1. Общие положения1.1. Настоящая Политика общества с ограниченной ответственностью «Отель Европа» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Общество (далее - Оператор), и распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора:
https://europehotel.ru/.
1.4. Основные понятия, используемые в Политике, применяются в значении, определенном Законом о персональных данных, в том числе:
1.4.1.
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
1.4.2.
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.4.3.
обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;
1.4.4.
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
1.4.5.
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.4.6.
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.4.7.
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.4.8.
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.4.9.
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.4.10.
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.5. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
1.6. Ответственность за нарушение требований законодательства Российской Федерации и настоящей Политики в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
2. Цели обработки персональных данных2.1. Обработка персональных данных Оператором ограничивается достижением конкретных, заранее определенных и законных целей.
2.2. Обработка персональных данных осуществляется в следующих целях:
· Осуществление деятельности в соответствии с уставом ООО «Отель Европа», включая заключение и исполнение договоров с контрагентами и клиентами.
· Исполнение требований трудового, налогового и иного законодательства в рамках трудовых и гражданско-правовых отношений.
· Обеспечение пропускного и внутриобъектового режима.
· Информирование субъектов персональных данных о новых услугах, специальных предложениях и акциях (маркетинг, реклама).
2.3. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Правовые основания обработки персональных данных3.1. Правовыми основаниями обработки персональных данных являются:
· Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";
· Трудовой кодекс Российской Федерации;
· Налоговый кодекс Российской Федерации;
· Иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
· Устав ООО «Отель Европа»;
· Договоры, заключаемые между Оператором и субъектами персональных данных;
· Согласие субъектов персональных данных на обработку их персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных4.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными.
4.2. Оператор обрабатывает персональные данные следующих категорий субъектов:
·
Кандидаты на трудоустройство: ФИО, контактные данные, сведения об образовании, опыте работы, квалификации.
·
Работники и бывшие работники: ФИО, паспортные данные, адреса, ИНН, СНИЛС, сведения о трудовой деятельности, образовании, воинском учете и иные данные, необходимые в соответствии с ТК РФ.
·
Члены семей работников: ФИО, степень родства, год рождения (в объемах, требуемых трудовым законодательством).
·
Клиенты и контрагенты (физические лица): ФИО, паспортные данные, контактная информация, данные для заключения и исполнения договоров.
·
Представители клиентов и контрагентов (юридических лиц): ФИО, должность, контактные данные.
4.3. Обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в строгом соответствии с законодательством РФ.
4.4. Обработка специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) не осуществляется.
5. Порядок, условия и сроки обработки персональных данных5.1. Обработка персональных данных осуществляется с согласия субъекта, а в случаях, предусмотренных законом, - без такового.
5.2. Обработка осуществляется как автоматизированными, так и неавтоматизированными способами.
5.3. К обработке персональных данных допускаются только специально уполномоченные сотрудники Оператора.
5.4. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении персональных данных.
5.5. Передача персональных данных третьим лицам, включая государственные органы, осуществляется только на основаниях, предусмотренных законодательством РФ.
5.6. Сроки обработки персональных данных:
· Обработка персональных данных осуществляется в течение сроков, необходимых для достижения целей обработки, если иное не предусмотрено договором или законодательством РФ.
· Срок обработки персональных данных, основанной на согласии субъекта, определяется сроком действия этого согласия. В случае отзыва согласия обработка прекращается в срок, указанный в разделе 6 настоящей Политики.
· Сроки хранения персональных данных на бумажных носителях определяются в соответствии с Федеральным закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации" и Перечнем типовых управленческих архивных документов.
· Срок хранения персональных данных в информационных системах соответствует сроку хранения их бумажных аналогов.
6. Прекращение обработки и уничтожение персональных данных6.1. Обработка персональных данных прекращается, а данные подлежат уничтожению в следующих случаях:
· Достижение целей обработки или утрата необходимости в их достижении – в течение 30 (тридцати) дней;
· Истечение срока хранения, установленного законодательством – в течение 30 (тридцати) дней;
· Отзыв субъектом согласия на обработку, если дальнейшее хранение не требуется и нет иных законных оснований для обработки – в течение 30 (тридцати) дней;
· Выявление неправомерной обработки данных – в течение 3 (трех) рабочих дней с даты выявления;
· Предоставление субъектом подтверждения, что данные получены незаконно или не являются необходимыми для заявленной цели – в течение 7 (семи) рабочих дней.
6.2. Уничтожение персональных данных осуществляется методами, исключающими их последующее восстановление (шредирование, сжигание для бумажных носителей; физическое уничтожение или сертифицированное программное стирание для электронных носителей), с составлением соответствующего акта.
7. Права субъектов персональных данных. Согласие на обработку Персональных данных7.1. Субъект персональных данных имеет право:
· На получение информации, касающейся обработки его персональных данных;
· На уточнение, блокирование или уничтожение своих персональных данных в случае их неполноты, устаревания, неточности, незаконности получения;
· На отзыв согласия на обработку персональных данных;
· На обжалование неправомерных действий или бездействия Оператора в уполномоченном органе (Роскомнадзоре) или в суде.
7.2. Согласие на обработку персональных данных предоставляется субъектом в любой позволяющей подтвердить его получение форме, если иное не установлено федеральным законом. Согласие должно быть конкретным, информированным и сознательным.
7.3. Согласие на обработку персональных данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий. Такое согласие должно содержать требования, установленные Приказом Роскомнадзора от 24.02.2021 N 18.
7.4. Согласие на получение рекламы и информационных рассылок (в т.ч. по e-mail, SMS, мессенджерам) запрашивается у субъекта отдельно. В любой рассылке Оператор предоставляет четкую и понятную возможность отказаться от дальнейших коммуникаций (ссылку для отписки).
7.5. Запрос субъекта персональных данных должен содержать сведения, предусмотренные законом. Оператор предоставляет запрашиваемую информацию в срок, не превышающий 10 (десяти) рабочих дней с момента получения запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней, о чем субъект уведомляется мотивированным сообщением.
8. Порядок действий при нарушении защиты персональных данных (инцидентов)8.1. Под инцидентом безопасности понимается событие, повлекшее за собой неправомерную или случайную передачу, предоставление, распространение, доступ, уничтожение, изменение, блокирование, копирование персональных данных, а также иные неправомерные действия.
8.2. В срок не позднее 24 (двадцати четырех) часов с момента обнаружения инцидента Оператор обязан уведомить Роскомнадзор о произошедшем инциденте в установленной форме.
8.3. В срок не позднее 72 (семидесяти двух) часов с момента обнаружения инцидента Оператор обязан предоставить в Роскомнадзор информацию о результатах проведенной внутренней проверки инцидента.