1.1. Настоящее Положение о порядке обработки и защиты персональных данных в ООО «ВОЯЖ II» (далее — Положение) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»), Федеральным законом от 24.11.1996 № 132-ФЗ «Об основах туристской деятельности в Российской Федерации», Федеральным законом от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации» (далее – законодательство о миграционном учете), федеральными законами: от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 25.12.2008 г. № 273-ФЗ «О противодействии коррупции», от 02.09.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», от 29.07.2004 № 98-ФЗ «О коммерческой тайне», Закон РФ от 25 июня 1993 г. № 5242-I «О праве граждан Российской Федерации на свободу передвижения, выбор места пребывания и жительства в пределах Российской Федерации», постановлением Правительства РФ от 09.10.2015 № 1085 «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Указом Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера», приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (зарегистрировано в Минюсте России 03.04.2008, регистрационный № 11462), приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», другими федеральными законами и нормативными правовыми актами Российской Федерации, а также в соответствии с Уставом ООО «Вояж II» (далее – гостиница «Вояж» и внутренними нормативными документами гостиницы «Вояж».
1.2. Настоящая Политика:
1.2.1. разработана в целях реализации требований действующего законодательства Российской Федерации в области обработки и защиты персональных данных;
1.2.2. раскрывает способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;
1.2.3. является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите персональных данных.
1.3. Положения настоящей Политики составляют основу организации деятельности Оператора по обработке и защите персональных данных.
2. Список сокращений и аббревиатур
2.1. В настоящем документе используются следующие понятия, сокращения и аббревиатуры:
2.1.1. ИСПД – Информационная система персональных данных
2.1.2. Обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации и (или) без использования таких средств с ПД
2.1.3. ПД – Персональные данные, т.е. любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПД)
2.1.4. Политика – настоящая политика об обработки персональных данных ООО «ВОЯЖ II»;
2.1.5 Сайт – Сайт, доступный по адресу https://voyage-hotel.spb.ru/
2.1.6. Субъект ПД – физическое лицо, персональные данные которого обрабатываются Оператором и (или) по его поручению
2.1.7. 152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
3. Принципы, цели и содержание обработки ПД
3.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПД, указанных в ст.5 152-ФЗ «О персональных данных».
|
3.2. Оператор осуществляет нижеописанную целенаправленную обработку ПД в соответствии с применимым законодательством о ПД: Цель обработки |
Категория субъектов |
Персональные данные |
Срок обработки |
Правовое основание обработки |
|||
|
Заключение и исполнение договоров |
Представители контрагентов |
Фамилия, имя, отчество; должность, место работы, электронный адрес, телефонный номер. |
До прекращения договора с контрагентом. |
Осуществление законных интересов оператора (п. 7 ч. 1 ст. 6 Закона о персональных данных). |
|||
|
Предоставление гостиничного сервиса (включая бронирование) |
Гости гостиницы |
ФИО, номер бронирования, условия проживания, даты проживания, язык профиля, дата рождения, месяц рождения, год рождения, место рождения, пол, гражданство, номер телефона, адрес электронной почты, адрес регистрации, данные документа, удостоверяющего личность, данные свидетельства о рождении |
5 лет с даты выражения согласия на обработку персональных данных. |
Согласие на обработку персональных данных (п. 1 ч. 1 ст. 6 Закона о персональных данных). Заключение и исполнение договора, по которому субъект является стороной, выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона о персональных данных), |
|||
|
Представители контрагентов |
ФИО, номер телефона, адрес электронной почты, должность, место осуществления трудовой деятельности. |
5 лет со дня прекращения договора с контрагентом. |
Согласие на обработку персональных данных (п. 1 ч. 1 ст. 6 Закона о персональных данных). Осуществление законных интересов оператора (п. 7 ч. 1 ст. 6 Закона о персональных данных). |
||||
|
Участники программы лояльности |
ФИО, номер бронирования, условия проживания, даты проживания, язык профиля, дата рождения, месяц рождения, год рождения, место рождения, пол, гражданство, номер телефона, адрес электронной почты, адрес регистрации, данные документа, |
До прекращения участия в программе лояльности. |
Согласие на обработку персональных данных (п. 1 ч. 1 ст. 6 Закона о персональных данных). |
||||
4. Особенности сбора и иной обработки ПД
4.1. Оператор обрабатывает ПД, ставшие ему известными:
4.1.1. При реализации любых правоотношений между Оператором и субъектами ПД, связанных с участием субъектов ПД в деятельности Оператора
4.1.2. При взаимодействии с субъектами ПД лицами посредством Сайта, а также осуществление информационного и (или) организационного взаимодействия с субъектами ПД.
4.2. При сборе ПД Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД физических лиц с использованием баз данных, находящихся на территории РФ, за исключением случаев, прямо предусмотренных действующим законодательством РФ о ПД.
