1.1. 本数据处理政策适用于沃尔纳酒店有限责任公司(以下简称经营商),纳税人识别号:5256043997,位于:603004,下诺夫哥罗德,列宁大街98号,是根据2006年7月27日第152-FZ号 "关于个人数据 "的联邦法律(以下简称--《个人数据法》)第18.1条第一部分第2款制定的,以保护个人和公民在处理其个人数据时的权利和自由,包括保护隐私权、个人和家庭秘密的权利。
1.2 .本政策适用于沃尔纳酒店有限责任公司所处理的所有个人数据。
1.3. 本政策适用于本政策批准之前和之后与经营商产生的个人数据处理。
1.4. 根据《个人数据法》第18.1(2)条的要求,本政策应在信息和电信网络互联网上公开公布在运营商的网站
www.volnahotel.ru。
1.5. 本政策使用以下基本术语:- 个人数据是与直接或间接识别或可识别的自然人(个人数据主体)有关的任何信息;
- 个人数据运营商(经营者)--国家机关、市政当局、法律实体或个人,独立或与其他人一起安排和/或执行个人数据的处理,以及确定个人数据处理的目的、待处理的个人数据的组成、使用个人数据进行的行动(操作);
- 个人数据的处理 - 任何行动(操作)或一组行动(操作)与个人数据一起进行,无论是否使用自动化。个人数据的处理包括但不限于:
- 收集、记录、系统化、积累、存储、澄清(更新、更改)、提取、使用、传输(分发、提供、访问)、去个性化、阻止、删除、销毁个人数据。
- 个人数据的自动处理——使用计算机技术处理个人数据;
- 传播个人数据——旨在向无限范围的人披露个人数据的行为;
- 提供个人数据 - 旨在向特定人或特定人群披露个人数据的行为;
- 个人数据的封锁——暂时中止个人数据的处理(除非处理是澄清个人数据所必需的);
- 销毁个人数据 - 导致无法在个人数据信息系统中恢复个人数据内容和(或)因此销毁个人数据的物质载体的行为;
- 个人数据的去个性化 - 在不使用额外信息的情况下,无法确定特定个人数据主体的身份的行为;
- 个人数据信息系统 — 数据库中包含的全部个人数据以及处理这些数据的信息技术和技术手段;
- 个人数据的跨境传输 - 将个人数据传输到外国领土给外国当局、外国个人或外国法律实体。
1.5 经营商的基本权利和义务:
1.5.1. 沃尔纳酒店作为个人数据运营商有权:
- 自己确定必要和足够的措施的组成和清单,以确保履行《个人数据法》和根据该法通过的条例规定的义务,除非《个人数据法》或其他联邦法律另有规定。
- 在个人数据主体同意的情况下,将个人数据的处理委托给另一个人,除非联邦法律另有规定,根据与该人达成的协议。代表经营商处理个人数据的人有义务遵守《个人数据法》规定的个人数据处理原则和规则,遵守个人数据的保密性,采取必要措施,以确保履行《个人数据法》规定的义务;
- 如果个人数据主体撤回对个人数据处理的同意,经营商有权根据《个人数据法》中规定的理由,在未经个人数据主体同意的情况下继续处理个人数据。
1.5.2. 运营商有义务:- 根据个人数据法的要求组织个人数据的处理;
- 根据《个人资料法》的要求,回应个人资料主体及其法律代表的要求和查询;
- 根据主管部门的要求,在收到要求之日起10个工作日内将必要的信息通知保护个人数据主体权利的主管部门(联邦通信、信息技术和大众传媒监督局(俄罗斯通信管理局))。该期限可以延长,但不得超过五个工作日。为了做到这一点,运营商必须向俄罗斯通信管理局提供一份合理的通知,说明延长提供所需信息的期限的原因;
- 根据安全领域授权的联邦执行机构确定的程序,确保与国家系统互动,检测、预防和消除对俄罗斯联邦信息资源的计算机攻击后果,包括向其通报导致非法转移(提供、分发、访问)个人数据的计算机事件。
