1.1. Настоящая Политика обработки персональных данных ООО "Гостиница «Волна» (далее – Оператор), ИНН 5256043997, расположенного по адресу: 603004, г. Нижний Новгород, пр-т. Ленина д. 98, разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор с ограниченной ответственностью "Гостиница «Волна» 1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора www.volnahotel.ru.1.5. В Политике используются следующие основные термины:- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
- сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.1.5 Основные права и обязанности Оператора:1.5.1. ООО «Гостиница «Волна» как оператор персональных данных имеет право:- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.5.2. Оператор обязан:- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
- в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
1.5.3 Оператор обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы.1.6 Права и обязанности субъектов персональных данных1.6.1 В целях защиты своих персональных данных, хранящихся в Обществе, субъект персональных данных имеет право:- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
- требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
- обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
1.6.2 Обязанности работников Оператора в отношении персональных данных:- в случаях, предусмотренных законом или договором, передавать Обществу достоверные документы, содержащие персональные данные;
- не предоставлять недостоверные персональные данные, а в случае изменений в персональных данных, обнаружения ошибок или неточностей в них (фамилия, место жительства и т. д.), незамедлительно сообщить об этом в Оператор.
1.7. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.1.8. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО "Гостиница «Волна» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации. 2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.2.3. Персональные данные обрабатываются в целях:2.3.1. Осуществление своей деятельности в соответствии с уставом ООО "Гостиница Волна", в том числе:- Осуществления деятельности гостиницы с рестораном;
- Идентификации лиц, с которыми заключается договор на оказание гостиничных услуг;
- Регистрации граждан по месту пребывания в гостинице;
- Соблюдения требований законодательства РФ в области миграционного учета.
- Заключения и исполнения договоров с контрагентами
2.3.2 исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Оператора, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухучета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования;2.3.3. Исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;2.4 Оператор осуществляет обработку персональных данных клиентов, работников Оператора и других субъектов персональных данных, не состоящих с Оператором в трудовых отношениях, в соответствии со следующими принципами:2.4.1 обработка персональных данных осуществляется на законной и справедливой основе;2.4.2 обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;2.4.3 не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;2.4.4 обработке подлежат только персональные данные, которые отвечают целям их обработки;2.4.5 содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;2.4.6 при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В Обществе принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;2.4.7 хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;2.4.8 обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 2.5. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов. 3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Политика обработки персональных данных в Обществе определяется в соответствии со следующими нормативными правовыми актами:- Конституция Российской Федерации;
- Трудовой кодекс РФ;
- Гражданский кодекс РФ;
- Налоговый кодекс РФ,
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
- Федеральный закон «О воинской обязанности и военной службе» от 28.03.1998 №53-Ф3;
- Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
- Постановление Правительства РФ от 09.10.2015 N 1085 "Об утверждении Правил предоставления гостиничных услуг в Российской Федерации"
- Федеральный закон от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
- Закон РФ от 25.06.1993 № 5242-1 «О праве граждан Российской Федерации на свободу передвижения, выбор места пребывания и жительства в пределах Российской Федерации»;
- Постановление Правительства РФ от 10.05.2010 №310 «Об утверждении Правил передачи сведений о прибытии в место пребывания и убытии из места пребывания иностранных граждан и лиц без гражданства с использованием входящих в состав сети электросвязи средств связи»;
- Постановление Правительства РФ от 17.07.1995 № 713 «Об утверждении правил регистрации и снятия граждан с регистрационного учета по месту пребывания и по месту жительства»;
- Постановление Правительства РФ от 15.01.2007 № 9 «О порядке осуществления миграционного учета иностранных граждан и лиц без гражданства в РФ»;
- Согласие субъекта персональных данных на их обработку.
- Устав ООО "Гостиница "Волна"
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти, а также локальные нормативные акты Оператора по вопросам обработки персональных данных.
