Политика конфиденциальности

  1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки и защиты персональных данных  определяет порядок обработки и защиты информации о физических лицах — субъектах персональных данных (далее — Гости/Потребители), которые планируют заключить и (или) заключают договоры на оказание гостиничных и иных услуг, а также договоры аренды с ООО «РИДЖ» (адрес: г. Санкт-Петербург ул. Яблочкова д. 9 лит.  «Ю», пом. 31) (далее — Общество/ Оператор) в апарт-отеле RIDGE (далее – Отель).

Целями Политики обработки и защиты персональных данных (далее – Политика) является:

— обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, от несанкционированного доступа и разглашения;

— исключение несанкционированных действий сотрудников Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности информации Пользователей Сайта.

1.2. Политика описывает каким образом осуществляется обработка персональных данных в Обществе.

Под обработкой персональных данных подразумеваются любые действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.3. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации и Федеральным законом «О персональных данных» от   27.07.2006 № 152-ФЗ.

Обработка персональных данных в Обществе осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.

Правовыми основаниями обработки персональных данных  в Обществе являются Гражданский кодекс РФ, Постановление Правительства РФ от 18.11.2020 № 1853 «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации», Постановление Правительства РФ от 17.07.1995 № 713 «Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания и по месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации», Устав Общества, а также договоры, заключаемые Обществом с Потребителями.

1.4. Настоящая Политика утверждается руководителем Общества и вводится в действие его приказом.

1.5. Политика размещается на официальном сайте Отеля.

  1. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных субъектов персональных данных осуществляется в целях предоставления возможности взаимодействовать с сайтом Общества и Обществом для последующего заключения между Потребителем и Обществом договора (договоров) на оказание гостиничных услуг и последующего их исполнения, с целью разработки новых продуктов и услуг, а также информирования Потребителя об этих услугах.

2.2. Обработка персональных данных Гостей осуществляется на основе принципов:

— законности целей и способов обработки персональных данных;

— добросовестности;

— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;

— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

— обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.

Потребитель, предоставляющий свои персональные данные Обществу, тем самым соглашается с положениями данной Политики.

  1. СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБЩЕСТВЕ И СОГЛАСИЕ НА ИХ ОБРАБОТКУ

3.1. Сбор персональных данных Гостей осуществляется через сайт Общества, при заполнении Гостем формы на бронирование услуг Общества, а также посредством заполнения карты гостя и иных документов, необходимых для заполнения при заезде в Отель. Сбор Обществом персональных данных может осуществляться при использовании иных услуг Общества.

3.2. Потребитель обязан предоставить оригиналы документов, необходимых для оформления Потребителя в Отеле. Общество вправе копировать документы, содержащие персональные данные Потребителей.

3.3. При заезде в отель Общества Гость предоставляет также согласие на обработку персональных данных, по форме утвержденной в Обществе. В случае, если Гость заезжает с несовершеннолетними, то такое согласие он предоставляет и от их имени как представитель.  Согласие на обработку персональных данных может быть отозвано Гостем.

3.4. В любой момент в одностороннем порядке Гость вправе отозвать согласие на обработку персональных данных у Общества. Отзыв осуществляется посредством составления письменного документа, который может быть:

— направлен в адрес Общества почтовым отправлением;

— вручен лично под расписку полномочному представителю Общества

— направлен на адрес электронной почты my@ridgespb.ru.

  1. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ПОТРЕБИТЕЛЯ И ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Права субъекта персональных данных.

Потребитель имеет право на получение у Оператора информации, касающейся обработки его персональных данных, в том числе объема обрабатываемых персональных данных.

Гость вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Требование Гостя составляется в свободной форме в виде письменного документа, который может быть:

— направлен в адрес Общества почтовым отправлением;

— вручен лично под расписку полномочному представителю Общества;

— направлен на адрес электронной почты my@ridgespb.ru.

Общество обязано немедленно прекратить по требованию Потребителя обработку его персональных данных в вышеуказанных целях и сообщить об этом Гостю не позднее 10 (десяти) рабочих дней с момента получения требования от Гостя.

Если Гость считает, что Оператор осуществляет обработку его персональных данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы, Гость вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Гость имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.

4.2. Обязанности Оператора.

По факту личного обращения либо при получении письменного запроса Гостя или его представителя Оператор, при наличии оснований, обязан в течение 30 дней с даты обращения либо получения запроса Гостя или его представителя предоставить сведения в объеме, установленном действующим законодательством. Такие сведения должны быть предоставлены Гостю в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Все обращения Гостей или их представителей регистрируются в Журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.

В случае получения запроса от уполномоченного органа по защите прав субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Общество обязано сообщить такую информацию в уполномоченный орган в течение 30 дней с даты получения такого запроса или в срок, указанный в запросе.