1.5.3 经营商承诺不做仅基于自动处理而产生与个人数据主体有关的法律后果或影响其权利和合法利益的决定。1.6 个人信息主体的权利和义务1.6.1 为了保护本公司所持有的个人数据,个人数据的主体有权:- 接收有关其个人数据处理的信息,除非联邦法律另有规定。信息由经营商以可获取的形式提供给个人数据主体,并且不得包含与其他个人数据主体有关的个人数据,除非有合法理由披露此个人数据。《个人数据法》中规定了信息清单和获取信息的程序;
- 如果个人数据不完整、过时、不准确、非法获得或对所声明的处理目的没有必要,要求经营商澄清、阻止或销毁个人数据,并采取法定措施保护其权利;
- 事先同意为营销商品、工程和服务的目的处理个人数据;
针对运营商在处理其个人数据时的非法行为或不采取行动为向俄罗斯通信管理局或法庭提出上诉。
1.6.2 运营商员工在个人数据方面的义务:- 在法律或合同规定的情况下,向公司传输包含个人数据的可靠文件;
- 不提供虚假的个人数据,如果个人数据发生变化、错误或不准确(姓氏、居住地等),应立即通知运营商。
1.7. 本政策要求的遵守情况应由在经营商方负责组织个人数据处理的授权人监督。1.8. 违反俄罗斯联邦法律和沃尔纳酒店有限责任公司关于处理和保护个人数据的规定的责任,根据俄罗斯联邦法律确定。 2.1 对个人数据的处理仅限于实现具体的、预先确定的和合法的目标。不允许处理与收集个人数据的目的不相符的个人数据。2.2. 只有符合处理目的的个人数据才可以被处理。2.3. 个人数据的处理将用于以下目的:2.3.1. 按照《沃尔纳酒店有限责任公司章程》开展活动,包括:- 经营一家带餐厅的酒店;
- 识别之签订酒店服务合同的人员;
- 在酒店住宿地点登记公民;
- 遵守俄罗斯在移民登记领域的立法。
- 与承包商签订和执行合同
2.3.2 在就业和其他直接相关关系的框架内执行劳动法,包括:协助雇员寻找工作,获得教育和晋升,吸引和选择候选人加入运营商,确保雇员的人身安全,控制工作的数量和质量,确保财产安全、 保持人事和会计记录,填写并向授权机构提交所需的报告表,组织雇员在强制性养老保险和强制性社会保险系统中登记为个人(个性化)会计2.3.3. 根据俄罗斯联邦关于执行程序的立法, 司法诉讼、其他机构或官员诉讼的执行。2.4 经营商应根据以下原则处理客户、经营商的员工和其他与经营商未有雇佣关系的个人数据主体的个人数据:2.4.1 个人数据的处理在合法和公平的基础上进行;2.4.4 只有符合其处理目的的个人数据才会被处理;
2.4.5 处理的个人数据的内容和范围符合声明的处理目的。所处理的个人数据相对于所声明的处理目的而言,不得过度;
2.4.6 在处理个人数据时,应确保个人数据的准确性、充分性以及必要时与个人数据处理目的的关联性。公司采取必要措施或确保采取必要措施删除或澄清不完整或不准确的个人数据;
2.4.7 个人数据的存储形式应使其能够识别个人数据主体的时间不超过个人数据处理目的的要求,除非联邦法律、个人数据主体为一方的协议、受益人或个人数据主体为一方的担保人规定了个人数据的存储期限;
2.4.8 处理的个人数据在达到处理目标或失去实现此目标的需要时被销毁或去个性化,除非联邦法律另有规定
2.5.员工个人数据的处理仅可用于确保遵守法律和其他监管法律行为的目的。
4.1 公司处理的个人数据的范围应根据俄罗斯联邦的立法和运营商的地方法规确定,并应考虑到本政策第2条规定的个人数据处理目的。所处理的个人数据相对于所声明的处理目的而言,不得过度。
