Телефон: +7-921-915-65-27 Санкт-Петербург, ул. Коллонтай, д. 32, корп. 2 литер А e-mail: ellehotels@mail.ru |
ООО «ЭЛЛЕ»
ПОЛИТИКА О ПОРЯДКЕ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
I. Общие положения
1.1. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 24.11.1996 г. № 132-ФЗ «Об основах туристской деятельности в Российской Федерации», «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утв. постановлением Правительства РФ от 15.09.2008 г. № 687, «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 01.11.2012 г. № 1119, «Правилами предоставления гостиничных услуг в Российской Федерации», утв. постановлением Правительства РФ от 09.10.2015 г. № 1085, иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.
1.2. ООО «ЭЛЛЕ» согласно законодательству Российской Федерации, является оператором персональных данных.
1.3. Основные понятия, используемые в Политике:
а) Отель (гостиница) – организация ООО «ЭЛЛЕ» предоставляет гостиничные услуги гостю, осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
б) Гость – физическое лицо, потребитель гостиничных услуг, субъект персональных данных или законный представитель юридического лица, имеющий намерение заказать или приобрести либо заказывающий, приобретающий и (или) использующий гостиничные услуги исключительно для личных и иных нужд, не связанных с осуществлением предпринимательской деятельности;
в) Гостиничные услуги – комплекс услуг по обеспечению временного проживания и предоставлению физическим лицам средств размещения в отеле(гостиницы), указанных в открытом доступе, включая сопутствующие услуги, перечень которых определяется организацией;
г) Работник – физическое лицо, которое работает в отеле(гостиницы);
д) Уволенный работник – бывший работник, с которым расторгнут либо прекращен трудовой или гражданско-правовой договор.
е) Гостиничные услуги – комплекс услуг по обеспечению временного проживания и предоставлению физическим лицам средств размещения в отеле(гостиницы), указанных в открытом доступе, включая сопутствующие услуги, перечень которых определяется организацией;
ж) Персональные данные — любая информация, сохраненная в любом формате, прямо или косвенно относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении отеля, позволяет идентифицировать личность физического лица;
з) Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
и) Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
к) Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
л) Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
м) Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных работников;
н) Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному лицу;
о) Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
п) Сайт – сайт, расположенный в сети интернет по адресу www.elehotel.ru
1.4. Настоящая Политика устанавливает порядок обработки персональных данных гостей, для которых отель(гостиница) осуществляет весь спектр гостиничных услуг с использованием средств автоматизации и без использования таковых средств, а также порядок обработки работников отель(гостиница) и уволенных работников.
1.5. Настоящая Политика обязательна к исполнению всеми сотрудниками отель(гостиница), осуществляющими обработку персональных данных и (или) имеющими доступ к персональным данным гостей, описывает основные цели, принципы обработки и требования к безопасности персональных данных в отель(гостиница).
1.6. Настоящая Политика разработана с целью защиты прав и свобод человека и гражданина при обработке его персональных данных.
1.7. Персональные данные обрабатываются в целях выполнения гостиничных услуг отель(гостиница) перед гостем по договору с ним, связь с гостем в случае необходимости, а также ведение кадрового и бухгалтерского учета работников(уволенных работников) и иных физических лиц, вступивших в договорные отношения; ведения личных дел сотрудников; заключение договорных отношений и выполнения договорных обязательств; осуществления видов деятельности, предусмотренных учредительными документами.
Организация собирает и обрабатывает персональные данные только в объеме, необходимом для достижения целей, указанных в настоящем пункте.
1.8. Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности отель(гостиница).
II. Принципы и цели обработки. Состав персональных данных
2.1. Обработка персональных данных организацией осуществляется на основе принципов:
а) обработка персональных данных гостей, работников (уволенных работников) осуществляется исключительно для обеспечения соблюдения федеральных законов и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных;
б) объем и содержание обрабатываемых персональных данных субъектов, способы обработки персональных данных соответствуют требованиям федерального законодательства, а также другим нормативным актам и целям обработки персональных данных. Не допускается обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
в) персональные данные организация получает у самого гостя, работника (уволенного работника), в том числе дистанционно, посредством сети Интернет, с использованием электронной почты или путем заполнения формы на сайте отель(гостиница); а также иными способами в соответствии с законодательством РФ;
г) при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях актуальность по отношению к целям обработки персональных данных.
