Политика конфиденциальности

  • Политика конфиденциальности в отношении обработки персональных данных в мини-отеле SALSTORY

    Внимание! Настоящий документ устанавливает порядок и условия обработки оператором персональной информации о физических лицах, предоставляемой субъектами персональных данных или третьими лицами в процессе взаимодействия с оператором с применением сети Интернет, в том числе использования сервиса, доступного в сети интернет по адресу: www. salstory-hotel.ru

     

     

    I.Общие положения

    УТВЕРЖДЕНО Руководителем

    Мини-отеля «Salstory» ИП Хайрулиной Э.Р.

     «01» января 2021 года

     

      Политика в отношении обработки персональных данных (далее — Политика) в  «Солстори» (наименование на английском языке: «Salstory») с присвоением согласно Положению о классификации гостиниц категории «две звезды», деятельность которого как средства размещения осуществляется Индивидуальным предпринимателем Хайрулиной Эльвирой Рафековной (ИНН 525707634582) по адресу: 603001, г. Н.Новгород, ул. Рождественская, дом 8, (далее — Мини-отель) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и состав обрабатываемых в Мини-отеле персональных данных, действия и операции, совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых требованиях к защите персональных данных. Политика принята с целью защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Политика является общедоступной и подлежит размещению на официальном сайте Мини-отеля: salstory-hotel.ru. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Гостинице, в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются в Гостинице с учетом положений Политики.

    1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) в мини-отеле SALSTORY (далее – Общество) разработана в соответствии с:

    • Федеральный закон от 27.07.2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
    • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
    • ФЗ от 24.11.1996г. №132-ФЗ «Об основах туристской деятельности в РФ;
    • Трудовой кодекс РФ, №197-ФЗ от 30.12.2001,
    • «Об утверждении правил предоставления гостиничных услуг в Российской Федерации», утвержденных Постановлением Правительства РФ от 18.11.2020г. № 1853;
    • Постановление Правительства Российской Федерации от 15.01.2007 № 9 «О порядке осуществления миграционного учета иностранных граждан и лиц без гражданства в РФ»;
    • Постановление правительства РФ «Об утверждении правил регистрации и снятия граждан РФ с регистрационного учета по месту пребывания и места жительства в пределах РФ»
    • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
    • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

    Приказ МВД России от 9 июля 2018 г. № 435 «Об утверждении Порядка предоставления администрациями гостиниц, санаториев, домов отдыха, пансионатов, кемпингов, туристских 

    • баз, медицинских организаций или других подобных учреждений, учреждений уголовно-исполнительной системы, исполняющих наказания в виде лишения свободы или принудительных работ, информации о регистрации и снятии граждан РФ с регистрационного учета по месту пребывания в территориальные органы МВД России и Типовой формы соглашения об информационном взаимодействии»;
    • Иными нормативными правовыми актами Российской Федерации
    • Нормативно-распорядительными документами Общества.

    1.2. Цель разработки Политики — определение порядка обработки и обеспечения безопасности персональных данных (далее - ПД) и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Гостинице.

    1.3. Настоящая Политика вступает в силу с момента его утверждения и действует до момента окончания обработки ПД.

    1.4. Все изменения в Политике вносятся приказом директора Общества.

    1.5. Режим конфиденциальности персональных данных снимается только в случаях их обезличивания.

    1.6. Политика касается всех ПД, обрабатываемых в Обществе, вне зависимости от их принадлежности, основания обработки, метода обработки или лица, осуществляющего обработку.

    1.7. Общество обеспечивает опубликование Политики или иным образом осуществляет неограниченный доступ к Политике.

    1.8. Положения настоящей Политики являются обязательными для исполнения всеми работниками Гостиницы.

    1.9. Положения настоящей Политики являются основой для организации всех процессов в Гостинице, связанных с обработкой и защитой персональных данных.

