1.1. Настоящая Политика защиты и обработки персональных данных Общества с ограниченной ответственностью "МИР ЭСТЕЙТ" (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Общество с ограниченной ответственностью "МИР ЭСТЕЙТ" (далее - Оператор, ООО "МИР ЭСТЕЙТ") и обязательна для применения всеми работниками ООО "МИР ЭСТЕЙТ", осуществляющими обработку ПДн в силу своих должностных обязанностей.
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Политика подлежит пересмотру при существенных изменениях законодательства Российской Федерации.
1.5. В соответствии с пунктом 2 части 2 статьи 1 Закона #152-ФЗ обращение с документами, переданными на хранение в соответствии с законодательством об архивном деле в Российской Федерации, не регулируется настоящей Политикой.
1.6. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством РФ.
1.7. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на официальном сайте Оператора https://domboutiquehotel.com/
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Субъект персональных данных (субъект) — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Специальные категории персональных данных — категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью компьютерной техники и электронных средств связи;
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Доступ к информации (доступ) — ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.
Несанкционированный доступ (НСД) — доступ к информации, хранящейся на различных типах носителей (бумажных, магнитных, оптических и т. д.) в компьютерных базах данных, файловых хранилищах, архивах, секретных частях и т. д. различных организаций путём изменения (повышения, фальсификации) своих прав доступа.
Носитель информации — любой материальный объект или среда, используемый для хранения или передачи информации.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3.1. Обработка ПДн в ООО "МИР ЭСТЕЙТ" осуществляется на основе следующих принципов:
4.1 Получение ПДн в ООО "МИР ЭСТЕЙТ" организуется таким способом, чтобы не нарушить конфиденциальность собираемых ПДн.
4.2. Обрабатываемые ООО "МИР ЭСТЕЙТ" персональные данные могут быть получены, как непосредственно от субъекта ПДн, так и от иных третьих лиц, являющихся контрагентами ООО"МИР ЭСТЕЙТ".
4.3. При получении ПДн непосредственно от субъекта ПДн ООО "МИР ЭСТЕЙТ" обязуется обеспечить наличие правовых оснований, предусмотренных действующим законодательством Российской Федерации в сфере персональных данных. В случаях, когда правовым основанием обработки ПДн является согласие субъекта ПДн, такое согласие может быть получено в любой форме, позволяющей подтвердить факт его получения, однако такое согласие должно отвечать требованиям конкретности, предметности, информированности, однозначности и сознательности. В случаях, прямо предусмотренных федеральным законом, обработка персональных данных допускается только при наличии письменного согласия субъекта ПДн, форма и порядок получения которого должны соответствовать требованиям части 4 статьи 9 Закона #152- ФЗ.
4.4. В случае недееспособности субъекта ПДн письменное согласие на обработку его ПДн получается от его законного представителя.
4.5. При получении ПДн не от субъекта ПДн, ООО "МИР ЭСТЕЙТ", до начала обработки таких ПДн, обязуется предоставить субъекту ПДн следующую информацию:
4.6. ООО "МИР ЭСТЕЙТ" освобождается от обязанности информирования субъекта ПДн о получении ПДн от третьих лиц, в следующих случаях:
4.7. ООО "МИР ЭСТЕЙТ" осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
4.8. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети "Интернет", запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации осуществляются в ООО "МИР ЭСТЕЙТ" с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом #152-ФЗ.
5.1. Обработка ПДн в ООО "МИР ЭСТЕЙТ" может осуществляться как с использованием, так и без использования средств автоматизации, в том числе путем осуществления следующих действий - сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.
5.2. Автоматизированная обработка ПДн должна осуществляться в ИСПДн ООО "МИР ЭСТЕЙТ" в строгом соответствии с настоящей Политикой.
Автоматизированная обработка персональных данных производится с помощью средств вычислительной техники, как установленных локально, так и объединенных в ИСПДн.
5.3. Доступ к ИСПДн предоставляется уполномоченным работникам только для исполнения ими своих функций и должностных обязанностей.