2.2. Организацией принимаются необходимые меры по уничтожению (удалению) либо уточнению неполных или неточных данных.
2.3. Обработка персональных данных гостей, работников (уволенных работников) проводится организацией в целях, указанных в пункте 1.7 настоящей Политики.
2.4. Организацией обрабатываются следующие категории персональных данных: фамилия, имя, отчество; дата рождения; место рождения; адрес регистрации, адрес места жительства; паспортные данные; дата выдачи документа, удостоверяющего личность и информация о выдавшем его органе; контактный номер телефона, адрес электронной почты; подпись субъекта персональных данных.
В отношении работников (уволенных работников) также обрабатываются категории персональных данных: семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; временная нетрудоспособность; выход на пенсию; данные о социальных льготах; данные полиса ОМС; должность; дополнительные страховые взносы на накопительную часть пенсии; доходы; идентификационный номер налогоплательщика; льготные выплаты; налоговые вычеты; номер страхового свидетельства государственного пенсионного страхования; страховые взносы на ОМС; информация, необходимая для выполнения обязательств отель(гостиница) в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, законодательством об обязательных видах страхования, со страховым законодательством
III. Условия обработки
3.1. Порядок работы с персональными данными гостей, работников (уволенных работников) в отель(гостиница) регламентирован действующим законодательством Российской Федерации, внутренними документами отеля(гостиницы) и осуществляется с соблюдением строго определенных правил и условий.
3.2. Обработка персональных данных в отеле(гостиницы) осуществляется путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (предоставления, доступа), блокирования, обезличивания, уничтожения персональных данных исключительно для обеспечения соблюдения федерального законодательства и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных, учета результатов выполнения договорных и иных гражданско-правовых обязательств с субъектом персональных данных. При этом используется смешанный (автоматизированный и неавтоматизированный) способ обработки персональных данных.
3.3 Согласие Гостя на обработку персональных данных не требуется, поскольку обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных – Гость.
3.4. Обработка персональных данных и иных данных Гостей ведется методом смешанной обработки.
3.5. Обработка персональных данных отель(гостиница) на Сайте допускается при наличии согласия на их обработку от Гостя, осуществляется посредством ввода адреса электронный почты или телефона в форму обратной связи на Сайте и последующей активации ссылки «Даю согласие на обработку моих персональных данных».
3.6. К обработке персональных данных Гостей могут иметь доступ только сотрудники отеля (гостиницы), допущенные к работе с персональными данными Гостя и подписавшие Соглашение о неразглашении персональных данных Гостя.
3.7. Перечень сотрудников Гостиницы, имеющих доступ к персональным данным Гостей, определяется приказом руководителя.
3.8. Персональные данные Гостей в электронном виде хранятся в локальной компьютерной сети Гостиницы, в электронных папках и файлах в персональных компьютерах руководителя и сотрудников, допущенных к обработке персональных данных Гостей.
3.9. Согласие на обработку персональных данных работника (уволенного работника) подтверждается заключением трудового или гражданско-правового договора или иным способом, предусмотренным действующим законодательством. Организация вправе обрабатывать персональные данные уволенных работников без их согласия в случаях и в сроки, предусмотренные федеральным законодательством в рамках бухгалтерского и налогового учета. В т.ч. обеспечить сохранность документов, необходимых для начисления, удержания и перечисления налога в течение 4 лет; документов, связанных с организацией и ведением бухгалтерского учета (средства, обеспечивающие воспроизведение электронных документов, а также проверку подлинности электронной подписи) не менее пяти лет после года, в котором они использовались для составления бухгалтерской (финансовой) отчетности в последний раз.
Передача персональных данных третьим лицам осуществляется только в соответствии с действующим законодательством, в том числе с использованием защищенных телекоммуникационных каналов связи.