3.2 В целях реализации положений Политики в Обществе разработаны соответствующие локальные нормативные акты и иные документы, в том числе:- Положение о персональных данных в ООО «Гостиница «Волна»;
- Положение «Об обработке персональных данных работников ООО «Гостиница «Волна»;
- Инструкция «О порядке регистрации гостей в ООО «Гостиница «Волна» сотрудниками Отдела приема и обслуживания»;
- Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в ИСПДн;
- иные локальные нормативные акты и документы, регламентирующие вопросы обработки персональных данных в Обществе.
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Объем персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Оператора с учетом целей обработки персональных данных, указанных в разделе 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.4.2 Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья. интимной жизни, в Обществе не осуществляется. Обработка биометрических персональных данных в Обществе не осуществляется.4.3 В Обществе обрабатываются персональные данные следующих категорий субъектов:- Физических лиц (клиентов) при поселении в гостиницу, потенциальных клиентов, пользователей сайта;
- кандидатов, работников, родственников работников, лиц ранее состоявших в трудовых отношениях с Оператором , лиц находящихся в кадровом резерве Оператора, физических лиц по договорам гражданско-правового характера;
- контрагентов – физических лиц, представителей и работников контрагентов (юридических лиц).
4.3.1 Объем обрабатываемых персональных данных лиц, поселяющихся в гостиницу:- Фамилия, Имя, Отчество, дата, место рождения, пол, гражданство, адрес, документ, удостоверяющий личность, номер телефона. Для иностранных граждан заполняется тип, серия, номер выдачи документа, определяющего право пребывания в РФ: виза, вид на жительство, регистрация временного пребывания, сведения из миграционной карты: серия, номер, КПП, цель приезда в РФ, срок пребывания, дата пресечения границы и адрес прежнего пребывания в РФ.
Цели обработки персональных данных лиц, поселяющихся в гостиницу:- Осуществления деятельности гостиницы с рестораном;
- Идентификации лица, с которым заключается договор на оказание гостиничных услуг;
- Регистрации граждан по месту пребывания;
- Соблюдения требований законодательства РФ в области миграционного учета.
При поселении в гостиницу с клиентом заключается «Договор - регистрационная карта», в котором содержатся положения, что клиент дает согласие на обработку своих персональных данных.Способы обработки: неавтоматизированная, смешанная.Срок обработки: в течение с и 3-х (Трех) лет с момента окончания проживания гостя, если иной срок не установлен законодательством. Срок хранения: до уничтожения в соответствии с п. 6.5. настоящей Политики. Порядок уничтожения: в соответствии с п. 6.5. настоящей Политики. Порядок обработки персональных данных указанных субъектов определяется в соответствии с внутренними нормативными документами Оператора, регламентирующими деятельность по реализации уставных целей, законодательством Российской Федерации4.3.2. Объем и порядок обработки персональных данных пользователей сайта гостиницы: www.volnahotel.ru: Бронирование на сайте www.volnahotel.ru осуществляется с помощью программного сервиса (модуля на сайте) интернет-бронирования «TrаvelLine». При подтверждении бронирования Гость дает согласие на обработку своих персональных данных, а также соглашается с пользовательским соглашением и политикой конфиденциальности «TrаvelLine».Объем обрабатываемых персональных данных клиента сайта:- Фамилия, Имя, Отчество, номер телефона, адрес электронной почты, гражданство, даты по бронированию номера, время прибытия и отъезда. При оплате банковской картой – данные банковской карты.
- При посещении сайта, даже если бронирование не совершается, Оператором может собираться определенная информация, как например используемый браузер, номер IP-адреса, тип операционной системы, местоположение, просматриваемые страницы. Полученная информация не связывается с данными, которые Вы оставляете на Сайте. По автоматически полученным данным невозможно установить личность пользователя.