5.4. При автоматизированной обработке персональные данные содержатся на машинных носителях персональных данных. Фиксация персональных данных на машинном носителе производится с использованием средств вычислительной техники (копирование персональных данных на любой съемный или несъемный машинный носитель, ввод персональных данных в базу данных и т.п.).
5.5. Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы ПДн обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков) и иным способом.
5.6. При неавтоматизированной обработке ПДн, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее — типовая форма), необходимо выполнять следующие условия:
5.6. Лица, осуществляющие обработку ПДн без использования средств автоматизации (работники ООО "МИР ЭСТЕЙТ" и другие лица, осуществляющие обработку ПДн по поручению ООО "МИР ЭСТЕЙТ"), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется ООО "МИР ЭСТЕЙТ" без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также нормативными документами ООО "МИР ЭСТЕЙТ".
5.7. При сохранении ПДн на материальных носителях (в т.ч. машинных носителях) не допускается сохранение на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн следует использоваться отдельный материальный носитель.
5.8. ООО "МИР ЭСТЕЙТ" вправе принимать решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его ПДн, только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя - письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
В случае автоматизированной обработки персональных данных различными способами разъяснение готовится отдельно для каждого способа.
Оператор обязан рассмотреть возражение, указанное в ч. 3 ст. 16 Федерального закона от 27.07.2006 #152-ФЗ "О персональных данных", относительно решения, вынесенного на основании исключительно автоматизированной обработки персональных данных в течение 30 (тридцати) дней со дня получения возражения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения в течение 10 (десяти) дней. Уведомление может быть осуществлено Оператором в любой доступной форме, позволяющей подтвердить факт уведомления Субъекта персональных данных. Выбор способа направления уведомлений остаётся за Оператором.
5.9. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн. ООО "МИР ЭСТЕЙТ" обязано немедленно прекратить по требованию субъекта ПДн обработку его ПДн в вышеуказанных целях
6.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
6.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
6.3. Обработка Оператором персональных данных осуществляется в следующих целях:
6.4. Обработка персональных данных работников (субъекта персональных данных) может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
7.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 6 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
7.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных:
7.2.1. Кандидаты для приема на работу к Оператору - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
7.2.2. Работники и бывшие работники Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
7.2.3. Члены семьи работников Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
7.2.4. Клиенты Оператора (физические лица, являющиеся заказчиками и/или потребителями гостиничных услуг) - для целей осуществления деятельности Оператора в соответствии с его уставом и основным видом деятельности (оказание гостиничных услуг):
7.2.5. Физические лица, обратившиеся посредством сайта Оператора (в т.ч. онлайн-чат):
7.2.6. Контрагенты Оператора (физические лица, заключающие с Операторам гражданско-правовые договоры) - для целей осуществления деятельности Оператора в соответствии с его уставом, осуществления пропускного режима:
иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров, осуществления пропускного режима.
7.2.7. Клиенты (физические лица, не являющие заказчиками и/или потребителями гостиничных услуг) и представители (работники) клиентов и контрагентов Оператора (юридических лиц) - для целей осуществления деятельности Оператора в соответствии с его уставом, осуществления пропускного режима:
7.3. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) не осуществляется.
7.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством
7.5. Оператор не осуществляет трансграничную (на территории иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
8.1. Порядок уничтожения персональных данных в ООО "МИР ЭСТЕЙТ" устанавливает способы уничтожения носителей, содержащих персональные данные субъектов персональных данных, а также лиц, уполномоченных проводить эти процедуры.
8.2. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.
8.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО "МИР ЭСТЕЙТ".
9.1. ООО "МИР ЭСТЕЙТ" в процессе своей деятельности обеспечивает конфиденциальность обрабатываемых ПДн, в частности ООО "МИР ЭСТЕЙТ" обязуется не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено действующим законодательством Российской Федерации.