    1. II. Цели обработки персональных данных

    2.1. Гостиница осуществляет обработку персональных данных в целях:

    • оказания гостиничных и/или дополнительных услуг в гостинице «СОЛСТОРИ» в соответствии с Правилами предоставления гостиничных услуг ИП Хайрулина Э.Р., утвержденных Приказом №8 от 01.09.2022г., гражданским законодательством Российской Федерации и присвоенной Гостинице категорией №52/АА-031/7/2-2022 от 06.04.2022 г.
    • предоставления Субъекту персональных данных подтверждения бронирования номера/номеров в гостинице «СОЛСТОРИ»;
    • заключения с Субъектом персональных данных договоров на оказание гостиничных и дополнительных услуг в гостинице «СОЛСТОРИ» и их дальнейшего исполнения;
    • организации и ведением кадрового делопроизводства в Гостинице;
    • привлечения и отбора кандидатов на работу в Гостинице;
    • формирования статистической отчетности, в том числе для предоставления контролирующим органам государственной власти Российской Федерации;
    • предоставления Субъекту персональных данных информации об оказываемых услугах, о текущих маркетинговых акциях и новых услугах;
    • а также в других целей, достижение которых не запрещено федеральным законодательством, международными договорами Российской Федерации.

    2.6. Настоящая Политика устанавливает:

    • цели обработки персональных данных;
    • общие принципы и правовые основания обработки персональных данных;
    • классификацию и категорию персональных данных и Субъектов персональных данных;
    • права и обязанности Субъектов персональных данных и Гостиницы по их обработке;
    • порядок и условия обработки персональных данных, в т.ч. актуализация, удаление, исправление, уничтожение в мини-отеле Salstory.

    2.7. Настоящая Политика подлежит размещению на общедоступном ресурсе – на официальном сайте Гостиницы https://salstory-hotel.ru и на стойке регистрации неограниченном доступе.

    2.8. Настоящая Политика вступает в силу с момента утверждения.

    2.9. Настоящая Политика подлежит пересмотру в связи с изменением законодательства РФ в области обработки и защиты персональных данных, по результатам оценки актуальности, достаточности и эффективности принимаемых мер обеспечения безопасности обработки персональных данных в Гостинице.

    2.10. Действие настоящей Политики распространяется на действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    III. Термины и определения

    3.1. Персональные данные (далее ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    3.2. Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    3.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

    3.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

    3.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

    3.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

    3.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

    3.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

    Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    3.11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

    1. I Правовые основания обработки персональных данных

    4.1. Правовые основания обработки персональных данных:

    • Федеральные законы и принятые на их основе нормативные и локальные акты;
    • Договоры, заключаемые между мини-отелем Salstory и субъектом персональных данных;
    • Трудовые договоры с работниками мини-отеля.
    1. Категории обрабатываемых персональных данных, категории субъектов персональных данных

    5.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

    5.2. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

    5.3.Обработка персональных данных должна осуществляться на законной и справедливой основе.

    5.4. Категории субъектов персональных данных, обрабатываемых в мини-отеле «Salstory»:

    • Физические лица, состоящие в договорных отношениях (гости);
    • Работники мини-отеля.

    5.5. В отношении физических лиц, состоящих в договорных отношениях, обрабатываются следующие ПД: фамилия, имя, отчество, дата рождения, место рождения, адрес, данные паспорта: серия, номер, дата выдачи, кем выдан, дата окончания действия, данные свидетельства о рождении: серия, номер, кем и когда выдано, город выдачи, телефон, e-mail, реквизиты банковской карты.

    5.6. В отношении работников мини-отеля и иных лиц, состоящих в трудовых отношениях с ним, обрабатываются следующие ПД: фамилия, имя, отчество, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, состояние здоровья, ИНН, номер страхового и пенсионного свидетельств, свидетельство о рождении детей, полис ОМС, личная медицинская книжка, сертификат о прививках, реквизиты банковского счёта.

    5.7. Запрещается обрабатывать персональные данные субъектов, не являющимися работниками мини-отеля или находящимися в трудовых отношениях с мини-отелем, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений (специальные категории ПД).