4.2 本公司不处理与种族、民族、政治观点、宗教或哲学信仰、健康或私生活有关的特殊类别的个人数据。本公司不处理生物识别的个人数据。
4.3 本公司处理以下类别主体的个人资料:- 入住酒店时的个人(客户)、潜在客户、网站用户;
- 候选人、员工、员工的亲属、之前与运营商有劳动关系的人员、运营商的人员储备人员、民法合同下的个人;
- 交易对手 - 交易对手(法人实体)的个人、代表和工作人员。
4.3.1 处理的酒店客人的个人数据量:- 姓氏、名字、父名、日期、出生地、性别、公民身份、地址、身份证件、电话号码。对于外国公民,要填写确定在俄罗斯联邦居留权的文件类型、系列和号码:签证、居留证、临时居留登记、移民卡上的信息:系列、号码、检查站、抵达俄罗斯联邦的目的、居留期、过境日期和以前在俄罗斯联邦居留的地址。
处理酒店住宿人员个人数据的目的:
- 经营一家带餐厅的酒店;
- 识别之签订酒店服务合同的人员;
- 在居住地登记公民;
- 遵守俄罗斯在移民登记领域的立法。
入住酒店时,与客户签订“合同 - 登记卡”,其中包含客户同意处理其个人数据的条款。加工方式:非自动化,混合。
处理时间:客人入住结束后 3(三)年内,除非法律另有规定。
保留期:直到按照本政策第6.5条的规定销毁。
销毁程序:按照本政策第6.5条。
处理这些主体的个人数据的程序是根据经营商的内部规范性文件确定的,此规范性文件管理其法定目标的实施和俄罗斯联邦的立法。
4.3.2. 酒店网站 www.volnahotel.ru 处理用户个人数据的范围和程序: 在www.volnahotel.ru,通过使用在线预订服务 "TralevelLine "的软件服务(网站上的模块)进行预订。确认预订时,客人同意处理其个人数据,并同意用户协议和 TravelLine 隐私政策。网站客户个人数据处理范围:
- 姓氏、名字、父名、电话号码、电子邮件地址、公民身份、预订房间的日期、到达和离开时间。使用信用卡付款时 - 信用卡详细信息。
- 访问网站时,即使未进行预订,运营商也可能会收集某些信息,例如使用的浏览器、IP 地址编号、操作系统类型、位置、查看的页面。收到的信息与您留在网站上的数据无关。无法从自动获取的数据中识别用户身份。
处理网站用户个人数据的目的:
- 进行预订:运营商收集和使用个人数据来处理客人的请求、进行预订、就澄清或更改预订提供快速和高质量的建议,以及与预订和行使客人对酒店服务的权利直接相关的其他行动.
- 酒店提供的其他服务运营商除了提供酒店服务外,还提供多项其他服务(安排餐饮、宴会等)。
- 奖金和优惠。客人提供的信息可能被用于生成独家的个性化优惠,以及奖励计划的积分。
- 营销。运营商可以使用提供的联系信息发送新闻、促销和特别优惠(在客人同意接收此类信息的情况下)。本网站和登记卡协议书规定,客人同意接受通讯、促销活动和特别优惠。本政策并不构成对上述材料的接受,只有当客人在网站上预订时完成某些步骤(勾选:"我同意通过电子邮件和短信接收特别优惠和酒店新闻的信息 "和/或完成协议--入住时发放的登记卡时,酒店才会获得。如果客人取消订阅通讯或未勾选方框,客人的电子邮件地址将立即从收件人名单(邮寄名单)中删除。酒店在收到客人要求从酒店收到之日起终止处理其个人数据的书面请求后,应立即采取这一行动(从邮件列表中删除),并且客人有权拒绝酒店处理其全部或部分数据。自动收集的数据、cookies和客人在www.volnahotel.ru 上留下的信息可用于选择个性化的广告。
- 提高酒店服务质量。退房后可以给客人发信,请他们反思对酒店的印象。
加工方式:非自动化,混合。