10.1. Обработка ПДн в ООО "МИР ЭСТЕЙТ" может осуществляться:
10.2. Обработка ПДн другими лицами может осуществляться на основании соответствующего договора с ООО "МИР ЭСТЕЙТ", в котором содержится поручение на обработку ПДн с согласия субъекта персональных данных, если иное не предусмотрено Законом #152-ФЗ. В поручении должны быть определены перечень персональных данных, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования предусмотренные частью 5 статьи 18 и статьей 18.1 Закона #152-ФЗ, обязанность по запросу Оператора в течение срок действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона #152-ФЗ, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона #152-ФЗ.
10.3. При передаче ПДн третьей стороне должны выполняться следующие условия:
10.4. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных ООО "МИР ЭСТЕЙТ" в ходе своей деятельности предоставляет персональные данные следующим организациям:
11.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных в ООО "МИР ЭСТЕЙТ";
11.2. Субъект персональных данных вправе требовать от ООО "МИР ЭСТЕЙТ", который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
11.3. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами;
11.4. Для реализации своих прав и защиты законных интересов Субъект персональных данных имеет право обратиться к ООО "МИР ЭСТЕЙТ". Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке;
11.5. Субъект персональных данных вправе обжаловать действия или бездействие ООО "МИР ЭСТЕЙТ" путем обращения в уполномоченный орган по защите прав субъектов персональных данных (территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций);
11.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
12.1. Порядок хранения ПДн, обрабатываемых в ООО "МИР ЭСТЕЙТ", определяется нормативными документами ООО "МИР ЭСТЕЙТ" в соответствии с положениями Закона #152-ФЗ.
12.2. Сроки обработки (хранения) ПДн определяются в соответствии со сроком действия договора с субъектом ПДн; сроком, установленным в соответствующем согласии субъекта ПДн, приказом Росархива от 20.12.2019 #236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", сроками исковой давности, а также иными сроками, установленными законодательством РФ и нормативными документами ООО "МИР ЭСТЕЙТ".
12.3. Срок хранения ПНд в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодопробретателем или поручителем по которому является субъект персональных данных.
12.4. ПДн, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом или нормативными документами ООО "МИР ЭСТЕЙТ". Хранение ПДн после истечения срока хранения допускается только после их обезличивания.
13.1. В случае выявления неправомерной обработки персональных данных ООО "МИР ЭСТЕЙТ" осуществляет блокирование неправомерно обрабатываемых персональных данных.
13.2. В случае выявления неточных персональных данных ООО "МИР ЭСТЕЙТ" осуществляет блокирование соответствующих персональных данных на период проверки. В случае подтверждения факта неточности персональных данных ООО "МИР ЭСТЕЙТ" на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные и снимает блокирование персональных данных.
13.3. ООО "МИР ЭСТЕЙТ" обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
13.4. Сведения, касающиеся обработки персональных данных, предоставляются субъекту персональных данных или его представителю при получении запроса субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
13.5. Рассмотрение запросов субъектов персональных данных или их представителей, а также уполномоченного органа по защите прав субъектов персональных данных:
13.6. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
13.7. При получении запроса Субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных, ООО "МИР ЭСТЕЙТ" предоставляет сведения в сроки в соответствии требований статьи 20 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
13.8. Субъекты персональных данных вправе требовать от ООО "МИР ЭСТЕЙТ" уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав
13.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
14.1.ООО "МИР ЭСТЕЙТ" и/или работники ООО "МИР ЭСТЕЙТ", виновные в нарушении требований законодательства РФ в области ПДн, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.
14.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн, подлежит возмещению в соответствии с законодательством Российской Федерации.
15.1. Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на Интернет-сайте ООО "МИР ЭСТЕЙТ" по адресу: https://domboutiquehotel.com/about/privacy
15.2. Субъекты ПДн, чьи ПДн обрабатываются ООО "МИР ЭСТЕЙТ", могут получить разъяснения по вопросам обработки своих ПДн, а также реализовать свои права и законные интересы, направив соответствующий письменный запрос по почтовому адресу: 191187, Санкт-Петербург, Гангутская ул., д. 4
15.3. Настоящая Политика вступает в силу с момента утверждения.