    5.8. Запрещается обрабатывать сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПД) и которые используются для установления личности субъекта ПД.

    5.9. При обработке ПДн должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Общество принимает необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

    1. Права и обязанности субъектов персональных данных и гостиницы по их обработке.

    6.1. Обработка персональных данных включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    6.2. Обработка персональных данных осуществляется после предметного и сознательного согласия гостя, путем проставления галочки при регистрации пользователя на сайте, либо в карточке гостя при регистрации в мини-отеле, путем:

     

    • получения оригиналов необходимых документов;
    • копирования оригинала документа (после согласования с гостем);
    • внесения сведений в учетные формы (на бумажных и электронных носителях);
    • формирования персональных данных в ходе работы;
    • внесения персональных данных в информационные системы мини-отеля.

    6.3. Персональные данные в мини-отеле обрабатываются как с помощью средств автоматизации, так и без использования таких средств и могут быть представлены как на бумажных, так и на электронных носителях.

    6.4. Информационные системы, в которых осуществляется обработка персональных данных, в обязательном порядке находятся на территории Российской Федерации.

    6.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов и из других источников в порядке не противоречащих законодательству РФ.

    6.6. В случае возникновения необходимости получения персональных данных субъекта, у третьей стороны, следует известить об этом субъекта заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.

    6.7. Передача (распространение, предоставление) и использование персональных данных субъектов осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

    6.8. Работники, осуществляющие обработку, ознакомлены, под подпись, с нормативными документами и локальными актами, устанавливающими порядок обработки и защиты персональных данных, а также права и обязанности, возникающие при осуществлении обработки и защиты персональных данных.

    6.9. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

    6.10. Обработка ПД может быть прекращена в следующих случаях:

    • При достижении целей обработки ПД;
      • По требованию субъекта ПД;
      • В случае отзыва субъектом ПД согласия на обработку его персональных данных;
      • В случае выявления неправомерной обработки персональных данных.

      6.11. Мини-отель Salstory обязан сообщить в порядке, предусмотренном законодательством РФ, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 10 рабочих дней с даты получения запроса субъекта персональных данных или его представителя.

      6.12. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

      6.13. В случае отказа в предоставлении информации о наличии ПД о соответствующем субъекте ПД или субъекту персональных данных или его представителю при их обращении, либо при получении запроса субъекта ПД или его представителя Мини-отель Salstory обязан дать в устной или письменной форме мотивированный ответ.

      6.14. Мини-отель Salstory обязан предоставить безвозмездно субъекту ПД или его представителю возможность ознакомления с ПД, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Мини-отель Salstory обязан внести в них необходимые изменения.

      6.15. В срок, не превышающий 7 рабочих дней со дня представления субъектом ПД или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Мини-отель Salstory обязано уничтожить такие ПД и уведомить субъекта ПД или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

      6.16. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом ПД или его представителем либо уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов обязано уточнить ПД, либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение 7 рабочих дней со дня представления таких сведений и снять блокирование ПД.

      6.17. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий 3 рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки ПДн.

      6.18. Об устранении допущенных нарушений или об уничтожении ПД, Мини-отель Salstory обязано уведомить субъекта ПД или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов ПД были направлены уполномоченным органом по защите прав субъектов ПД, также указанный орган.


      6.19. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов ПД, Общество обязано с момента выявления такого инцидента Обществом, уполномоченным органом по защите прав субъектов ПД или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПД:

      - В течение 24 часов уведомить Роскомнадзор о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПД, и предполагаемом вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Обществом на взаимодействие с уполномоченным органом по защите прав субъектов ПД, по вопросам, связанных с выявленным инцидентом;

      - В течение 72 часов провести расследование инцидента и сообщить о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии). Создать внутренний регламент расследования и уведомления об инцидентах.

      -В случае достижения цели обработки ПД, Общество обязано прекратить обработку ПД или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и уничтожить персональные данные или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД, иным соглашением между Обществом и субъектом ПД, либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта ПД на основаниях, предусмотренных законодательством РФ.

