных категорий персональных данных как клиентов Общества в целях оказания услуг клиенту ПДн, так и работников Общества во исполнение требований нормативных правовых актов, связанных с основным видом деятельности Общества.

Поручение обработки персональных данных другому лицу

Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом. В поручении на обработку определяются перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных.

Трансграничная передача персональных данных

Общество осуществляет трансграничную передачу персональных данных при оказании услуг, связанных с международными авиасообщениями. Основаниями осуществления трансграничной передачи данных является исполнение требований следующих документов:

  • Конвенция о международной гражданской авиации;
  • Конвенция о преступлениях и некоторых других актах, совершаемых на борту воздушных судов;
  • Конвенция о борьбе с незаконными актами, направленными против безопасности гражданской авиации;
  • Приложение 17 к Конвенции о международной гражданской авиации. «Безопасность. Защита международной гражданской авиации от актов незаконного вмешательства»;
  • Нормативные документы ИКАО;
  • Закон РА «Об Авиации» ред. от 19.06.15 ՀՕ-101-Ն

Общество обязуется убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления такой передачи.

Трансграничная передача ПДн на территории иностранных государств допускается с согласия субъекта персональных данных и Агентства по защите персональных данных Республики Армения (далее по тексту Агентство). Трансграничная передача ПДн на территории иностранных государств без согласия Агентства допускается в случаях:

  • наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
  • персональные данные передаются в любую страну, включенную в список, официально опубликованный Агентством.
Права субъекта персональных данных

Согласие субъекта персональных данных на обработку его персональных данных.

Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом.

Обязанность предоставить доказательство получения согласия субъекта на обработку его персональных данных или доказательство наличия оснований, указанных в Законом, возлагается на Общество.

Лицо, осуществляющее обработку персональных данных по поручению Общества, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

Права субъекта персональных данных

Во исполнение требований Закона, обеспечивающего соблюдение прав субъекта персональных данных на доступ к персональным данным, Обществом разработана и введена процедура работы с запросами и обращениями субъектов персональных данных. Данная процедура обеспечивает соблюдение следующих прав субъектов персональных данных:

  • субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в сроки, предусмотренные Законом;
  • субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законом меры по защите своих прав;
  • субъект персональных данных вправе требовать разъяснения от Общества о порядке принятия решения на основании исключительно автоматизированной обработки персональных данных субъекта персональных данных и возможные юридические последствия такого решения;
  • субъект персональных данных вправе обжаловать действия или бездействие Общества в Агентство или в судебном порядке;
  • субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
  • Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством РА.

Обеспечение безопасности персональных данных

Безопасность персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного и/или несанкционированного и/или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Для предотвращения несанкционированного доступа к персональным данным Обществом применяются следующие организационно-технические меры:

  • назначение должностного лица, ответственного за организацию обработки персональных данных; назначение должностного лица, ответственного за обеспечение безопасности персональных данных;
  • осуществляется учет работников Общества, допущенных к обработке персональных данных;
  • ознакомление работников Общества с внутренних нормативных документов Общества по обработке и обеспечению безопасности персональных данных;
  • организация учёта, хранения и контроля обращения носителей персональных данных;
  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, формирование на их основе Модели угроз и нарушителя безопасности персональных данных; применение необходимых для обеспечения безопасности персональных данных средств защиты информации, в том числе средств криптографической защиты информации;
  • обеспечение восстановления персональных данных, уничтоженных или модифицированных вследствие несанкционированного доступа к ним;
  • определение мест хранения персональных данных;
  • оценка эффективности принятых мер по обеспечению безопасности персональных данных;
  • обеспечение контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищённости персональных данных;
  • организация пропускного режима на территорию Общества, охраны помещений с техническими средствами обработки персональных данных.
Сроки обработки (хранения) персональных данных

Сроки обработки (хранения) персональных данных определяются исходя из целей обработки персональных данных, в соответствии со сроком действия договора с субъектом персональных данных, требованиями федеральных законов, требованиями операторов персональных данных, по поручению которых Общество осуществляет обработку персональных данных, сроками исковой давности.

Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение персональных данных после прекращения их обработки допускается только после их обезличивания.

Организация обработки обращений и запросов

Перечень обращений и запросов

При осуществлении деятельности Общества по обработке персональных данных возможны следующие запросы и обращения субъекта персональных данных или его законного представителя:

  • запрос о предоставлении сведений об обработке персональных данных субъекта персональных данных;
  • запрос о предоставлении сведений об обработке персональных данных субъекта персональных данных в целях продвижения товаров, работ, услуг на рынке;
  • запрос о предоставлении сведений об обработке персональных данных субъекта персональных данных с принятием решений на основании исключительно автоматизированной обработки персональных данных;
  • запрос о предоставлении сведений об обработке персональных данных субъекта персональных данных в общедоступных источниках;
  • запрос о предоставлении сведений о передаче персональных данных субъекта персональных данных третьим лицам;
  • запрос о предоставлении сведений о трансграничной передаче персональных данных субъекта персональных данных;
  • обращение об отзыве согласия субъекта персональных данных на обработку его персональных данных;
  • требование об уточнении персональных данных субъекта персональных данных;
  • требование субъекта персональных данных о блокировании его персональных данных;
  • требование субъекта персональных данных об уничтожении его персональных данных.