3.10. Сроки хранения документов, содержащих персональные данные субъектов, определяются в соответствии со сроком действия договора с субъектом персональных данных, Федеральным законом «Об архивном деле в Российской Федерации» № 125-ФЗ от 22.10.2004 г., сроком исковой давности, а также иными требованиями законодательства РФ. По истечении сроков хранения таких документов они подлежат уничтожению.
3.11. С целью защиты персональных данных при их обработке в информационных системах персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий с ними организацией применяются организационные и технические меры.
3.12. Персональные данные на носителях информации хранятся в служебных помещениях отель(гостиница) в условиях, исключающих ознакомление лиц, не являющихся сотрудниками с персональными данными гостя, работников (уволенных работников).
IV. Основные мероприятия по обеспечению безопасности обработки персональных данных
4.1. Организация обязана при обработке персональных данных гостей, работников (уволенных работников) принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
4.2. Для эффективной защиты персональных данных Гостей, работников (уволенных работников) соблюдается:
а) порядок получения, учета и хранения персональных данных;
б) применение технических средств охраны;
в) заключение со всеми сотрудниками, связанными с получением, обработкой и защитой персональных данных Гостей, Соглашение о неразглашении персональных данных Гостей;
г) привлечение к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных Гостя.
4.3. Допуск к персональным данным Гостей сотрудников Гостиницы, не имеющих надлежащим образом оформленного доступа, запрещается.
4.4. Документы, содержащие персональные данные Гостей, хранятся в здании администрации отеля(гостиницы), обеспечивающих защиту от несанкционированного доступа.
4.5. Технические меры защиты персональных данных в отеле (гостиницы) с использованием средств автоматизации включают в себя антивирусную защиту, разграничение прав доступа (пароли), наличие запираемых сейфов, шкафов, видеонаблюдение, иные средства защиты информации от несанкционированного доступа.
4.6. Копировать и делать выписки персональных данных Гостя разрешается исключительно в служебных целях.
V. Порядок предоставления информации, содержащей персональные данные
5.1. При обращении субъекта персональных данных (владельца этих данных или его законного представителя) или получении запроса организация безвозмездно предоставляет в срок до 30 дней с даты получения запроса или обращения персональные данные, относящиеся к субъекту персональных данных, в доступной форме, исключающей предоставление персональных данных, относящихся к другим субъектам персональных данных.
5.2. Сторонние организации и отдельные лица имеют право доступа к персональным данным субъектов персональных (гость, работников, уволенных работников) данных только, если они наделены необходимыми полномочиями в соответствии с законодательством Российской Федерации, либо на основании договоров с организацией, заключенных в связи с требованиями законодательства Российской Федерации.
5.3. Отель(гостиница) вправе предоставлять или передавать персональные данные Гостя и иные данные Гостя без согласия третьим лицам в следующих случаях:
а) если раскрытие этой информации требуется для соблюдения закона, выполнения судебного акта;
б) государственным органам, в том числе органам дознания и следствия, и органам местного самоуправления по их мотивированному запросу;
в) партнерам Отеля c целью выполнения договорных обязательств перед Гостем;
г) для защиты законных прав Гостя и отеля(гостиницы).
д) в иных случаях, прямо предусмотренных действующим законодательством РФ;
е) для защиты законных прав Гостя и Отеля.
VI. Обязанности отеля (гостиницы) при обработке персональных данных
6.1. Отель (гостиница) обязана:
6.1.1. Осуществлять обработку персональных данных Гостей исключительно в целях оказания законных услуг Гостям.
6.1.2. Получать персональные данные Гостя непосредственно у него самого. Если персональные данные Гостя возможно получить только у третьей стороны (законные представители, юридические лица), то Гость должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники отеля (гостиницы) должны сообщить Гостям о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Гостя дать письменное согласие на их получение.
6.1.3. Не получать и не обрабатывать персональные данные Гостя о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом.
6.1.4. Предоставлять доступ к своим персональным данным Гостю или его законному представителю при обращении либо при получении запроса, содержащего номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. Сведения о наличии персональных данных должны быть предоставлены Гостю в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
6.1.5. Ограничивать право Гостя на доступ к своим персональным данным, если:
а) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
б) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
в) предоставление персональных данных нарушает конституционные права и свободы других лиц.
