Главная
Номера
ОТДЫХ
ЭКСКУРСИИ
КОНТАКТЫ
Бронировать
+7(988) 647-77-16
Пляжный отдыхна Каспийском море
и экскурсиипо Дагестану
Забронировать

ПОЛИТИКА ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения


1.1. Настоящий документ (далее - Политика) является локальным нормативным актом Общества с ограниченной ответственностью «Виктория отель энд СПА» (далее Оператор), принятым с учетом требований законодательства Российской Федерации, в частности, Трудового кодекса РФ, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) и определяет политику Оператора в отношении обработки персональных данных (далее - ПДн).

1.2. В Политике используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных. В том числе:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

 Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

 Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

 Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.

Обработка персональных данных включает в себя, в том числе сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

1.3. Актуальная версия Политики опубликована на официальном сайте Оператора в сети интернет https://victoriadagestan.ru/.

 1.4. Обработка персональных данных Оператором осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.

1.5. Обработка персональных данных прекращается:

 - по истечении срока, предусмотренного законом, договором, или согласием субъекта персональных данных на обработку его персональных данных; - при достижении целей обработки ПДн;

- при отзыве субъектом ПДн согласия на обработку его ПДн и отсутствии правовых оснований для продолжения обработки, предусмотренных законом; - прекращение деятельности Оператора, без назначения правопреемника.


2. Принципы обработки персональных данных


 2.1. При обработке персональных данных Оператором соблюдаются следующие принципы обработки:

 - обработка ПДн осуществляется на законной и справедливой основе;

- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;

- при обработке ПДн обеспечивается их конфиденциальность и безопасность;

 - не допускается обработка ПДн, несовместимая с целями сбора ПДн;

 - не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

 - обработке подлежат только ПДн, которые отвечают целям их обработки;

- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;

- при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн, принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн;

- хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, согласием на обработку ПДн, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;

 - обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

 - обработка ПДн не используется в целях причинения имущественного и/или морального вреда субъектам ПДн, затруднения реализации их прав и свобод;

- деятельность в области обработки и защиты ПДн документируется.


3. Цели обработки персональных данных


3.1. В соответствии с принципами обработки ПДн Оператором определен состав обрабатываемых ПДн и цели их обработки. Состав и цели обработки ПДн соответствуют требованиям законодательства РФ в области обработки и защиты ПДн.

 3.2. Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных.

3.3. Оператор при обработке ПДн преследует исключительно те цели, которые были определены перед началом сбора данных.

 3.4. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности, а также деятельности, которая предусмотрена учредительными документами Оператора, и конкретных бизнес-процессов Оператора в конкретных информационных системах персональных данных (по структурным подразделениям Оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3.5. К целям обработки персональных данных Оператора относятся:

 - ведение кадрового и бухгалтерского учета; - продвижение товаров, работ, услуг на рынке; - обеспечение соблюдения трудового законодательства РФ;

 - подготовка, заключение и исполнение гражданско-правовых договоров;

- подбор персонала (соискателей) на вакантные должности Оператора;

- исполнение Оператором обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами.


4. Правовые основания обработки персональных данных


4.1. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, на основании и с соблюдением положений следующих документов (в их актуальной версии):

 - Конституция Российской Федерации;

 - Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;

 - Гражданский кодекс Российской Федерации от 30.11.1994 № 51-ФЗ (часть первая), от 26.01.1996 № 14-ФЗ (часть вторая);

 - Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ (часть первая), от 05.08.2000 № 117-ФЗ (часть вторая);

- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

 - Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

 - Федеральный закон от 27.11.1992 № 4015-1 «Об организации страхового дела в Российской Федерации»;

- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

 - Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

- Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

- Федеральный закон от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;

- Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;

- Постановление Государственного комитета РФ по статистике от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;

 - Постановление Правительства Российской Федерации от 09.10.2015 № 1085 «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации»;

- Устав ООО «Виктория отель энд СПА»;

- договоры, заключаемые между Оператором и субъектами персональных данных;

 - договор с контрагентом;

- гражданско-правовой договор с субъектом;

- договор о практической подготовке / стажировке;

 - соглашение о практической подготовке / стажировке;

- согласие субъектов персональных данных на обработку их персональных данных в случаях, предусмотренных действующим законодательством Российской Федерации;

- обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

 - обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;

- согласие на обработку ПДн, разрешенных для распространения;

- инициатива субъекта персональных данных в целях заключения с ним трудового договора.


