Гостиница «ГончаровЪ»

Ульяновск, ул. Федерации, 112

Политика конфиденциальности гостиницы «ГончаровЪ»

ПРИЛОЖЕНИЕ

К Приказу № 4 от 29.02.2016г.

ПОЛОЖЕНИЕ

об обеспечении безопасности персональных данных

Общие положения

Настоящее Положение об обеспечении безопасности персональных данных обрабатываемых в гостиничной деятельности Индивидуального предпринимателя Мищенко Натальи Георгиевны (далее — Положение) определяет единый порядок сбора, систематизации, накопления, хранения, использования, уничтожения во время автоматизированной и неавтоматизированной обработки персональных данных, обрабатываемых в гостиничной деятельности Индивидуального предпринимателя Мищенко Натальи Георгиевны (далее— ИП Мищенко Н. Г. или Оператор) в соответствии с законодательством Российской Федерации.

  1. Законодательная и нормативно-правовая база

Настоящее Положение разработано в соответствии со следующими законодательными и нормативно-правовыми актами:

  1. Трудовой кодекс Российской Федерации.

  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон).

  3. Федеральный закон от 27.07.2006 № 149 «Об информации, информационных технологиях и защите информации».

  4. Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

  5. Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».

  6. Федеральный закон от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».

  7. Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера».

  8. Постановление Правительства Российской Федерации от 15.07.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

  9. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

  10. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

  11. Приказ Федеральной службы по техническому и экспортному контролю от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

  12. Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

  1. Основные понятия

В настоящем Положении используются следующие основные понятия:

  1. Информация — сведения (сообщения, данные) независимо от формы их представления.

  2. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных).

  3. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

  4. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

  5. Специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

  6. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

  7. Неавтоматизированная обработка персональных данных — обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

  8. Смешанная обработка персональных данных — обработка персональных данных как с помощью средств вычислительной техники, так и без их использования.

  9. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

  10. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

  11. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

  12. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

  13. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

  14. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

  15. Угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

  16. Уровень защищенности персональных данных — комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

  17. Документированная информация- зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

  18. Материальные носители- объекты для хранения персональных данных (бумага, CD- R диски, flash накопители и др.).

  1. Цели обработки персональных данных

Персональные данные Оператором обрабатываются в следующих целях:

  • обеспечения соблюдения требований Конституции Российской Федерации, законодательных и иных нормативно-правовых актов Российской Федерации, локальных нормативных актов Оператора;

  • регулирования трудовых отношений с работниками Оператора;

  • подготовки, заключения, исполнения и прекращения гражданско-правовых договоров;

  • осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности;

  • регистрация Клиентов гостиницы;

  • передача данных органам Миграционной службы

  • в иных законных целях

  1. Категории обрабатываемых персональных данных:

  1. Работники: фамилия, имя, отчество; пол; наименование организации работодателя; наименование занимаемой должности; режим работы; данные паспорта ( серия, номер, кем и когда выдан); дата и место рождения; адрес места жительства и прописки; индивидуальный номер налогоплательщика (ИНН); номер страхового свидетельства (СНИЛС); контактный телефон; номер свидетельства о рождении; номер свидетельства о браке; номер трудовой книжки; информация о сделанных прививках; информация о поставленных диагнозах; гражданство; данные о воинском учете (серия документа, отношение к воинской службе, категория годности, военная учетная специальность); стаж работы; сведения о доходах; информация о социальных льготах; информация об образовании; информация о донорстве; сведения о социальных льготах; другие данные, вносимые в личную карточку работника ( форма Т-2).

  2. Клиенты: фамилия, имя, отчество; дата заезда; дата выезда; реквизиты визы (кому выдана, дата выдачи, срок действия, серия, № визы); реквизиты миграционной карты (фамилия, имя, отчество, гражданство, срок пребывания в РФ, профессия, серия, номер карты); данные паспорта (серия, номер, кем и когда выдан); дата рождения; место рождения; контактный телефон; адрес регистрации; адрес электронной почты; пол; гражданство.

  1. Категории субъектов персональных данных:

  • работники Оператора;

  • клиенты оператора;

  • иные лица, давшие согласие Оператору, на обработку своих персональных данных, либо сделавших общедоступными свои персональные данные. А также в других случаях, предусмотренных законодательством Российской Федерации.