处理时间:在同意处理的有效期内。
保留期:直到按照本政策第6.5条的规定销毁。
销毁程序:按照本政策第6.5条。
客人的银行卡数据将在客人离开之日起 10 天内无条件删除。酒店接待和销售部门的员工被授权处理网站访问者的个人数据。 4.3.3.运营商员工处理的个人数据量:公司处理以下类别的员工个人数据:
- 出生年月日;出生地;地面;国籍; 纳税人识别号;个人账户保险号;地址(居住地、注册地)、教育、职业;部门;职称; 身份证明文件的详细信息;军事记录;有关残疾的信息(是/否);家庭状况; 有关家庭组成的信息(亲等、全名、出生日期);收入; 有关劳动活动的信息;工资账户号码。
处理运营商员工个人数据的目的:
- 维护人事记录;员工工作时间的核算;雇员工资的计算;税务会计; 维护军事记录;向国家机构提供规范的报告;员工的强制和自愿医疗保险;为员工预订和支付机票和酒店房间;档案数据存储;协助员工就业、培训、使用各种福利。
营商员工个人数据的接收和处理应专门用于上述目的。为实现上述目标所必需的接收个人数据将根据劳动法和运营商关于人事记录管理和会计的内部监管文件的要求反映在员工的个人档案中。
加工方式:非自动化,混合。
处理时间:根据法律要求。
保留期:直到按照本政策第6.5条的规定销毁。
销毁程序:按照本政策第6.5条。
4.3.4 民法合同项下的个人、交易对手方——个人和交易对方(法人)的代表和员工的个人数据。全名; 出生地点和日期; 护照数据;居住地的注册地址;联系方式; 可替换的职位;个人纳税人识别号;当前帐号;客户和承包商(个人)为签订和执行合同所必需的其他个人数据
处理特定主体个人资料的目的:
- 运营商法定目标的实施;
- 根据俄罗斯联邦的法律进行交易。
加工方式:非自动化,混合。
处理时间:在合同期限内和合同终止之日起 3(三)年内,除非法律另有规定。
保留期:直到按照本政策第6.5条的规定销毁。
销毁程序:按照本政策第6.5条。
4.4.本政策第4.3条所列各类主体的个人资料的构成,应根据第3条所列的规定以及运营商为执行此规定而发布的规定来确定。
4.5.在适用法律规定的情况下,个人资料的主体决定向本公司提供他/她的个人资料,并自由地、自愿地和为了自己的利益同意此资料的处理。
4.6.运营商确保处理的个人资料的内容和范围符合声明的处理目的,并在必要时采取措施消除其与所述处理目的有关的多余部分。
4.7.运营商对生物识别个人数据(表征个人生理和生物特征的信息,在此基础上可以确定其身份)的处理是根据俄罗斯联邦法律进行的。
5.1.个人数据的处理由运营商根据俄罗斯联邦法律的要求进行。
5.2.个人数据的处理是在个人数据主体同意的情况下进行的,也有在俄罗斯联邦法律规定的情况下未经同意的情况。
5.3. 运营商通过以下方式为每个处理目的处理个人数据:- 手动处理个人数据;
- 自动处理个人数据,无论是否通过信息和电信网络传输接收到的信息;
- 个人数据的混合处理。
5.4. 允许工作职责包括处理个人数据的经营商的员工处理个人数据。5.5. 为政策第2.3点中规定的每个处理目的而进行的个人数据处理应通过以下方式进行:- 直接从个人资料主体获取口头和书面形式的个人资料;
- 将个人数据输入经营者的登记册、登记簿和信息系统;
- 使用其他方法处理个人数据。
5.6.未经个人资料主体同意,不得向第三方披露和分发个人资料,联邦法律另有规定的除外。经个人数据主体授权分发的个人数据处理同意书应与个人数据主体对其个人数据处理的其他同意书分开正式确定。2021年2月24日的俄罗斯通信管理局第18号命令批准了允许个人数据主体传播的同意处理个人数据的内容要求。