6.1.6. Обеспечить хранение и защиту персональных данных Гостя от неправомерного их использования или утраты.
6.1.7. В случае выявления недостоверных персональных данных или неправомерных действий с ними, при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных Гостиница обязана осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
6.1.8. В случае подтверждения факта недостоверности персональных данных Гостиница на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
6.1.9. В случае выявления неправомерных действий с персональными данными Гостиница в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Гостиница обязана уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
6.1.10. Не осуществлять трансграничную передачу персональных данных гостя, работников, уволенных работников.
VII. Права гостя, работника, уволенного работника
7.1. Гость, работник, уволенный работник имеет право:
а) на доступ к информации о самом себе, в том числе содержащей информацию подтверждения факта обработки персональных данных, а также цель такой обработки;
б) на получение информации о способах обработки персональных данных, применяемые организацией;
в) получать сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
г) на получение информации о перечне обрабатываемых персональных данных и источнике их получения, сроки обработки персональных данных, в т.ч. сроки их хранения;
д) информацию о сведениях, какие юридические последствия для гостя, работника, уволенного работника может повлечь за собой обработка его персональных данных;
7.2. Гарантируется запрет на распространение персональных данных гостя, работника, уволенного работника без его согласия;
7.3. Гость, работник, уволенный работник вправе требовать изменения, уточнения, уничтожения информации о самом себе.
VIII. Конфиденциальность персональных данных гостей, работников, уволенных работников
8.1. Сведения о персональных данных гостей, работников, уволенных работников являются конфиденциальными.
8.2. Организация обеспечивает конфиденциальность персональных данных и обязана не допускать их распространения третьим лицом без согласия гостей, работников, уволенных работников либо наличия иного законного основания.
8.3. Лица, имеющие доступ к персональным данным гостей, работников, уволенных работников обязаны соблюдать режим конфиденциальности. В связи с режимом конфиденциальности к информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.
8.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных гостей, работников, уволенных работников распространяются на все носители информации, как на бумажные, так и на автоматизированные.
8.5. Режим конфиденциальности персональных данных снимается в случае обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
IX. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных.
9.1. Отель(гостиница) несет ответственность за персональную информацию, которая находится в ее распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.
9.2. Каждый сотрудник, получающий для работы документ, содержащий персональные данные Гостя, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
9.3. Любое лицо может обратиться к сотруднику отеля (гостиницы) с жалобой на нарушение данного Положения. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в трехдневный срок со дня поступления, установленный законодательством Российской Федерации.
9.4. Сотрудники отеля (гостиницы) обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Гостей, а также содействовать исполнению требований компетентных органов.
9.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Гостей, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
9.6. Перечень лиц, ответственных за реализацию мер, по сохранности персональных данных Гостей, исключающих несанкционированный к ним доступ определяется приказом руководителя.
9.7. Гость, работник, уволенный работник несет ответственность за передачу заведомо недостоверных персональных данных, или персональных данных, которые гость, работник, уволенный работник не имеет права передавать, в соответствии с действующим законодательством Российской Федерации.
X. Заключительные положения
10.1. Настоящая Политика вступает в силу с момента ее утверждения руководителем ООО «ЭЛЛЕ» и действует бессрочно, до замены новой Политикой.
10.2. Настоящая Политика подлежит корректировке в случае изменения законодательства Российской Федерации, регулирующих органов в области защиты персональных данных, внутренних документов отеля(гостиницы) в области защиты конфиденциальной информации. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения руководителем.
10.3. В случае изменения законодательства Российской Федерации в области защиты персональных данных, нормы Политики, противоречащие законодательству, не применяются до приведения их в соответствие.
10.4. Действующая редакция Политики хранится по адресу: 193312, г. Санкт-Петербург, ул. Коллонтай, д. 32, корп. 2, лит. А, пом. 1-С и размещена на сайте www.elehotel.ru .
XI. Контактная информация отеля (гостиницы)
11.1. Телефон: +7-921-915-65-27
11.2. E-mail: ellehotels@mail.ru
11.3. Адрес: Санкт-Петербург, ул. Коллонтай, д. 32, корп. 2 литер А
11.4. Сайт: www.elehotel.ru