  1. Права субъектов персональных данных:

    1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Закона, за исключением случаев, предусмотренных частью 8 статьи 14 Закона. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законом меры по защите своих прав.

    2. В соответствии с частью 7 статьи 14 Закона, субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Оператором;

  • правовые основания и цели обработки персональных данных;

  • цели и применяемые Оператором способы обработки персональных данных;

  • наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Закона;

  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Законом;

  • сроки обработки персональных данных, в том числе сроки их хранения;

  • порядок осуществления субъектом персональных данных прав, предусмотренных Законом;

  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

  • иные сведения, предусмотренные федеральными законами.

Эти сведения должны быть предоставлены субъекту персональных данных по его запросу Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

    1. В соответствии с частью 8 статьи 14 Закона право субъекта персональных данных может быть ограничено в соответствии с федеральными законами, в том числе если:

  1. обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

  2. обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

  3. обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

  4. доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

  5. обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

    1. В случае если сведения, указанные в пункте 7.2. настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных, в порядке указанном впункте 7.2. настоящего Положения, вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 7.2. настоящего Положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального (предыдущего) обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с таким законом нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

    2. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, а именно:

  • если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос не ранее чем через тридцать дней после первоначального обращения или первоначального запроса;

  • субъект персональных данных вправе повторно обратиться к Оператору до истечения тридцатидневного срока, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.

Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

  1. Запросы, поступающие Оператору, обрабатываются в соответствии с Законом и с утвержденной инструкцией по ведению делопроизводства. Ответ на запрос предоставляется в соответствии с законодательством Российской Федерации, при предоставлении документа, удостоверяющего личность (с наличием фото). Ответы на запросы граждан и организаций даются в объеме полученного запроса, за исключением данных, содержащихся в материалах запроса или опубликованных в общедоступных источниках. Жалобы субъектов персональных данных (в том числе в электронном виде) на нарушение прав в области незаконного использования их персональных данных, оформленные в соответствии с требованиями, установленными законодательством, регистрируются в журнале регистрации и учета обращений. Лицо, ответственное за организацию обработки персональных данных, несет ответственность за организацию приема и обработку обращений и запросов субъектов персональных данных или их представителей по нарушению прав в области незаконного использования их персональных данных, и осуществляет контроль за приемом и обработкой таких обращений и запросов.

  2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент по его письменному заявлению.

  1. Обязанности субъекта персональных данных.

7.1 Субъект персональных данных обязан: передавать Оператору или его представителю достоверные персональные данные, необходимые для достижения законных целей обработки персональных данных, Оператором.

    1. Сообщать Оператору или его представителю об изменении своих персональных данных.

  1. Общие права и обязанности Оператора персональных данных.

    1. При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона (п. 7.2. настоящего Положения).

    1. При определении объема и содержания обрабатываемых персональных данных субъекта персональных данных работники Оператора, осуществляющие обработку персональных данных, должны руководствоваться Конституцией РФ, Трудовым кодексом РФ, Законом и иными федеральными законами, а также настоящим Положением.

    2. Сотрудник Оператора, осуществляющий обработку персональных данных, при обращении либо при получении запроса от субъекта персональных данных, должен сообщить ему цели обработки персональных данных, их состав, при необходимости ознакомить субъекта персональных данных с положениями Политики обработки персональных данных в гостиничной деятельности Индивидуального предпринимателя Мищенко Натальи Георгиевны, а также, при необходимости, объяснить последствия отказа в предоставлении персональных данных.

    3. При обработке персональных данных сотрудники Оператора и иные лица, получившие доступ к персональным данным, обязаны не раскрывать и не распространять третьим лицам персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации.

    4. При сборе персональных данных, в том числе посредством информационно-коммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1, статьи 6 Закона, а именно:

  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

  • обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ " Об организации предоставления государственных и муниципальных услуг«, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

  • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

    1. Оператор обязан принимать меры необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в сфере персональных данных и принятых в соответствии с ним нормативными правовыми актами. К таким мерам относятся:

    • назначение Оператором ответственного за организацию обработки персональных данных;

  • издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

  • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с пунктом 9.7. настоящего Положения;

  • осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам; требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

    • оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации;

    • ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

    1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    2. Обеспечение Оператором безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных

  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

  • учетом машинных носителей персональных данных;

  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

  1. Получение персональных данных Оператором.