5.7.向调查机构、联邦税务局、俄罗斯社会基金和其他授权执行机构和组织传输个人数据根据俄罗斯联邦法律的要求进行。
5.8. 经营者应采取必要的法律、组织和技术措施,保护个人数据免遭未经授权或意外的访问、破坏、修改、封锁、分发和其他未经授权的行为,包括:- 确定在处理过程中对个人数据安全的威胁;
- 通过地方法规和其他文件,规范个人数据处理和保护领域的关系;
- 任命负责确保运营商结构部门和信息系统中个人数据安全的人员;
- 为处理个人数据创造必要条件;
- 组织包含个人数据的文件的核算;
- 在处理个人数据的信息系统中组织工作;
- 在确保个人数据安全并排除未经授权访问的条件下存储个人数据;
- 为处理个人数据的运营商员工组织培训。
5.9.经营者应以能够识别个人数据主体的形式存储个人数据,其时间不超过每个个人数据处理目的所需的时间,除非联邦法律或合同规定了个人数据的存储期限。
5.9.1."沃尔纳酒店“有限责任公司在俄罗斯联邦档案法(2004年10月22日第125-FZ号联邦法《俄罗斯联邦档案法》,国家机关、地方政府和组织活动期间形成的标准管理档案文件清单,并注明其保存期限)规定的文件保存期限内保存纸质个人数据。(2019年12月20日由第236号俄罗斯联邦国家档案局命令批准)。
5.9.2.在个人数据信息系统中处理的个人数据的存储期限对应于纸质个人数据的存储期限。
5.10. .在以下情况下,运营商将停止处理个人数据:- 个人数据被不适当地处理的事实已被发现。截止日期——自发现之日起三个工作日内;
- 处理目的已达到;
- 个人数据主体对该数据处理的同意已经过期或被撤销,而根据《个人数据法》,该数据的处理只允许在同意的情况下进行。
5.11. 在达到处理个人数据的目标后,以及在个人数据主体撤回对其处理的同意的情况下,如果出现以下情况,运营商将停止处理此数据:- 除非个人数据主体为一方、受益人或担保人的协议中另有规定;
- 经营者不得以《个人数据法》或其他联邦法律规定的理由,未经个人数据主体同意进行处理;
- 运营商与个人数据主体之间的其他协议未另行规定。
5.12.当个人数据主体在经营者收到请求后不超过10个工作日内联系经营者要求终止个人数据处理时,个人数据的处理就会终止,但《个人数据法》规定的情况除外。规定的期限可以延长,但不得超过五个工作日。为此,运营商必须向个人数据主体发送合理的通知,说明延长期限的原因。
5.13.在收集个人数据时,包括通过互联网信息和电信网络,运营商确保使用位于俄罗斯境内的数据库记录、系统化、积累、存储、澄清(更新、更改)、检索俄罗斯联邦公民的个人数据俄罗斯联邦,个人数据法规定的情况除外。
6.1. 经营者应在个人数据主体或其代表提出要求或收到要求后10个工作日内向个人数据主体或其代表确认经营者处理个人数据的事实、法律依据和个人数据处理的目的, 以及《个人数据法》第14(7)条规定的其他信息 。该期限可以延长,但不得超过五个工作日。为此,运营商应向个人数据主体发送合理的通知,说明延长提供所要求信息期限的原因。所提供的信息不包括与其他个人资料主体相关的个人资料,除非有披露此类个人资料的法律依据。
请求必须包含:
- 证明个人资料主体或其代理人身份的主要文件编号、该文件的签发日期及签发机关;
- 确认个人数据主体参与与运营商关系的信息(合同号、合同签订日期、有条件的口头指定和(或)其他信息),或以其他方式确认运营商处理个人数据的事实的信息;
- 个人信息主体或其代表的签名。
该请求可以电子文件的形式发送,并根据俄罗斯联邦的法律使用电子签名进行签名。