Прием запросов, обращений и предписаний

Организация обработки обращений и запросов субъектов персональных данных или их представителей осуществляется Ответственным за организацию обработки персональных данных (далее — Ответственный).

Ответственный назначается приказом генерального директора Общества.

С целью регистрации обращений и запросов по вопросам обработки персональных данных, а также ответов на них, Ответственным ведется Журнал учета запросов и обращений по вопросам персональных данных.

Запрос (обращение) субъекта персональных данных должен содержать:

  • фамилию, имя и отчество субъекта персональных данных;
  • паспортные данные субъекта персональных данных (его представителя);
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных субъекта персональных данных Обществом; текст содержания запроса (обращения); адрес для получения ответа на запрос (обращение); подпись субъекта персональных данных (его представителя).
  • При наличии вышеуказанных обязательных реквизитов запрос (обращение) должен быть зафиксирован в Журнале учета запросов и обращений по вопросам персональных данных (далее — Журнал). Если реквизиты, указанные в запросе (обращении) неполные или содержат неверную информацию, в ответе на данный запрос (обращение) необходимо указать, какие данные нуждаются в уточнении.

Реагирование на запросы, обращения и предписания

Ответственный для формирования ответа на запрос (обращение) об обработке персональных данных субъектов персональных данных обязан запросить и получить необходимую информацию в соответствующем подразделении Общества, осуществляющем обработку персональных данных субъекта персональных данных. Структурные подразделения, в которых обрабатываются указанные в запросе (обращении) персональные данные, обеспечивают предоставление информации Ответственному в течение З (трех) рабочих дней.

В процессе реагирования на запросы (обращения) субъекта персональных данных (его представителя) Ответственный организует и обеспечивает выполнение следующих мероприятий:

  • сбор, анализ и фиксацию информации о наличии, основании, условиях обработки персональных данных, относящихся к субъекту персональных данных, в том числе общедоступных персональных данных;
  • сбор сведений об основании обработки персональных данных в целях продвижения товаров, работ, услуг на рынке;
  • сбор, анализ и фиксацию сведений о передаче персональных данных субъекта персональных данных сторонним организациям;
  • сбор, анализ и фиксацию сведений о принятии решений, порождающих юридические последствия в отношении субъекта персональных данных, на основании исключительно автоматизированной обработки персональных данных;
  • предоставление субъекту персональных данных возможности ознакомления с его персональными данными, а также внесение в них необходимых изменений, уничтожение или блокировку соответствующих персональных данных по предоставлении субъектом персональных данных сведений, подтверждающих, ЧТО его персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • разработку указаний сторонним организациям, которым были переданы персональные данные субъекта персональных данных, о необходимости внесения изменений и принятия мер в отношении персональных данных субъекта персональных данных;
  • в случае отказа в предоставлении субъекту персональных данных (его представителю) по его запросу (обращению) сведений об обработке персональных данных разработка мотивированного ответа, содержащего ссылку на соответствующую норму Закона.

Для реагирования на запросы (обращения) субъекта персональных данных (его представителя) предусмотрены следующие сроки:

  • предоставление (отказ в предоставлении) информации субъекту персональных данных (его представителю) об обработке персональных данных, а также предоставление возможности ознакомления с персональными данными — в течение 30 (тридцати) дней с даты получения запроса (обращения);
  • внесение изменений в персональные данные в случае, если они являются неполными, неточными или неактуальными — не более 7 (семи) рабочих дней с даты получения запроса (обращения);
  • уничтожение персональных данных в случае, когда они получены незаконно или не являются необходимыми для заявленной цели обработки — не более 7 (семи) рабочих дней с даты получения запроса (обращения).

Получаемые запросы (обращения, предписания) по вопросам персональных данных, а также ответы на них не должны нарушать конституционные права и свободы других лиц.

Заключительные положения

Настоящая Политика должна пересматриваться по мере необходимости или в случае изменений требований законодательства Республики Армения в области обработки и защиты персональных данных.

Все вносимые изменения в настоящую Политику отражаются в Листе регистрации изменений.

Все изменения в настоящую Политику утверждаются приказом генерального директора Общества.

Общество обязано обеспечить неограниченный доступ к настоящей Политике путем публикации настоящей Политики на официальном сайте Общества, расположенном по адресу: armenianairlines.am

Иные права и обязанности Общества определяются законодательством Республики Армения в области персональных данных.

Ответственность

Работники Общества, виновные в нарушении требований Закона несут предусмотренную законодательством Республики Армения ответственность.

Другие темы