4.3. Для обработки ПД Оператор может применять информационные системы, отчуждаемые машинные носители информации (например, оптические и магнитооптические диски, флэшки, съемные жёсткие диски и т.д.), бумажные носители информации, а также передавать ПД с использованием информационно-телекоммуникационных сетей (включая сеть «Интернет»).
4.4. Оператор может направлять (при условии разумного ограничения частоты и количества направлений, в любое время и без предварительного предупреждения) субъектам ПД информационные материалы о новостях и активностях Оператора в случае наличия соответствующего согласия субъектов ПД. Информационные материалы могут направляться субъектам ПД посредством тех каналов коммуникации (контактных сведений), которые субъекты ПД предоставили Оператору. Субъекты ПД вправе в любой момент времени отказаться от получения материалов Оператора следуя инструкциям, указанным в получаемых материалах, или путем направления Оператору соответствующего обращения.
4.5. Оператором не принимаются решения, порождающее юридические последствия в отношении субъектов ПД или иным образом затрагивающее их права и законные интересы, на основании исключительно автоматизированной обработки их ПД.
4.6. Оператор не осуществляет вышеуказанные действия по обработке ПД в качестве биометрических ПД и не использует ПД для установления (биометрической идентификации) и (или) удостоверения (биометрической аутентификации) личности субъектов ПД.
5. Особенности обработки персональных данных посредством сайта
5.1. Во время посещения субъектами ПД Сайта и использования его функционала возможен пассивный сбор технической информации пользовательских устройств субъектов ПД с использованием различных технологий и способов. Это необходимо в связи с особенностями функционирования сети «Интернет» и осуществления доступа к размещенным в этой сети информационным ресурсам (сайтам).
5.2. Сбор технической информации и ее дальнейшее использование необходимо для обеспечения бесперебойного доступа субъектов ПД к Сайту и использования ими функционала Сайта, а также для обеспечения информационной безопасности при посещении Сайта и использовании его функционала.
5.3. Оператор не осуществляет:
5.3.1. прямое или косвенное определение субъектов ПД с использованием технической информации или иных сведений;
5.3.2. сопоставление и (или) объединение (связывание) технической информации с находящимися в распоряжении Оператора ПД и (или) иными сведениями;
5.3.3. обработку технической информации для аналитических и маркетинговых (рекламных) целей;
5.3.4. передачу технической информации сторонним Интернет-сервисам.
5.4. Субъекты ПД могут отказаться принимать аутентификационные файлы cookie Сайта используя настройки своего Интернет-браузера. Однако это может привести к некоторым неудобствам при использовании Сайта (например, необходимость регулярного прохождения субъектами ПД процедуры аутентификации на Сайте).
5.5. Данный Сайт не предназначен для лиц в возрасте младше 18 лет, и Оператор требует, чтобы такие лица не предоставляли свои ПД посредством Сайта. В случае выявления Оператором факта предоставления несовершеннолетними или малолетними лицами своих ПД посредством Сайта, Оператор в срок, не превышающий десяти рабочих дней с даты выявления такого факта, осуществит уничтожение указанных ПД или обеспечит их уничтожение.
5.6. Политика не регулирует порядок обработки и защиты ПД в отношении любых иных сайтов или веб-объектов (включая, помимо прочего, любые мобильные приложения), доступных через Сайт или на которые Сайт содержит ссылку. Наличие или включение ссылки на любой такой сайт или объект на Сайте не подразумевает наличие каких-либо гарантий и заверений со стороны Оператора.
6. Передача персональных данных.
6.1. Оператор может привлекать третьих лиц к обработке ПД путем поручения третьим лицам обработки ПД и (или) путем передачи ПД третьим лицам без поручения обработки ПД. Оператор не осуществляет трансграничную передачу ПД.
6.2. Привлечение третьих лиц к обработке ПД может осуществляться только при условии обработки такими лицами ПД в минимально необходимом составе и исключительно для достижения предусмотренных Политикой целей обработки ПД, а также при условии обеспечения такими лицами конфиденциальности и безопасности ПД при их обработке (в случае неисполнения третьими лицами данных условий указанные лица будут нести ответственность на основании своих договорных обязательств перед Оператором и (или) в соответствии с положениями применимого законодательства о ПД).
6.3. К вышеуказанным третьим лицам потенциально могут относиться:
6.3.1. лица, обладающие правом в предусмотренных применимым законодательством случаях на получение ПД в составе, необходимом для осуществления и выполнения возложенных на таких лиц функций, полномочий и обязанностей;
6.3.2. контрагенты Оператора, приобретение и использование продукции (товаров, работ, услуг) которых Оператором является необходимым для достижения предусмотренных Политикой целей обработки ПД.
6.4. Фактический состав привлекаемых Оператором третьих лиц к обработке ПД определяется исходя из сложившихся отношений между Оператором и субъектом ПД, а также в соответствии с положениями применимого законодательства, договоров между Оператором и субъектом ПД, согласия(ий) субъекта ПД на обработку ПД.
6.5. Оператор может создавать общедоступные источники ПД и (или) осуществлять распространение ПД только с согласия субъекта ПД или на основании требований применимого законодательства.
