Политика обработки персональных данных

Приложение № 1
к Приказу №34 от 31.12.2020 г.

ПОЛИТИКА АО «ГОСТИНИЦА КРАСНОЯРСК» 
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Красноярск

1. Общие положения

Настоящий документ определяет политику АО «Гостиница Красноярск» (далее —  оператор)  в  отношении  обработки  персональных  данных,  а также раскрывает  сведения  о реализованных мерах по обеспечению безопасности персональных данных у оператора с целью  защиты  прав  и  свобод  человека  и  гражданина  при  обработке  его  персональных данных,  в  том  числе  защиты  прав  на  неприкосновенность  частной  жизни,  личную  и семейную тайну.
В настоящей политике используются следующие основные понятия:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Положения  настоящей  Политики  являются  основой  для  организации  работы  по обработке  персональных  данных  у  оператора,  в  том  числе  для  разработки  внутренних  нормативных документов, регламентирующих обработку и защиту персональных данных у оператора.
Должностные лица оператора, имеющие в силу исполнения ими своих должностных обязанностей доступ к персональным данным, при их обработке обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Запросы субъектов персональных данных в отношении обработки их персональных данных оператором принимаются по адресу: 660049, г. Красноярск, ул.Урицкого,  94.
Также субъекты персональных данных могут направить свой запрос, подписанный усиленной  квалифицированной  электронной  подписью на  адрес  электронной  почты: info@hotelkrs.ru.
Срок рассмотрения обращений не превышает 30 (тридцати) дней со дня обращения.
Настоящая  Политика  является  документом,  к  которому  обеспечивается неограниченный доступ. Для обеспечения неограниченного доступа Политика, в частности, опубликована на официальном сайте оператора в интернете: www.hotelkrs.ru.
Оператор оставляет за собой право вносить изменения в этот документ. При внесении изменений будет указана дата последнего обновления в актуальной редакции. Новая редакция документа вступит в силу после ее размещения www.hotelkrs.ru., если иное в ней не предусмотрено.

2. Правовое основание обработки персональных данных

Конституция РФ, Трудовой кодекс РФ, Налоговый кодекс РФ, Гражданский кодекс, Устав АО «Гостиница Красноярск», Федеральный закон от 27.06.2006 г. N 152-ФЗ "О персональных данных», Постановление Правительства РФ от 18.11.2020 г. N 1853 "Об утверждении Правил предоставления гостиничных услуг в Российской Федерации", Постановление Правительства от 14.04.2017г. №447 "Об утверждении требований к антитеррористической защищенности гостиниц и иных средств размещения и формы паспорта безопасности этих объектов", Приказ МВД России от 31 декабря 2017 г. N 984 "Об утверждении Административного регламента Министерства внутренних дел Российской Федерации по предоставлению государственной услуги по регистрационному учету граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации", Постановление Правительства РФ от 15.01.2007 г. N 9 "О порядке осуществления миграционного учета иностранных граждан и лиц без гражданства в Российской Федерации", Приказ МВД России от 10.12.2020 г. N 856, Федеральный закон  от 8 июля 2006 г. N 109-ФЗ "О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации", гражданско-правовые договоры, согласие на обработку персональных данных.

3. Принципы обработки персональных данных

Обработка персональных данных у оператора осуществляется на основе следующих принципов:
−  законности и справедливой основы;
−  ограничения  обработки  персональных  данных  достижением  конкретных,  заранее определенных и законных целей;
−  недопущения  обработки  персональных  данных,  несовместимой  с  целями  сбора персональных данных;
−  недопущения  объединения  баз  данных,  содержащих  персональные  данные, обработка которых осуществляется в целях, несовместимых между собой;
−  обработки только тех персональных данных, которые отвечают целям их обработки;
−  соответствия  содержания  и  объема  обрабатываемых  персональных  данных заявленным целям обработки;
−  недопущения  обработки  персональных  данных,  избыточных  по  отношению  к заявленным целям их обработки;
−  обеспечения  точности,  достаточности  и  актуальности  персональных  данных  по отношению к целям обработки персональных данных;  
−  уничтожения  либо обезличивания  персональных  данных  по  достижении  целей  их обработки  или  в  случае  утраты  необходимости  в  достижении  этих  целей,  при невозможности  устранения  Оператором  допущенных  нарушений  персональных данных, если иное не предусмотрено федеральным законом.

4. Условия обработки персональных данных

Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
- получено согласие субъекта персональных данных на обработку его персональных данных;
- обработка  персональных  данных  необходима  для  достижения  целей, предусмотренных международным договором Российской Федерации или законом, для  осуществления  и  выполнения  возложенных  законодательством  Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка  персональных  данных  необходима  для  осуществления  правосудия, исполнения  судебного  акта,  акта  другого  органа  или  должностного  лица, подлежащих  исполнению  в  соответствии  с  законодательством  Российской Федерации об исполнительном производстве;
- обработка  персональных  данных  необходима  для  исполнения  договора,  стороной которого  либо  выгодоприобретателем  или  поручителем,  по  которому  является субъект  персональных  данных,  а  также  для  заключения  договора  по  инициативе субъекта персональных данных или  договора, по  которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для  осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей  при  условии,  что  при  этом  не  нарушаются  права  и  свободы  субъекта персональных данных;
- персональные данные,  подлежат опубликованию  или  обязательному  раскрытию  в соответствии с федеральным законом.

