ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ САНАТОРИЯ «КОРОНА АЛТАЯ»

Дата последнего обновления: 17 апреля 2019 г.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий документ определяет политику Общества с ограниченной ответственностью «Хэппи Отель Сервис» (ООО «Хэппи Отель Сервис») (адрес местонахождения: 659635, Алтайский край, район Алтайский, район моста поселка Катунь, здание - «Корона Алтая») (далее – Санаторий) в отношении обработки персональных данных клиентов (гостей), посетителей Санатория и Сайта Санатория, и излагает систему основных принципов, применяемых в отношении обработки персональных данных в Санатории, порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Санатории.

Политика Санатория в отношении обработки персональных данных учредителей (участников) Санатория, работников Санатория, исполнителей по договорам оказания услуг/выполнения работ, партнеров Санатория, а сведения о реализуемых требованиях к защите персональных данных названных в настоящем абзаце лиц содержатся в иных локальных нормативных актах Санатория.

1.2. Действие настоящей Политики распространяется на все операции, совершаемые в Санатории с персональными данными клиентов (гостей), посетителей Санатория и Сайта Санатория с использованием средств автоматизации и без их использования.

1.3. Настоящая Политика разработана в соответствии с:

- Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ);

- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – Постановление № 687);

- Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

а для клиентов, гостей, посетителей Санатория и Сайта Санатория - граждан ЕС в соответствии с:

- Регламентом (ЕС) № 2016/679 Европейского Парламента и Совета ЕС о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент по защите персональных данных (General Data Protection Regulation, GDPR).

2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные обрабатываются Санаторием в следующих целях:

- бронирование номеров Санатория;

- оформление и исполнение договоров по предоставлению услуг по временному проживанию в Санатории;

- регистрация клиентов (гостей) Санатория, ведение учета номерного фонда Санатория;

- регистрация граждан Российской Федерации и иностранных граждан и лиц без гражданства по месту пребывания;

- оказание дополнительных услуг клиентам (гостям) Санатория;

- обеспечение безопасности клиентов (гостей) Санатория и персонала Санатория;

- организация и участие в рекламных акциях и мероприятиях;

- исполнение обязательств, предусмотренных законодательством Российской Федерации.

- персональные данные посетителей Сайта Санатория обрабатываются Санаторием, в том числе, в целях повышения осведомленности посетителей Сайта Санатория об услугах Санатория, предоставления релевантной рекламной информации и оптимизации рекламы;

- составление отчетной и бухгалтерской документации;

- получение отзывов о качестве сервиса забронированного средства размещения.

3. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

В настоящей Политике используются следующие термины:

• персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) – клиенту (гостю) Санатория, посетителю Санатория и/или сайта Санатория;
• оператор персональных данных (оператор) или контролер – Санаторий и уполномоченные сотрудники Санатория, действующие от имени Санатория, которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
• Сайт Санатория – официальный сайт Санатория в информационно-телекоммуникационной сети «Интернет»: https://koronaaltaya.ru.

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Санаторий осуществляет обработку персональных данных во исполнение:

- Закона РФ от 25.06.1993 № 5242-1 «О праве граждан Российской Федерации на свободу передвижения, выбор места пребывания и жительства в пределах Российской Федерации»

- Федерального закона от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;

- Постановления Правительства РФ от 17.07.1995 № 713 «Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания и по месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации»;

- Постановления Правительства РФ от 15.01.2007 № 9 «О порядке осуществления миграционного учета иностранных граждан и лиц без гражданства в Российской Федерации»;

- Приказа МВД России от 23.11.2017 № 881 «Об утверждении Административного регламента Министерства внутренних дел Российской Федерации по предоставлению государственной услуги по осуществлению миграционного учета иностранных граждан и лиц без гражданства в Российской Федерации, форм заявления о регистрации иностранного гражданина или лица без гражданства по месту жительства, уведомления о прибытии иностранного гражданина или лица без гражданства в место пребывания, отметки о регистрации иностранного гражданина или лица без гражданства по месту жительства, отметок о подтверждении выполнения принимающей стороной и иностранным гражданином действий, необходимых для его постановки на учет по месту пребывания»;

- Приказа МВД России от 09.07.2018 № 435 «Об утверждении Порядка представления администрациями гостиниц, санаториев, домов отдыха, пансионатов, кемпингов, туристских баз, медицинских организаций или других подобных учреждений, учреждений уголовно-исполнительной системы, исполняющих наказания в виде лишения свободы или принудительных работ, информации о регистрации и снятии граждан Российской Федерации с регистрационного учета по месту пребывания в территориальные органы МВД России и Типовой формы соглашения об информационном взаимодействии»;

- иных федеральных законов и принятых на их основе нормативных правовых актов, регулирующих отношения, связанные с деятельностью оператора персональных данных; договоров, заключаемых между оператором персональных данных и субъектом персональных данных; согласия на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора персональных данных).

5. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ:

- с использованием средств автоматизации;

- без использования средств автоматизации;

- в том числе - в отношении персональных данных посетителей Сайта Санатория - с использованием метрических программ и интернет-сервисов (по выбору Санатория), например, Яндекс.Метрика, Google Analytics, Google Doubleclick, Firebas Google, Tune, Amplitude, Сегменто, Рейтинг Mail.ru, LiveInternet или иных.

6. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

В информационных системах, принадлежащих Санаторию, осуществляется обработка следующих персональных данных:

6.1. клиентов, гостей Санатория – в составе и в сроки, необходимые для достижения целей, выполнения полномочий и обязанностей, осуществления прав и законных интересов Санатория, а также для ведения клиентской базы субъектов персональных данных, регистрации гостей (граждан Российской Федерации, иностранных граждан и лиц без гражданства) по месту пребывания, оказания дополнительных услуг клиентам, гостям Санатория:

Персональные данные клиентов – граждан РФ (гостей Санатория)
1	Гражданство
2	Сведения о рождении	Ф.И.О.
		Пол
		Дата рождения
		Место рождения
3	Сведения о месте регистрации	Ф.И.О.
		Адрес регистрации
4	Паспортные данные или данные иного документа, удостоверяющего личность	Ф.И.О.
		Наименование документа
		Серия и номер документа
		Дата выдачи документа
		Наименование органа, выдавшего документ
5	Сведения о месте работы	Ф.И.О.
		Наименование организации
		Структурное подразделение
		Должность
6	Данные банковской карты	Ф.И.О.
		Номер карты
		Срок действия карты
7	Сведения о командировке	Ф.И.О.
		Наименование организации, в которую направлен работник
		Период командировки
		Цель командировки
8	Сведения о проживании в Санатории	Ф.И.О.
		Период проживания
9	Контактная информация	Ф.И.О.
		Номер телефона
		Адрес электронной почты
Персональные данные иностранных клиентов или лиц без гражданства (гостей Санатория)
1	Гражданство (при наличии)
2	Сведения о рождении	Ф.И.О.
		Пол
		Дата рождения
		Место рождения
3	Сведения о месте регистрации	Ф.И.О.
		Адрес регистрации
4	Паспортные данные или данные иного документа, удостоверяющего личность	Ф.И.О.
		Наименование документа
		Серия и номер документа
		Дата выдачи документа
		Наименование органа, выдавшего документ
5	Сведения о месте работы	Ф.И.О.
		Наименование организации
		Структурное подразделение
		Должность
6	Данные банковской карты	Ф.И.О.
		Номер карты
		Срок действия карты
7	Сведения о командировке	Ф.И.О.
		Наименование организации, в которую направлен работник
		Период командировки
		Цель командировки
8	Сведения о проживании в Санатории	Ф.И.О.
		Период проживания
9	Данные визы	Ф.И.О.
		Сроки действия визы
		Тип визы
		Допустимый срок пребывания
10	Данные миграционной карты	Ф.И.О.
		Серия и номер миграционной карты
		Сроки пребывания
11	Контактная информация	Ф.И.О.
		Номер телефона
		Адрес электронной почты

 

6.2. посетителей территории Санатория – с целью обеспечения безопасности клиентов (гостей) и персонала Санатория:

Персональные данные посетителей Санатория
1	Сведения о рождении	Ф.И.О.
		Пол
		Дата рождения
		Место рождения
2	Сведения о месте регистрации	Ф.И.О.
		Адрес регистрации
3	Паспортные данные или данные иного документа, удостоверяющего личность	Ф.И.О.
		Наименование документа
		Серия и номер документа
		Дата выдачи документа
		Наименование органа, выдавшего документ
4	Гражданство (при наличии)

 

6.3. Посетители Сайта Санатория:

Персональные данные посетителей Сайта Санатория
При заполнении электронной формы бронирования на Сайте Санатория
1	Имя
2	Дата рождения
3	Адрес электронной почты
4	Номер телефона
5	Почтовый адрес
При посещении Сайта Санатория
1	Источник захода на Сайт Санатория и информация поискового или рекламного запроса
2	Данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризуемые пользовательское устройство)
3	Пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео
4	Параметры сессии
5	Данные о времени посещения
6	Данные, характеризующие аудиторные сегменты
7	Идентификатор пользователя, хранимый в cookie

 

Санаторий не осуществляет обработку следующих категорий персональных данных:

• Расовая принадлежность;
• Национальная принадлежность;
• Политические взгляды;
• Религиозные убеждения;
• Философские убеждения;
• Сведения об интимной жизни.