Цели обработки персональных данных пользователей сайта:- Осуществление бронирования: Оператор собирает и использует персональные данные для обработки запросов Гостя, оформления бронирования, для быстрой и качественной консультации по уточнению или изменению бронирования, для иных действий, непосредственно связанных с бронированием и реализацией права Гостя на услуги гостиницы.
- Иные услуги, предоставляемые гостиницей Оператор помимо предоставления гостиничных услуг, предоставляет ряд иных услуг (организация питания, проведение банкетов и другие).
- Бонусы и предложения. Предоставленная Гостем информация может использоваться для формирования эксклюзивных персональных предложений, начислений баллов по бонусным программам.
- Маркетинг. Оператор может использовать предоставленную контактную информацию для направления новостей, проводимых акций и специальных предложений (с согласия Гостя на получение такой информации). Сайт и форма договора - регистрационной карты предусматривают получение согласия Гостя на рассылку новостей, информации об акциях и специальных предложениях. Ознакомление с Политикой не является согласием на рассылку вышеуказанных материалов и получается гостиницей только в случае, когда Гость осуществит определенные действия при бронировании номера на Сайте (отметит «галочкой» пункт: «Согласен получать информацию специальных предложениях и новостях отеля по e-mail и SMS» и/или при заполнении Договора - регистрационной карты выдаваемого ему при заселении. При отказе Гостя от рассылки новостей или непроставлении такой «галочки» адрес электронной почты Гостя будет немедленно удален из списка получателей (списка рассылки). Данные действия (удаление из списка рассылки) со стороны отеля осуществляются немедленно, на основании полученного от Гостя письменного заявления с просьбой прекратить обработку его персональных данных с даты получения такого заявления отелем, причем Гость вправе отказаться от обработки отелем его данных полностью или частично. Для подбора персонализированной рекламы могут использоваться автоматически получаемые данные, файлы cookie, а также информация, которую Гость оставил на сайте www.volnahotel.ru
- Улучшение качества обслуживания в гостинице. После выезда Гостю может быть направлено письмо с просьбой отразить впечатления от гостиницы
Способы обработки: неавтоматизированная, смешанная.Срок обработки: В течении срока действия согласия на обработку. Срок хранения: до уничтожения в соответствии с п. 6.5. настоящей Политики. Порядок уничтожения: в соответствии с п. 6.5. настоящей Политики.Данные банковской карты гостя подлежат безусловному удалению не позднее 10 дней с момента его выезда.К обработке персональных данных посетителей сайта допущены работники отдела приема и обслуживания и отдела продаж гостиницы. 4.3.3.Объем обрабатываемых персональных данных работников Оператора:В Обществе обрабатываются следующие категории персональных данных работников:- Число, месяц, год рождения; место рождения; пол; гражданство; ИНН; СНИЛС; адрес (места проживания, места регистрации), образование, профессия; подразделение; должность; реквизиты документа, удостоверяющего личность; данные воинского учета; сведения об инвалидности (да/нет); семейное положение; информация о составе семьи (степень родства, ФИО, дата рождения); доходы; сведения о трудовой деятельности; № зарплатного счета.
Цели обработки персональных данных работников Оператора:- ведение кадрового учета; учет рабочего времени работников; расчет заработной платы работников; ведение налогового учета; ведение воинского учета; предоставление в государственные органы регламентированной отчетности; обязательное и добровольное медицинское страхование работников; бронирование и оплата билетов и гостиничных номеров работникам; архивное хранение данных; содействие работнику в трудоустройстве, обучении, пользовании различных льгот.