    1. Все персональные данные субъекта персональных данных (независимо от указанной в пункте 6 настоящего Положения категории субъекта персональных данных) Оператор получает у него самого. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона (пункт 7.2. Положения).

9.2. Если персональные данные получены не от субъекта персональных данных, Оператор, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

  • наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

  • цель обработки персональных данных и ее правовое основание;

  • предполагаемые пользователи персональных данных;

  • установленные Законом права субъекта персональных данных;

  • источник получения персональных данных.

    1. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные пунктом 10.2. настоящего Положения, в случаях, если:

  • субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

  • персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

  • персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

  • оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

  • предоставление субъекту персональных данных сведений, предусмотренных пунктом 10.2. настоящей статьи, нарушает права и законные интересы третьих лиц.

    1. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пункте 9.5. настоящего Положения.

    2. Субъект персональных данных предоставляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.

    3. В отдельных случаях, с учетом специфики работы, предусматривается необходимость предъявления дополнительных документов.

  1. Действия, осуществляемые с персональными данными.

В процессе обработки персональных данных Оператор может осуществляться следующие действия:

    • сбор;

    • запись;

    • систематизация;

    • накопление;

    • хранение;

    • уточнение (обновление, изменение);

    • извлечение;

    • использование;

    • передача (распространение, предоставление, доступ);

    • обезличивание;

    • блокирование;

    • удаление;

    • уничтожение.

  1. Режим конфиденциальности персональных данных.

Персональные данные являются конфиденциальной информацией. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (Приложение 1).

  1. Неавтоматизированная обработка персональных данных.

    1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обосабливаются от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители).

    2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. При неавтоматизированной обработке персональных данных различных категорий для каждой категории должен использоваться отдельный материальный носитель.

    3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, соблюдаются условия и требования локального нормативного документа, определяющего порядок защиты информации.

    4. В случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и иной информации, не являющейся персональными данными, а также при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:

  • осуществляется копирование персональных данных, подлежащих передаче или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих передаче или использованию;

  • при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

    1. Уточнение персональных данных при неавтоматизированной обработке производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

  1. Автоматизированная обработка персональных данных. Особенности принятия решений Оператором на основании исключительно автоматизированной обработки персональных данных.

    1. Автоматизированная обработка персональных данных реализуется в рамках информационных систем персональных данных (Приложение 2), перечень которых утверждается Оператором. Безопасность обработки персональных данных в информационных системах персональных данных обеспечивается путем нейтрализации актуальных угроз.

    2. При необходимости использования или передачи определенных персональных данных отдельно от находящихся на том же носителе других персональных данных, осуществляется перенос требуемых персональных данных (выборочное копирование данных на другой носитель), с последующим использованием копии.

    3. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии его согласия в письменной форме или в иных случаях, предусмотренных законодательством Российской Федерации.

    4. При получении согласия субъекта персональных данных, субъекту персональных данных разъясняется порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставляется возможность заявить возражение против такого решения, а также разъясняется порядок защиты субъектом персональных данных своих прав и законных интересов. Возражения субъекта персональных данных рассматриваются Оператором в течение тридцати дней со дня их получения, и субъект персональных данных уведомляется о результатах рассмотрения такого возражения.

    5. Уничтожение машинных носителей и записей, содержащихся на машинных носителях, осуществляется способом, исключающим восстановление уничтоженных персональных данных.

  1. Смешанная обработка персональных данных.

При организации смешанной обработки персональных данных учитываются особенности как автоматизированного, так и неавтоматизированного способов обработки персональных данных.

  1. Согласие субъекта персональных данных на обработку его персональных данных.

    1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

    2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных (Приложение 3). В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии следующих оснований:

  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

  • обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

  • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

  • обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;

  • обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

  • обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;

  • обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

  • обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

  • обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

  • обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

  • обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

  • обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

  • обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

  • обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

  • обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

    1. Обработка персональных данных субъекта персональных данных только с согласия в письменной форме (Приложение 4) осуществляется Оператором в следующих случаях:

  • при создании Оператором общедоступных источников персональных данных (в том числе справочники, адресные книги);

  • при обработке специальных категорий персональных данных;

  • при обработке биометрических категорий персональных данных;

  • при осуществлении Оператором трансграничной передачи персональных данных;

  • при принятии Оператором решений на основании исключительно автоматизированной обработки персональных данных.

