ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОТЕЛЬ ДИНАСТИЯ
1. ТЕРМИНЫ И ПРИНЯТЫЕ СОКРАЩЕНИЯ
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (оператор) – юридическое лицо ООО «Особняк», ИНН 7840329072, ОГРН 1057813101818, расположенное по адресу: 191002, г. Санкт-Петербург, Рубинштейна ул., д.29/28, пом.1Н, лит.А, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
-
сбор;
-
запись;
-
систематизацию;
-
накопление;
-
хранение;
-
уточнение (обновление, изменение);
-
извлечение;
-
использование;
-
передачу (распространение, предоставление, доступ);
-
обезличивание;
-
блокирование;
-
удаление;
-
уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Настоящая Политика обработки персональных данных (далее – Политика) определяет порядок обработки и защиты информации о физических лицах — субъектах персональных данных, которые планируют заключить и (или) заключают договоры оказания гостиничных услуг, а также соискатели, работники и бывшие работники, контрагенты ООО «Особняк» ИНН 7840329072, ОГРН 1057813101818, расположенном по адресу: 191002, г. Санкт-Петербург, Рубинштейна ул., д.29/28, пом.1Н, лит.А (далее – Оператор или Общество).
Целями Политики обработки и защиты персональных данных (далее – Политика) является:
-
обеспечение защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, от несанкционированного доступа и разглашения;
-
исполнение договоров, заключаемых Оператором с Пользователями;
-
предоставление информации об оказываемых Оператором услугах, разработке новых продуктов и услуг;
-
исключение несанкционированных действий сотрудников Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности информации Пользователей.
2.2. Политика описывает каким образом осуществляется обработка персональных данных у Оператора.
2.3. Политика разработана в соответствии с действующим законодательством Российской Федерации и Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ.
Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.
Правовыми основаниями обработки персональных данных в Обществе являются: Гражданский кодекс РФ, Трудовой кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»; Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»; Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; Постановление Правительства РФ от 17.07.1995 № 713 «Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания и по месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации», а также договоры, заключаемые Оператором с Пользователями.
2.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
3. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных субъектов персональных данных осуществляется в целях предоставления возможности взаимодействовать с Оператором для последующего заключения договора (договоров) и последующего исполнения, с целью разработки новых продуктов и услуг, а также информирования об этих услугах.
3.2. Обработка персональных данных осуществляется на основе принципов:
-
законности целей и способов обработки персональных данных;
-
добросовестности;
-
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
-
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
-
обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
-
конфиденциальности.
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ,
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, настоящей Политикой. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных и в следующем объеме.
4.2.1. Соискатели для приема на работу к Оператору — для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
- фамилия, имя, отчество;
- пол, возраст;
- дата и место рождения;
- гражданство;
- паспортные данные;
- адрес регистрации по месту жительства и адрес фактического проживания;
- номер телефона (домашний, мобильный);
- данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
-
сведения о деловых и иных личных качествах, носящих оценочный характер.
4.2.2. Работники и бывшие работники Оператора — для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
-
фамилия, имя, отчество;
-
пол;
-
гражданство;
-
дата и место рождения;
-
фотография;
-
паспортные данные;
-
адрес регистрации по месту жительства;
-
адрес фактического проживания;
-
контактные данные;
-
ИНН;
-
страховой номер индивидуального лицевого счета (СНИЛС);
-
сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
-
семейное положение, наличие детей, родственные связи;
-
сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
-
данные о регистрации брака;
-
сведения о воинском учете;
-
сведения об инвалидности;
-
сведения о доходе с предыдущего места работы;
-
иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.3. Физические лица, которые намерены воспользоваться гостиничными услугами
-
фамилия, имя, отчество;
-
место и дата рождения;
-
номер паспорта, кем и когда выдан;
-
гражданство;
-
адрес регистрации;
-
мобильный телефон;
-
электронная почта.
4.2.4. Контрагенты – физические лица, которые намерены заключить гражданско-правовой договор
-
фамилия, имя, отчество;
-
место и дата рождения;
-
номер паспорта, кем и когда выдан;
-
гражданство;
-
адрес регистрации;
-
мобильный телефон;
-
электронная почта;
-
ИНН;
-
ОГРИП и дата регистрации, если зарегистрирован в качестве индивидуального предпринимателя.
4.3. Сбор персональных данных Пользователей осуществляется через официальный сайт при бронировании, через электронную почту при бронировании и посредством заполнения анкеты гостя при заезде. Сбор Оператором персональных данных может осуществляться иными средствами и при использовании иных услуг Оператора.
Сбор персональных данных контрагентов, физических лиц, осуществляется по электронной почте, при заключении договора.
Сбор персональных данных соискателей осуществляется при направлении резюме.
Сбор персональных данных работников осуществляется при оформлении личного дела или трудового договора.
5. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Права субъекта персональных данных.
Пользователь имеет право на получение у Оператора информации, касающейся обработки его персональных данных, в том числе объема обрабатываемых персональных данных.
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных вправе отозвать согласие на обработку своих персональных данных.