5. Категории субъектов, персональные данные которых обрабатываются:


 5.1. Для достижения целей обработки персональных данных Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных:

 - работники Оператора, родственники работников, бывшие работники, кандидаты на замещение вакантных должностей;

 - клиенты;

- контрагенты;

 - представители / работники клиентов и контрагентов Оператора (юридических лиц); - посетители сайтов Оператора;

 - выгодоприобретатели по договорам;

 - иные лица, персональные данные которых Оператор обязан обрабатывать для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.


6. Объем и категории обрабатываемых персональных данных


 6.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

 6.2. Объем, категории обрабатываемых персональных данных и категории субъектов, чьи данные обрабатываются для каждой определенной цели изложены в Приложении к настоящей Политике.


7. Порядок и условия обработки персональных данных


 7.1. Обработка персональных данных Оператором осуществляется с использованием информационных систем, а также без использования средств автоматизации.

 7.2. В процессе обработки персональных данных Оператором могут осуществляться сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, предоставление, доступ, обезличивание, блокирование, удаление в соответствии и в рамках определяемой цели обработки.

 7.3. Обработка персональных данных допускается при выполнении одного из следующих условий:

 - обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

 - обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

 - обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

 - обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

 - обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных с его согласия, с обязательным выполнением условий и ограничений, установленных субъектом персональных данных;

 - осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом.

7.4. Обработка специальных категорий персональных данных, касающихся расовой, принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни не осуществляется.

7.5. Обработка специальных категорий персональных данных, касающихся национальной принадлежности, состояния здоровья допускается:

 - в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

 - в иных случаях, предусмотренных законодательством Российской Федерации.

 7.6. При обработке персональных данных обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация.

 7.7. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.

 7.8. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных Федеральным Законом «О персональных данных».

 7.9. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют иные законные основания для дальнейшей обработки.

 7.10. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений и поручений. В случаях, явно не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.

7.11. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных, их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных воздействий. К таким мерам, в частности, относятся:

 - назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;

 - проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;

 - издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение работников, непосредственно осуществляющих обработку персональных данных;

 - обеспечение физической безопасности помещений и средств обработки персональных данных, установление контролируемой зоны, осуществление пропускного режима, охрана, видеонаблюдение;

 - определение и ограничение перечня лиц, имеющих доступ к персональным данным и средствам обработки, мониторинг действий с персональными данными;

 - определение угроз безопасности персональных данных при их обработке; - применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа);

 - учёт и хранение носителей информации, содержащих персональные данные, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;

- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

 - восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты;

 - уведомление уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.


8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным


 8.1. В случае получения запроса, оформленного в соответствии со статьей 14 Закона о персональных данных, от субъекта персональных данных или его представителя, содержащего сведения, позволяющие идентифицировать отправителя запроса, Оператор обязан сообщить в порядке, предусмотренном Федеральным законом «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение 30 (тридцати) дней с даты получения запроса.

 8.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях, предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

 8.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

8.4. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению Оператора:

 - в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий 3 (трех) рабочих дней с даты такого выявления;

 - в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;

 - в случае достижения цели обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных.

 В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не превышающий 6 (шести) месяцев, если иной срок не установлен законодательством Российской Федерации.


9. Права субъектов персональных данных


9.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

 - подтверждение факта обработки персональных данных Оператором;

 - правовые основания и цели обработки персональных данных;

 - цели и применяемые Оператором способы обработки персональных данных;

 - наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников / работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

 - обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

 - сроки обработки персональных данных, в том числе сроки их хранения;

 - порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

 - информацию об осуществленной или о предполагаемой трансграничной передаче данных;

 - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

 - иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

 9.2. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

 9.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

 9.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

9.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке


10. Права и обязанности Оператора


 10.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

 10.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.

 10.3. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за нарушение порядка обработки персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

 10.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

 10.5. При необходимости данная Политика обновляется без предварительного уведомления субъектов персональных данных. Иные права и обязанности ООО «Виктория отель энд СПА», как Оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.