经营者应向个人资料当事人或其代表提供《个人资料法》第14(7)条规定的信息,并以相关申请或请求的形式发送,除非申请或请求中另有规定。
如果个人数据主体的申请(请求)没有按照《个人数据法》的要求包括所有必要的信息,或者主体没有权利获取所要求的信息,将发出合理的拒绝。
根据《个人数据法》第14条第8款,个人数据主体对其个人数据的访问权可能受到限制,包括个人数据主体对其个人数据的访问侵犯了第三方的权利和合法利益。
6.2.如果个人数据主体或其代表在申请或接到俄罗斯通信管理局的请求时发现个人数据不准确,那么运营商应该在此申请或请求接收后暂停与该个人数据主体相关的个人数据,以便进行核实。如果该个人数据的暂停不会侵犯该个人数据主体或第三方的权益和合法利益,则暂停期间应该进行核实。
如果确认个人数据不准确的事实,运营商根据个人数据主体或其代表或俄罗斯通信管理局提供的信息,或其他必要文件,自提交之日起七个工作日内澄清个人数据此类信息并解除对个人数据的封锁。
6.3.如果在个人数据主体或其代表或俄罗斯通信管理局的申请(要求)下发现非法处理个人数据,经营商应从该申请或要求的时刻起阻止与该个人数据主体有关的非法处理的个人数据。
6.4. 如果运营商、俄罗斯通信管理局或其他利害关系人披露了非法或意外传输(提供、分发)个人数据(访问个人数据)的事实,导致侵犯了个人数据主体的权利,则运营商:- 在 24 小时内 - 将事件通知 俄罗斯通信管理局,导致侵犯个人数据主体权利的所谓原因,对个人数据主体权利造成的所谓损害,以及为消除事件后果而采取的措施,还提供有关经运营商授权就事件相关问题与 俄罗斯通信管理局互动的人员的信息;
- 在 72 小时内 - 通知俄罗斯通信管理局对检测到的事件的内部调查结果,并提供有关其行为导致该事件的人员的信息(如有)。
6.5. 运营商销毁个人数据的程序。6.5.1. 运营商销毁个人数据的条件和条款:- 达到处理个人数据的目的或失去实现此目的的必要性 - 30 天内;
- 达到包含个人数据的文件的最长存储期限 - 30天内;
- 个人数据的主体(其代表)确认个人数据是非法获得的或对于规定的处理目的不是必需的 - 七个工作日内;
- 如果不再需要为处理目的保留其个人数据,则由数据主体撤回其对处理的同意 - 30天内。
6.5.2. 在达到处理个人数据的目的后,以及在个人数据主体撤回对其处理的同意的情况下,如果出现以下情况,个人数据将被销毁:- 除非个人数据主体为一方、受益人或担保人的协议中另有规定;
- 经营者不得以《个人数据法》或其他联邦法律规定的理由,未经个人数据主体同意进行处理;
- 运营商与个人数据主体之间的其他协议未另行规定。
6.5.3.个人数据的销毁由沃尔纳酒店总经理命令设立的委员会执行。
6.5.4.运营商当地法规规定了销毁个人数据的方法。
6.6. 如果“沃尔纳酒店”有限公司持有的客人的个人数据未经更新,“沃尔纳酒店”有限公司将根据客人的要求进行更新。此类更新请求以及阻止和销毁个人数据的请求,客人有权发送至酒店的电子邮件 welcome@volnahotel.ru,或通过俄罗斯邮政地址:603004, Nizhny Novgorod, Lenin 98 号大道在向“沃尔纳”酒店发送正式请求时,您必须指定: - 姓氏、名字、父名;
- 证明个人数据主体或其代表身份的主要文件的编号、特定文件的签发日期和签发机构的信息;
- 确认客人使用本网站的信息或以其他方式确认“沃尔纳”酒店处理个人数据的信息(例如,在酒店预订房间时)。
该请求由公民(或其法定代表人)签名提出。如果请求以电子方式发送,则必须根据俄罗斯联邦法律的要求以电子文件的形式执行。