Получение и обработка персональных данных работника Оператора должны осуществляться исключительно в вышеуказанных целях. Полученные персональные данные, необходимые для достижения вышеуказанных целей, отражаются в личном деле работника в соответствии с требованиями трудового законодательства и внутренних нормативных документах Оператора, регламентирующих кадровое делопроизводство и учет.Способы обработки: неавтоматизированная, смешанная. Срок обработки: в соответствии с требованиями законодательства. Срок хранения: до уничтожения в соответствии с п. 6.5. настоящей Политики. Порядок уничтожения: в соответствии с п. 6.5. настоящей Политики.4.3.4 Персональные данные физических лиц по договорам гражданско-правового характера, контрагентов – физических лиц и представителей и работников контрагентов (юридических лиц).фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; контактные данные; замещаемая должность; индивидуальный номер налогоплательщика; номер расчетного счета; иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.Цели обработки персональных данных указанных субъектов:- реализация уставных целей Оператора;
- осуществление сделок в соответствии с законодательством Российской Федерации.
Способы обработки: неавтоматизированная, смешанная. Срок обработки: в течение срока действия договоров и 3-х (Трех) лет с момента прекращения их действия, если иной срок не установлен законодательством. Срок хранения: до уничтожения в соответствии с п. 6.5. настоящей Политики. Порядок уничтожения: в соответствии с п. 6.5. настоящей Политики.4.4. Состав ПДн каждой из перечисленных в п. 4.3. настоящей Политики категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3, а также нормативным документам Оператора, изданным для обеспечения их исполнения.4.5. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его ПДн Обществу и дает согласие на их обработку свободно, своей волей и в своем интересе.4.6. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки. 4.7. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации. 5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.5.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.5.5. Обработка персональных данных для каждой цели обработки, указанной в п. 2.3 Политики, осуществляется путем:- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.5.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.5.9.1. Персональные данные на бумажных носителях хранятся в ООО «Гостиница «Волна» в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).5.9.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.5.10. Оператор прекращает обработку персональных данных в следующих случаях:- выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;
- достигнута цель их обработки;
- истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
5.11. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
5.12. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.5.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных. 6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.Запрос должен содержать:- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.6.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:- в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.5. Порядок уничтожения персональных данных Оператором.6.5.1. Условия и сроки уничтожения персональных данных Оператором:- достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
- достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
6.5.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
6.5.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО «Гостиница «Волна».6.5.4. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.6.6. Если персональные данные Гостя, которыми располагает ООО «Гостиница «Волна»», уже не актуальны, ООО «Гостиница «Волна» обновит их по запросу Гостя. Такие запросы на обновление, а также запросы на блокировку и уничтожение персональных данных Гость вправе направить на электронную почту отеля welcome@volnahotel.ru, либо почтой России по адресу: 603004, г. Нижний Новгород, пр.т Ленина д. 98При направлении официального запроса в ООО «Гостиница «Волна»» необходимо указать: ∙ Фамилия, Имя, Отчество; ∙ номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; ∙ сведения, подтверждающие, что Гость пользовался Сайтом либо сведения, иным способом подтверждающие факт обработки персональных данных ООО «гостиница «Волна» (например, при бронировании номера непосредственно в гостинице). Запрос составляется за подписью гражданина (или его законного представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа в соответствии с требованиями законодательства Российской Федерации. 7. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ ГОСТЕЙ
7.1. Сведения о персональных данных гостя (клиента), являются конфиденциальными.
7.2. Гостиница обеспечивает конфиденциальность персональных данных и обязана не допускать их распространения третьими лицами без согласия гостя либо наличия иного законного основания.
7.3. Лица, имеющие доступ к персональным данным гостей, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.
7.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиентов распространяются на все носители информации как на бумажные, так и на автоматизированные.
7.5. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Гостиница несет ответственность за персональную информацию, которая находится в ее распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.
8.2. Каждый сотрудник, получающий для работы документ, содержащий персональные данные Клиента, несет единоличную ответственность за сохранность носителя конфиденциальной информации.
8.3. Любое лицо может обратиться к сотруднику Гостиницы с жалобой на нарушение данной Политики. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в трехдневный срок со дня поступления.
8.4. Сотрудники Гостиницы обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Клиентов, а также содействовать исполнению требований компетентных органов.
8.5 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.