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Если предоставление персональных данных является обязательным в соответствии с федеральными законами, Общество обязано разъяснить Гостю юридические последствия отказа предоставить его персональные данные.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

  1. РЕЖИМ КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Общество обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.

5.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено законодательством.

5.3. Работники Общества, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Оператора в части обеспечения конфиденциальности и безопасности персональных данных.

  1. ОБЪЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ И УСЛОВИЯ ОБРАБОТКИ

6.1. В целях, указанных в пункте 1.1 настоящей Политики, обрабатываются следующие категории персональных данных Потребителей:

— фамилия, имя, отчество;

— место рождения;

— серия и номер паспорта, кем и когда выдан;

— пол;

— дата рождения;

— гражданство;

— адрес места жительства;

— мобильный телефон;

— электронная почта.

6.2. Условия обработки персональных данных.

Обработка персональных данных Гостей осуществляется с согласия субъекта персональных данных на обработку его персональных данных, а в случаях, предусмотренных законодательством РФ без согласия.

Персональные данные могут также включать в себя дополнительно предоставляемые Потребителями по запросу Оператора в целях исполнения Оператором обязательств перед Потребителями, вытекающих из договора оказания гостиничных услуг или иных договоров, заключаемых с Потребителем.

Персональные данные Гостей хранятся как на бумажных носителях, так и на электронных носителях. Персональные данные обрабатываются как с использованием автоматизированных систем, так и без использования автоматизированных систем.

Общество можем использовать персональные данные Гостей для отправки важных уведомлений, рекламной и информационной рассылки.

Оператор не передает персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством, и не поручает обработку персональных данных сторонним лицам и организациям. Персональные данные Гостей обрабатывают только сотрудники Общества (администраторы, сотрудники отдела бронирования и т. д.), допущенные Приказом генерального директора Общества к обработке персональных данных Пользователей. Доступ работников к персональным данным Гостей прекращается после прекращения трудовых отношений с работником либо с даты прекращения должностных обязанностей.

Персональные данные Гостей в соответствии с законодательством РФ передаются органам внутренних дел с целью постановки на регистрационный и миграционный учет, а также могут быть переданы по запросам уполномоченных органов государственной власти РФ, в том числе органов следствия и дознания только по основаниям и в порядке, установленным законодательством РФ.

6.3. Хранение персональных данных Потребителей осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных.

Общий срок хранения персональных данных Потребителей составляет 5 (Пять) лет с момента прекращения договора с Потребителем.

Обработка персональных данных Гостей, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей).

В Обществе установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, а также обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Доступ в помещения, в которых хранятся персональные данные Гостей ограничен. Серверы располагаются в местах недоступных для лиц, не имеющих доступ к персональным данным Гостей. Конкретный перечень мер, принимаемых работниками к хранению персональных данных Гостей, содержится в приказе генерального директора и соответствующих должностных инструкциях работников.

Общество для хранения персональных данных использует базы данных, находящиеся на территории Российской Федерации.

6.4. Обеспечение безопасности персональных данных.

Общество обеспечивает безопасность персональных данных, обрабатываемых в информационных системах Оператора, которая достигается путем исключения несанкционированного, в том числе случайного, доступа к ним, а также принятия следующих мер по обеспечению безопасности:

— определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;

— применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности;

— применение процедур оценки соответствия средств защиты информации;

— оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;

— обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;

— обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы и принятие мер;

— восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

— установление правил доступа к персональным данным, обрабатываемым в информационных системах Общества, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Общества;

— использование антивирусных средств и средств восстановления системы защиты персональных данных;

— применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;

— организация пропускного режима на территорию Общества, охраны помещений с техническими средствами обработки персональных данных.

6.5. Актуализация, блокирование и уничтожение персональных данных.

В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена.

Под блокированием персональных данных понимается временное прекращение Оператором операций по их обработке по требованию Потребителя при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта персональных данных, действий в отношении его данных.

Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных на сайте и/или в результате которых уничтожаются материальные носители персональных данных.

Гость вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

В случае отсутствия возможности уничтожения персональных данных Оператор осуществляет блокирование таких персональных данных. В случае выявления неправомерной обработки персональных данных при обращении или по запросу Гостя или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.

Уничтожение персональных данных осуществляется путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).

6.6. Прекращение обработки персональных данных.

Условием прекращения обработки персональных данных Потребителей может являться:

— достижение целей обработки персональных данных;

— истечение срока действия согласия или отзыв согласия Потребителя на обработку его персональных данных;

— выявление неправомерной обработки персональных данных.

  1. ОТВЕТСТВЕННОСТЬ

7.1. Все сотрудники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Политикой, требованиями законодательства РФ.

Лица, виновные в нарушении требований Политики и законодательства о персональных данных, несут предусмотренную законодательством РФ ответственность.