5. Цели обработки персональных данных

Оператор осуществляет обработку персональных данных субъектов персональных данных в следующих целях:
- оформление гражданско-правовых отношений с физическими лицами;
- ведение бухгалтерского учёта;
- оказания гостиничных услуг;
- ведения учёта номерного фонда гостиницы;
- улучшения качества обслуживания клиентов;
- оперативного уточнения информации,
- проведения маркетинговых исследований,
- отправления рекламных предложений и информационных сообщений,  направления новостей о проводимых в гостинице акциях и специальных предложениях, формирования персональных предложений,
- участия в программе лояльности;
- обеспечения соблюдения законов и иных нормативно-правовых актов.

6. Категории субъектов персональных данных

- клиенты и контрагенты оператора (физические лица);
- представители/работники клиентов и контрагентов оператора (юридических лиц).

7. Перечень обрабатываемых персональных данных

7.1. Клиентов оператора: фамилия, имя, отчество, пол, дата/месяц/год рождения, место рождения, адрес, гражданство, данные документа, удостоверяющего личность, номер телефона, электронный адрес, наличие детей и их возраст, видеоизображение, сведения о законных представителях, профессия, данные документа, подтверждающего право на пребывание (проживание) в Российской Федерации, данные миграционной карты.
7.2. Контрагентов оператора: фамилия, имя, отчество,  данные документа, удостоверяющего личность, адрес, банковский счёт, номер телефона, электронный адрес, видеоизображение.
7.3.  Представители/работники клиентов и контрагентов оператора (юридических лиц): фамилия, имя, отчество, должность, данные документа, удостоверяющего личность, номер телефона, электронный адрес, видеоизображение.

8. Способы обработки персональных данных

Оператором совершаются следующие действия (операции) или совокупность действий (операций) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор не распространяет персональные данные, то есть не осуществляет действия, направленные на их раскрытие неопределенному кругу лиц.
Оператор осуществляет неавтоматизированную обработку персональных данных, с передачей по сети юридического лица и с передачей по сети Интернет.

9. Сроки обработки персональных данных

Общий срок обработки персональных данных определяется периодом времени, в течение которого оператор осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки.
Обработка персональных данных начинается с момента их получения оператором и заканчивается:
- по достижении целей обработки персональных данных;
- по истечению срок действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных;
- в случае выявления неправомерной обработки персональных данных,
- по истечении срока хранения документов, содержащих персональные данные, установленные действующим законодательством РФ.

10. Права сторон

В рамках обработки персональных данных для оператора и субъектов персональных данных определены следующие права.
Субъект персональных данных имеет право:
−  получать  информацию,  касающуюся  обработки  его  персональных  данных,  в порядке, форме и сроки, установленные законодательством о персональных данных;
−  требовать  уточнения  своих  персональных  данных,  их  блокирования  или уничтожения  в  случае,  если  персональные  данные  являются  неполными, устаревшими,  недостоверными,  незаконно  полученными,  не  являются необходимыми  для  заявленной  цели  обработки  или  используются  в  целях,  не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных;
−  принимать предусмотренные законом меры по защите своих прав;
−  отозвать свое согласие на обработку персональных данных;
−  иные права, предусмотренные законодательством о персональных данных.
 Оператор имеет право:
−  обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;
−  требовать  от  субъекта  персональных  данных  предоставления  достоверных персональных  данных,  необходимых  для  исполнения  договора,  идентификации субъекта  персональных  данных,  а  также  в  иных  случаях,  предусмотренных законодательством о персональных данных;
−  ограничить  доступ  субъекта персональных  данных  к  его  персональным  данным  в случае,  если  доступ  субъекта  персональных  данных  к  его  персональным  данным нарушает  права  и  законные  интересы  третьих  лиц,  а  также  в  иных  случаях, предусмотренных законодательством Российской Федерации;
− осуществлять  обработку  персональных  данных,  подлежащих  опубликованию  или обязательному  раскрытию  в  соответствии  с  законодательством  Российской Федерации;
−  поручить  обработку  персональных  данных  другому  лицу  с  согласия  субъекта персональных данных;
−  иные права, предусмотренные законодательством о персональных данных.

11. Меры, применяемые для защиты персональных данных

В целях обеспечения выполнения своих обязанностей, а также требований федерального законодательства в области защиты персональных данных  оператором приняты следующие меры:
-  разработаны локальные акты по вопросам обработки персональных данных;
- опубликован на сайте оператора документ, определяющий политику обработки персональных данных;
- назначено лицо, ответственное за  обработку персональных данных;
- осуществляется внутренний контроль за обработкой персональных данных, соблюдением требований по их защите;
- работники, осуществляющие обработку персональных данных, ознакомлены с положениями законодательства РФ о персональных данных, требованиями по их защите, локальными актами по вопросам обработки персональных данных;
- персональные данные доступны строго определенному кругу лиц;
- обеспечивается учёт материальных носителей персональных данных;
- обеспечивается восстановление персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- определены места хранения персональных данных;
- сведения на бумажных носителях хранятся в сейфах, запирающихся металлических шкафах, в случае их отсутствия – в кабинете работника, осуществляющего обработку персональных данных.
- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
 - выделены изолированные помещения для архива и информационного сервера.
- в здании установлена пожарная и охранная сигнализации, система видеонаблюдения;
- физическая охрана информационных систем, предусматривающая контроль доступа в помещения информационной системы (технических средств и носителей информации)  посторонних лиц.
- установлены надёжных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации.
- используются следующие средства обеспечения безопасности: электронная цифровая подпись,   антивирусные средства защиты информации, идентификация пользователя при входе в информационную систему по паролю условно-постоянного действия, средства восстановления системы защиты персональных данных.