Обработка персональных данных субъекта персональных данных относительно состояния его здоровья осуществляется в Санатории только, если это необходимо для оказания соответствующих услуг Санатория по запросу и с письменного согласия соответствующего субъекта персональных данных, в том числе выраженного в соответствующем договоре/соглашении, и в иных случаях, предусмотренных законодательством.

Санаторий не осуществляет принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.

Санаторий не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия, за исключением случаев, предусмотренных законодательством Российской Федерации.

7. СБОР И ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные субъектов персональных данных поступают в Санаторий строго для выполнения заранее определенных целей или требований законодательства различными способами, в том числе:

• Напрямую от потенциальных или существующих клиентов (гостей) Санатория, их представителей, посредников, посетителей Санатория и/или Сайта Санатория, в целях заключения договоров, последующей коммуникации, информирования и предоставления услуг Санатория;
• От государственных органов и организаций в целях выполнения требований законодательства;
• Путем сбора и накопления новых персональных данных в ходе взаимодействия с субъектом персональных данных (история приобретения услуг, транзакций, обращений), в ходе использования посетителями Сайта Санатория (данные о местоположении, IP-адресах, действиях на Сайте Санатория и в мобильном приложении Санатория (при наличии)) или при получении вышеперечисленных персональных данных от третьих лиц на законных основаниях в целях улучшения качества предоставляемых услуг, консультирования потенциальных и существующих клиентов (гостей) Санатория, посетителей Санатория и Сайта Санатория и формирования маркетинговых предложений;
• Из общедоступных источников для получения знаний о субъекте персональных данных в целях формирования персонализированных предложений.

Санаторий не собирает персональные данные детей (лиц, не достигших 18-летнего возраста и не обладающих полной дееспособностью). Если такие данные каким-то образом были занесены в информационные системы Санатория, то при получении соответствующих инструкций от родителей или опекунов детей Санаторий немедленно удаляет персональные данные детей.

Санаторий не предоставляет и не раскрывает сведения, содержащие персональные данные клиентов (гостей) Санатория, посетителей Санатория третьей стороне без письменного согласия соответствующего субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных законодательством Российской Федерации.

Санаторий вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.

Для передачи персональных данных третьим лицам, располагающимся за пределами территории стран, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также за пределы территории стран, обеспечивающих адекватный уровень защиты персональных данных, с соответствующими третьими лицами (когда это требуется в соответствии с применимым законодательством о защите персональных данных) заключаются договоры, содержащие «Стандартные пункты контрактов» (SCC), гарантирующие соблюдение прав и свобод субъектов персональных данных. Перечень третьих лиц и передаваемых им персональных данных может быть запрошен путем обращения по _________________________.

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Санаторий обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом № 152-ФЗ.

8. СОЦИАЛЬНЫЕ СЕТИ. ИСПОЛЬЗОВАНИЕ ПЛАГИНОВ СОЦИАЛЬНОЙ СЕТИ

Передача данных входа в систему Сайта Санатория на социальные сайты третьих лиц или такие сайты, как Facebook, Vkontakte, Odnoklassniki или Twitter, требует согласия субъекта персональных данных.

Если субъект персональных данных посещает Сайт Санатория, который содержит плагин социальной сети, интернет-браузер субъекта персональных данных автоматически свяжется с сервером социальной сети. Таким образом, социальная сеть получит информацию о том, что браузер субъекта персональных данных запрашивал соответствующую страницу на Сайте Санатория, даже если у субъекта персональных данных нет профиля в соответствующей социальной сети или субъект персональных данных фактически не взаимодействовал с плагином, например, не нажал на кнопку «Нравится».

Если посетитель Сайта Санатория является пользователем социальной сети и вошел в свою учетную запись, социальная сеть может автоматически запомнить учетные данные такого посетителя Сайта Санатория. Если посетитель Сайта Санатория использует плагины, например, нажимает на кнопку «Нравится», соответствующая информация отправляется напрямую в социальную сеть и сохраняется там. По такому же принципу работают плагины «Опубликовать», «Поделиться» и «Рассказать друзьям» на Сайте Санатория. Санаторий не может повлиять на характер и объем информации, которая будет передана в социальную сеть, а также на ее последующее использование. 

Если субъект персональных данных не хочет, чтобы социальная сеть сопоставляла собранные через Сайт Санатория данные непосредственно с профилем субъекта персональных данных в социальной сети, перед посещением Сайта Санатория таким субъектом персональных данных ему следует выйти из своего аккаунта в социальной сети.

9. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. ГАРАНТИИ КОНФИДЕНЦИАЛЬНОСТИ

Санаторий предпринимает необходимые организационные и технические меры по защите персональных данных.

Санаторий принимает соответствующие меры по сбору, хранению и обработке собранных данных для защиты их от несанкционированного доступа, изменения, раскрытия или уничтожения, постоянно совершенствует способы сбора, хранения и обработки, включая физические меры безопасности, для противодействия несанкционированному доступу к нашим системам.