7. Порядок прекращения обработки (уничтожения) ПД
7.1. Оператор установил следующие условия прекращения обработки ПД:
7.1.1. достижение целей обработки ПД и максимальных сроков хранения ПД;
7.1.2. утрата необходимости в достижении целей обработки ПД;
7.1.3. предоставление субъектом ПД или его законным представителем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
7.1.4. невозможность обеспечения правомерности обработки ПД;
7.1.5. отзыв субъектом ПД согласия на обработку ПД, если сохранение ПД более не требуется для целей обработки ПД;
7.1.6. требование субъекта ПД к Оператору о прекращении обработки ПД, за исключением случаев, предусмотренных законодательством;
7.1.7. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПД;
7.1.8. ликвидация или реорганизация Оператора.
7.2. При невозможности уничтожения ПД в сроки, определенные 152-ФЗ для случаев, когда невозможно обеспечить правомерность обработки ПД, при достижении целей обработки ПД, а также при отзыве субъектом согласия на обработку ПД и (или) получении Оператором требования субъекта ПД о прекращении обработки ПД, если сохранение ПД более не требуется для целей обработки ПД, Оператор осуществляет блокирование ПД и уничтожает ПД в течение 6 (Шести) месяцев, если иной срок не установлен применимым законодательством.
7.3. Уничтожение ПД производится способом, исключающим возможность восстановления этих ПД. Если ПД невозможно уничтожить без такого повреждения их материального носителя, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и ПД, и их материальный носитель.
7.4. Подтверждение факта уничтожения ПД осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД.
8. Меры по надлежащей обработке и обеспечению безопасности ПД
8.1. Оператор при обработке ПД принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПД достигается, в частности, следующими способами (с учетом их применимости в зависимости от способа и особенностей обработки ПД):
• Определение угроз безопасности, актуальных для наших информационных систем персональных данных.
• Применение соответствующих организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
• Обеспечение режима безопасности помещений, в которых размещены информационные системы персональных данных.
• Определение перечня лиц, доступ которых к вашим персональным данным необходим для выполнения трудовых (служебных) обязанностей; разграничение прав доступа к нашим информационным системам персональных данных.
• Применение соответствующих средств защиты информационных систем, необходимых для устранения актуальных угроз безопасности.
• Резервное копирование баз персональных данных.
• Назначение должностного лица, которое отвечает за обеспечение безопасности персональных данных в информационных системах персональных данных.
• Проведение периодических аудитов безопасности информационных систем персональных данных.
9. Права субъекта персональных данных
9.1. Субъект ПД имеет право на получение сведений об обработке его ПД Оператором.
9.2. Субъект ПД вправе требовать от Оператора уточнения этих ПД, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.
9.4. Субъект ПД вправе в любое время полностью или в какой-либо части отозвать ранее предоставленное(ые) Оператору согласия на обработку ПД и (или) обратиться к Оператору с требованием о прекращении обработки ПД, за исключением случаев, когда обработка ПД предусмотрена п.п.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 152-ФЗ. Указанные в настоящем пункте права могут быть реализованы путем направления Оператору обращения.
9.5. Для реализации и защиты своих прав и законных интересов субъект ПД или его представители имеют право обратиться к Оператору любым удобным и возможным для них способом (в том числе по электронной почте info@voyage-hotel.spb.ru).
9.6. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПД, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
9.7. Субъект ПД вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов ПД.
9.8. Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10. Доступ к Политике
10.1. Действующая редакция Политики на бумажном носителе хранится в месте нахождения исполнительного органа Оператора.
10.2. Электронная версия действующей редакции Политики опубликована на Сайте.
11.1. Политика утверждается и вводится в действие решением единоличного исполнительного органа Оператора и действует до ее отмены.
11.2. Оператор имеет право по мере необходимости вносить изменения в Политику (далее – «Изменения»). Изменения утверждаются решением единоличного исполнительного органа Оператора. В таком случае измененная редакция Политики публикуется на Сайте с указанием срока начала ее действия.
11.3. Субъекты ПД обязуется самостоятельно отслеживать Изменения. Участие субъектов ПД в деятельности Оператора и (или) посещение/использование ими Сайта после начала действия измененной редакции Политики означает принятие такими субъектами ПД положений измененной редакции Политики.
11.4. Политика пересматривается по мере необходимости, но не реже одного раза в три года с момента проведения предыдущего пересмотра Политики.
11.5. Политика может пересматриваться ранее срока, указанного в Политике, по мере внесения изменений:
11.5.1. в нормативные правовые акты РФ в сфере ПД;
11.5.2. в локальные акты Оператора, регламентирующие организацию обработки и обеспечение безопасности ПД;
11.5.3. в порядок организации Оператором обработки и обеспечения безопасности ПД.
12. Ответственность
12.1. Исполнительный единоличный орган Оператора и участники его деятельности, а также иные лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут ответственность, предусмотренную законодательством РФ.