1.1. Настоящее Положение утверждено в соответствии с Конституцией Российский Федерации, Федеральным законом № 149-ФЗ от 27.07.2006 “Об информации, информационных технологиях и о защите информации”, Федеральным законом № 152-ФЗ от 27.07.2006 “О персональных данных” и другими нормативно-правовыми актами и регламентирует действия по обработке и защите персональных данных физических лиц, осуществляемые ИП Сальков А.П. (далее – Исполнитель) в своей деятельности.
1.2. Основные понятия, используемые в Положении:
гостинично-оздоровительный комплекс - организация, предоставляющая гостиничные услуги клиенту;
гостиничные услуги - действия Исполнителя по размещению Клиентов в объекте размещения, а также иная деятельность, связанная с размещением и проживанием, которая включает в себя основные и дополнительные услуги, предоставляемые Клиенту;
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
1.3. Настоящим Положением устанавливается порядок обработки персональных данных физических лиц, для которых Исполнителем осуществляется весь спектр услуг по приему и размещению в гостинично-оздоровительном комплексе, а также лиц, посещающих официальный сайт Исполнителя в сети Интернет.
2.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. В целях надлежащего исполнения своих обязанностей Исполнитель обрабатывает следующие персональные данные, необходимые для надлежащего исполнения договорных обязательств:
анкетные данные (фамилия, имя, отчество, дата рождения);
паспортные данные;
сведения о месте регистрации и месте жительства;
телефон, адрес электронной почты;
cookie, данные об IP-адресе, местоположении пользователя, сведения о поведении на странице пользователя, посетившего официальный сайт Исполнителя в сети Интернет;
иные сведения.
2.3. Все обрабатываемые персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с законодательством РФ.3.1. Персональные данные субъектов персональных данных обрабатываются Исполнителем в целях исполнения Исполнителем обязательств в рамках договоров оказания услуг о размещении в гостинично-оздоровительном комплексе; оказания иных услуг субъектам персональных данных, в том числе гостиничных услуг; продвижения услуг и/или товаров Исполнителя и/или партнеров Исполнителя на рынке путем осуществления прямых контактов с клиентами с помощью различных средств связи, в т.ч., не ограничиваясь, по телефону, электронной почте, почтовой рассылке, в сети Интернет и т.д.; в иных целях, если действия не противоречат действующему законодательству Российской Федерации.
4.1. Обработка персональных данных, осуществляемая с использованием средств автоматизации при осуществлении бронирования с использованием фоициального сайта Исполнителя в сети Интернет проводится при условии выполнения следующих действий: Исполнитель проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным; технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование; Исполнитель производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных.
5.1. Исполнитель проводит следующие мероприятия: определяет угрозы безопасности персональных данных при их обработке, формирует на их основе модели угроз; осуществляет разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; формирует план проведения проверок готовности новых средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; осуществляет установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; проводит обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; осуществляет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; осуществляет учет лиц, допущенных к работе с персональными данными в информационной системе; осуществляет контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; вправе инициировать разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; имеет описания системы защиты персональных данных.
6.1. Исполнитель вправе:
предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;
использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством.
6.2 Исполнитель обязан:
обеспечить конфеденциальность персональных данных;
принимать меры для обеспечения безопасность персональных данных;
соблюдать требования по локализации персональных данных;
своевременно прекратить обработку персональных данных.
7.1. Субъект персональных данных имеет право:
требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
требовать перечень своих персональных данных, обрабатываемых Исполнителем (оператором персональных данных) и источник их получения;
полученать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные федеральным законом.
требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8.1. Настоящее Положение подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных правовых актов по обработке и защите персональных данных.