      10.8. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Мини-отель Salstory обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение ПД более не требуется для целей обработки персональных данных, уничтожить ПД или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий 30 дн. с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Обществом и субъектом ПД либо если Общество не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных законодательством РФ.

      - В случае обращения субъекта ПД к Мини-отель Salstory с требованием о прекращении обработки персональных данных, Общество обязано в срок, не превышающий 10 рабочих дней с даты получения Обществом соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПД), за исключением случаев, предусмотренных законодательством РФ.

      - В случае отсутствия возможности уничтожения ПД в течение срока, предусмотренного законодательством РФ, Общество осуществляет блокирование таких ПД или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение ПД в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

      VII. Предоставление персональных данных третьей стороне.

      7.1. Общество передает ПД третьим лицам в следующих случаях:

      • Субъект выразил свое согласие на такие действия;
      • Передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры
      • 7.2. Передача ПД возможна только при наличии юридически обоснованных оснований. Такими основаниями могут быть договор, соглашение или регламент, подписанный сторонами и содержащий положения о нераспространении и защите передаваемых ПД.

      • 7.3. Передача данных осуществляется с соблюдением всех требований по защите конфиденциальной информации.

        7.4. Третьи лица, которым передаются ПД в соответствии с законодательством РФ:

        • Министерство внутренних дел РФ;
        • Пенсионный фонд РФ;
        • Налоговые органы РФ;
        • Фонд социального страхования;
        • Территориальный фонд обязательного медицинского страхования;
        • Страховые медицинские организации по обязательному и добровольному медицинскому страхованию;
        • Органы воинского учета;
        • Банки для начисления заработной платы (на основании договора);
        • Управление делами Президента РФи (при наличии согласия субъекта);
        • Органы, осуществляющие лицензирование;
        • Прокуратура, иные контролирующие и проверяющие органы;
        • Судебные и правоохранительные органы;
        • Бюро кредитных историй, кредитные организации (при наличии согласия субъекта);

        VIII. Порядок и защита обработки персональных данных

        1. В соответствии с требованиями федеральных законов и нормативных документов Обществом создана система защиты ПДн и реализованы следующие мероприятия:

        8.1.2 Назначен ответственный за организацию обработки ПД в мини-отеле Salstory;

        8.1.2. Утверждены и введены в действие документы:

        • Настоящая Политика, определяющая политику Общества в отношении обработки ПД;
        • Локальные нормативные акты по вопросам обработки ПД, определяющие для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
        • Регламенты, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

        8.1.3. Применены организационные и технические меры по обеспечению безопасности ПД в соответствии со статьей 19 Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».

        8.1.4. Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам Общества, требованиям к защите ПД, политике Общества в отношении обработки ПД, локальным актам мини-отеля.

        8.1.5. Проведена оценка вреда, который может быть причинен субъектам ПД в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».

      • 8.1.6. Лица, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства РФ о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки ПДн, локальными актами по вопросам обработки персональных данных.

        8.1.7. На стенде и сайте размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных.

        8.1.8. Определены угрозы безопасности ПД при их обработке в информационных системах ПД.

        8.1.9. Используются средства защиты информации (антивирусные программы), прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации.

        8.1.10. Проведена оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД.

        8.1.11. Осуществляется учет машинных носителей ПД.

        8.1.12. Осуществляется обнаружение фактов несанкционированного доступа к ПД с помощью системы видеонаблюдения и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.

        8.1.13. Обеспечено восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

        8.1.14. Проведено установление правил доступа к персональным данным, обрабатываемым в информационной системе ПД, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе ПД.

        8.1.15. Осуществляется контроль за организационными и техническими мерами по обеспечению безопасности ПД и уровня защищенности информационных систем ПД, в соответствии со        статьей 19 Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».

        8.2. Обработка персональных данных осуществляется смешанным способом:

        – без использования средств вычислительной техники (неавтоматизированная обработка персональных данных);

        – автоматизированная обработка персональных данных с передачей полученной информации по сети интернет или без таковой.