Требование Пользователя составляется в свободной форме в виде письменного документа, который может быть:
-
направлен в адрес Оператора почтовым отправлением;
-
направлен на адрес электронной почты dn@familinn.ru
Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях и сообщить об этом не позднее 10 (десяти) рабочих дней с момента получения требования.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы, то он вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.
5.2. Обязанности Оператора.
Оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации.
Оператор обязан отвечать на запросы в следующем порядке:
-
По факту личного обращения либо при получении письменного запроса Пользователя Оператор, при наличии оснований, обязан в течение 30 дней с даты обращения либо получения запроса предоставить сведения в объеме, установленном действующим законодательством. Такие сведения должны быть предоставлены в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
-
Все обращения регистрируются в Журнале учета обращений (субъектов персональных данных) по вопросам обработки персональных данных.
-
Оператор уведомляет субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных.
В случае получения запроса от уполномоченного органа по защите прав субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Оператор обязан сообщить такую информацию в уполномоченный орган в течение 30 дней с даты получения такого запроса или в срок, указанный в запросе.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6. РЕЖИМ КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.
6.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено законодательством.
6.3. Работники Оператора, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Оператора в части обеспечения конфиденциальности и безопасности персональных данных.
7. УСЛОВИЯ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Условия обработки персональных данных.
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Персональные данные могут также включать в себя дополнительно предоставляемые Пользователями по запросу Оператора в целях исполнения Оператором обязательств, вытекающих из договоров, заключаемых между Оператором и Пользователем.
7.2. Персональные данные хранятся как на бумажных носителях, так и на электронных носителях. Персональные данные обрабатываются как с использованием автоматизированных систем, так и без использования автоматизированных систем.
Оператор не передает персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством, и не поручает обработку персональных данных сторонним лицам и организациям. Персональные данные обрабатывают лично Оператор или только сотрудниками Оператора, допущенных Приказом к обработке персональных данных. Работники имеют право обрабатывать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей. Доступ работников к персональным данным прекращается после прекращения трудовых отношений с работником либо с даты прекращения должностных обязанностей.
Все работники, которые занимаются обработкой персональных данных ознакомлены с локальными актами Оператора и требованиями законодательства.
7.3. Хранение персональных данных субъекта персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных.
Общий срок хранения персональных данных — с начала действия договора гостиничных услуг и в течение 3 (трех) лет после этого. Для персональных данных работников установлены иные сроки хранения.
Обработка персональных данных Пользователей, осуществляемая без использования средств автоматизации, происходит таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей).
В Обществе обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
Серверы располагаются в местах недоступных для лиц, не имеющих доступ к персональным данным Пользователей. Конкретный перечень мер, принимаемых Оператором к хранению персональных данных содержится в соответствующем приказе.
Оператор для хранения персональных данных использует базы данных, находящиеся на территории Российской Федерации.
7.4. Обеспечение защиты персональных данных.
Оператор обеспечивает безопасность персональных данных, обрабатываемых в информационных системах Оператора, которая достигается путем исключения несанкционированного, в том числе случайного, доступа к ним, а также принятия следующих мер по обеспечению безопасности:
-
определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;
-
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности;
-
применение процедур оценки соответствия средств защиты информации;
-
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
-
обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
-
обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы и принятие мер;
-
восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
-
установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора;
-
использование антивирусных средств и средств восстановления системы защиты персональных данных;
-
сообщение в Роскомнадзор о всех случаях утечки персональных данных в порядке, предусмотренном Политикой.
7.5. Актуализация, блокирование и уничтожение персональных данных.
В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена.
Под блокированием персональных данных понимается временное прекращение Оператором операций по их обработке по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных, по его мнению, действий в отношении его данных.
Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных на сайте и/или в результате которых уничтожаются материальные носители персональных данных.
Пользователь вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
В случае отсутствия возможности уничтожения персональных данных Оператор осуществляет блокирование таких персональных данных. В случае выявления неправомерной обработки персональных данных при обращении или по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
Уничтожение персональных данных осуществляется в течении 30 дней с момента возникновения оснований для уничтожения и путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).
Уничтожение документации, содержащей персональные данные осуществляется лично Оператором путем физического уничтожения бумажных носителей и составления Акта об уничтожении.
7.6. Прекращение обработки персональных данных.
Условием прекращения обработки персональных данных может являться:
-
достижение целей обработки персональных данных;
-
истечение срока действия согласия или отзыв согласия субъекта на обработку его персональных данных;
-
выявление неправомерной обработки персональных данных.
В этом случае персональные данные субъектов уничтожаются в порядке, предусмотренным документацией Оператора. При уничтожении Оператор составляет Акт об уничтожении, который подписывают члены комиссии.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:
1) в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
8. ОТВЕТСТВЕННОСТЬ
8.1. Все сотрудники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с внутренней документацией, требованиями законодательства РФ.
Лица, виновные в нарушении требований внутренней документации и законодательства о персональных данных, несут предусмотренную законодательством РФ ответственность.