Принимаемые меры основаны на требованиях ст. 18.1, ст.19 Закона № 152-ФЗ, Постановлении № 687.

Осуществление допуска персонала Санатория к персональным данным, обрабатываемым в информационной системе Санатория, а также к их материальным носителям производится только для выполнения ими своих трудовых обязанностей.

Рабочие места и места хранения персональных данных оборудованы таким образом, чтобы исключить бесконтрольное использование конфиденциальной информации.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

При осуществлении хранения персональных данных оператор персональных данных использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Закона № 152-ФЗ.

Информация, относящаяся к персональным данным клиентов (гостей) Санатория и иных лиц, ставшая известной в связи с осуществлением Санаторием своей деятельности, а его работниками своих должностных (функциональных, профессиональных) обязанностей, является конфиденциальной информацией и охраняется законом. 

10. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Каждый субъект персональных данных, персональные данные которого обрабатывает Санаторий, имеет ряд прав и свобод в отношении своих персональных данных:

Право	Описание
Доступ к персональным данным	Субъект персональных данных имеет право запросить подтверждение факта обработки его персональных данных. В случае такой обработки субъект имеет право на ознакомление с обрабатываемыми персональными данными, а также информацией о целях обработки, категории обрабатываемых данных, действиях с данными, получателях данных и гарантиях при передаче данных третьим лицам, сроках обработки, источниках получения данных, наличии исключительно автоматизированного процесса принятия решений. Субъект персональных данных также имеет право на получение перечня обрабатываемых персональных данных.
Исправление персональных данных	Субъект персональных данных имеет право потребовать исправить свои персональные данные в случае обнаружения неточностей в составе персональных данных, которые обрабатываются Санаторием. Принимая во внимание цели обработки, субъект персональных данных имеет право на внесение дополнений в персональные данные, в том числе посредством предоставления дополнительного заявления.
Ограничение обработки персональных данных	Субъект персональных данных имеет право инициировать ограничение обработки всех или части своих персональных данных, если применяется одно из следующих условий: точность персональных данных оспаривается субъектом данных (ограничение на срок, необходимый Санаторию для подтверждения корректности персональных данных); выявлена неправомерная обработка персональных данных, субъект персональных данных возражает против удаления его персональных данных и вместо этого требует ограничить их использование; Санаторию больше не требуются персональные данные для целей обработки, но они требуются субъекту персональных данных для обоснования, исполнения или в рамках судебного разбирательства; субъект персональных данных возражает против обработки его персональных данных (ограничение на срок, необходимый Санаторию для установления факта, превалируют ли законные основания Санатория для обработки его персональных данных над законными требованиями субъекта персональных данных).
Удаление персональных данных	Субъект персональных данных имеет право потребовать удалить свои персональные данные из систем Санатория и/или других имеющихся материальных источников, если применяется одно из следующих условий: персональные данные больше не требуются для целей, в которых они были получены; субъект персональных данных отзывает свое согласие, на основании которого производилась обработка, если отсутствует иное юридическое основание для обработки; субъект данных возражает против обработки его персональных данных, (если отсутствуют имеющие преимущественную юридическую силу законные основания для обработки его данных); персональные данные обрабатываются незаконно; персональные данные должны быть уничтожены в целях соблюдения юридической обязанности согласно требованиям законодательства; на момент сбора персональных данных субъектом персональных данных является несовершеннолетний гражданин, при этом персональные данные были получены на основании согласия законного представителя для предоставления услуг с использованием дистанционных каналов обслуживания (information society services) непосредственно самому несовершеннолетнему.
Переносимость данных	Субъект персональных данных имеет право запросить в структурированном, универсальном и машиночитаемом формате перечень своих персональных данных, предоставленных Санаторию для обработки, и поручить Санаторию передать свои персональные третьему лицу при наличии соответствующей технической возможности у Санатория. В данном случае Санаторий не несет ответственности за действия третьего лица, совершенные в дальнейшем с персональными данными.
Возражение против обработки персональных данных	Субъект персональных данных имеет право возразить против обработки части или полного перечня своих персональных данных в целях, указанных при предоставлении Санаторию своих персональных данных, кроме случаев, когда законные основания для обработки превалируют над интересами, правами и свободами субъекта персональных данных или обработка необходима для обоснования, исполнения или ведения защиты по судебным искам.
Отказ от маркетинговых активностей	Субъект персональных данных имеет право потребовать ограничить обработку его персональных данных в целях маркетинговых активностей Санатория.
Подача жалобы в национальный надзорный орган, по месту постоянного пребывания на территории ЕС	Субъект персональных данных имеет право подать жалобу в надзорный орган, если Санаторий каким-либо образом нарушает его права в области обработки персональных данных.

В случае поступлен