        8.3. Обработку персональных данных осуществляют только работники Мини-отеля, допущенные к работе с персональными данными в рамках своих должностных обязанностей и подписавшие обязательство о неразглашении персональных данных.

        8.4. Сбор персональных данных гостей для их обязательной постановки на учет по месту пребывания в соответствии с законодательством РФ в сфере миграционной политике, осуществляется путем сканирования документов, удостоверяющих личность и интеграции данных в паспортный модуль.

        При заполнении профайлов в гостиничной системе персональные данные кодируются. Сведения о постановке на учёт по месту пребывания передаются ответственными работниками по выделенному защищенному каналу в ГУ МВД РФ.


        8.5. Персональные данные клиентов/гостей на бумажных носителях хранятся в архивных папках в течение 3-х лет в помещении Службы приема и обслуживания с защитой от несанкционированного  доступа, далее подлежат уничтожению, исключая возможность последующего восстановления в соответствии с внутренними локальными актами Гостиницы.

        8.6. Персональные данные Клиентов в электронном виде хранятся в локальной компьютерной сети мини-отеля, в электронных папках и файлах в ПК администраторов, допущенных к обработке персональных данных.

        8.7. Защита доступа к электронным базам данных, содержащим персональные данные работников Мини-отеля и других субъектов персональных данных, не состоящих с мини-отелем в трудовых отношениях, обеспечивается:

        - использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным клиентов;

         - системой паролей. Пароли устанавливаются и сообщаются индивидуально работникам, имеющим доступ к персональным данным клиентов/гостей/работников.

         8.8. Осуществляется внутренний контроль соответствия обработки ПД и принятым в соответствии с ним нормативным актам Общества, требованиям к защите ПД, политике Общества в отношении обработки ПД, локальным актам Общества.

        8.9. Проведена оценка вреда, который может быть причинен субъектам ПД в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ.

        8.10. Используются средства защиты информации (антивирусная программа), прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации.

        8.11. Организован режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

        8.12. Обществом постоянно ведется работа по совершенствованию системы защиты конфиденциальной информации, в т.ч. персональных данных.

        8.13. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Как правило в течение 3 лет с даты проявления последней активности на сайте. Персональные данные уничтожаются путем стирания с серверов оператора персональных данных.

        1. I Ответственность.

        9.1. Ответственность за обновление Политики несет ответственный за организацию обработки ПД в Обществе.

        9.2. За нарушение требований данной Политики работники Общества несут дисциплинарную ответственность.

        9.3. За нарушение требований данной Политики, повлекшее разглашение ПД или другой ущерб субъектам ПД или Обществу, работники Общества несут ответственность в пределах, установленных действующим гражданским, административным и уголовным законодательством РФ.

                                                                                                    X. Заключительные положения.

    1. 10.1. Политика может быть изменена в одностороннем порядке без предварительного уведомления Пользователя.

      10.2. Новая редакция Политики вступает в силу с момента ее публикации в соответствующем разделе правовой информации, размещенном на Сайте, и применяется к конкретному Пользователю с момента принятия (акцепта).

      10.3. К правам и обязанностям Сторон всегда применяется Политика в новой редакции, если иное не вытекает из характера правоотношений. Новая редакция Политики распространяются на ранее действующие правоотношения между Оператором и Пользователем.

      10.4. Во всем остальном, не урегулированном Политикой, Стороны руководствуются положениями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» и законодательством Российской Федерации.

      1. XI. Сведения об операторе.

      ИП Хайрулина Эльвира Рафековна

      ИНН: 525707634582, ОГРН: 310526210900058

      Юр. адрес: 603087, РОССИЯ, г. Н. Новгород, улица Александровская сл., д. 102.

      Факт. адрес: 603001, г. Н. Новгород, ул. Рождественская, 8

      Тел.: +7 (920) 009 39 19

      Адрес электронной почты для вопросов, связанной с поддержкой Сервиса, его работоспособностью gm@salstory.ru.