    1. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

    2. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

  • фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

  • цель обработки персональных данных;

  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

  • подпись субъекта персональных данных.

    1. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

    2. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

  1. Обработка биометрических и специальных категорий персональных данных.

    1. Специальные категории персональных данных обрабатываются Оператором только при наличии согласия в письменной форме субъекта персональных данных (пункт 5.11.5. настоящего Положения).

    2. Обработка специальных категорий персональных данных осуществляется на основании пунктов 4., 5., 6., 7. настоящего Положения устанавливающих перечень категорий персональных данных, субъектов персональных данных, цели и способы обработки.

    3. Биометрические персональные данные Оператором не обрабатываются.

  1. Трансграничная передача персональных данных.

Трансграничная передача персональных данных Оператором не осуществляется.

  1. Передача персональных данных.

При передаче персональных данных субъектов персональных данных Оператор должен соблюдать следующие требования:

  • Не сообщать персональные данные субъекта персональных данных третьей стороне без согласия сотрудника, за исключением случаев, установленных Законом.

  • Предупредить лиц, имеющих допуск к персональным данным обрабатываемым Оператором, о том, что эти персональные данные могут быть использованы лишь в целях, для которых они обрабатываются, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, имеющие допуск к персональным данным обрабатываемым Оператором, обязаны соблюдать режим конфиденциальности. Данное требование не распространяется на предоставление персональных данных в порядке, установленном федеральными законами.

  • Передавать персональныеданные обрабатываемые Оператором в уполномоченные органы исполнительной власти (ФНС, ПФР, ФОМС и т. д.) в соответствии с требованиями законодательства Российской Федерации.

  • Осуществлять передачу персональных данных в соответствии с настоящим Положением.

  • Разрешать доступ к персональным данным обрабатываемым Оператором только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

  • Передавать персональные данные субъекта персональных данных его законным, полномочным представителям в порядке, установленном Трудовым кодексом Российской Федерации.

  1. Доступ к персональным данным.

    1. Внутренний доступ (доступ внутри организации).

Право доступа к персональным данным сотрудников имеют:

  • Индивидуальный предприниматель;

  • Управляющий;

  • Заместитель Управляющего;

  • Администраторы;

  • Бухгалтерия;

    1. Внешний доступ.

К числу массовых потребителей персональных данных вне гостиничной деятельности Индивидуального предпринимателя Мищенко Натальи Георгиевны относятся:

  • налоговые инспекции;

  • правоохранительные органы;

  • органы социального страхования;

  • военкоматы;

  • пенсионные фонды;

  • подразделения муниципальных органов управления.

  • родственники и члены семей, персональные данные сотрудника, которым могут быть предоставлены только с письменного разрешения самого сотрудника.

  1. Хранение персональных данных.

    1. Сведения о субъектах персональных данных на бумажных носителях должны храниться Оператором в специальных шкафах и сейфах; помещения, в которых находятся персональные данные закрываются и опечатываются. Оператором, для контроля за помещениями, используется система видеонаблюдения. Ключи от помещений, в которых хранятся сведения о субъектах персональных данных, сдаются на пост охраны здания.

    2. Базы данных субъектов персональных данных граждан Российской Федерации находятся по адресам:

  • г. Ульяновск, ул. Федерации, д. 112.

    1. Обязанности по хранению сведений о субъектах персональных данных, заполнению, хранению и выдаче документов, содержащих персональных данных, возлагаются на начальников структурных подразделений Оператора.

    2. В процессе хранения персональных данных субъектов персональных данных необходимо обеспечивать контроль за достоверностью

полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

    1. Хранение персональных данных должно осуществляться не дольше, чем это необходимо для достижения целей их обработки, либо чем это определено Федеральным законом, принятым в соответствии с ним нормативным актом, договором или иным документом, являющимся основанием для обработки и хранения персональных данных.

  1. Блокирование персональных данных.

    1. Оператор блокирует соответствующие персональные данные, в случае:

  • предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту персональных данных и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

  • выявления неправомерных действий с персональными данными Оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных.

    1. Блокирование персональных данных Оператором при перечисленных выше случаях осуществляется на основании письменного заявления субъекта персональных данных. Заявление от работника Оператора направляется на имя специалиста по кадрам, заявление от других категорий субъектов персональных данных — на имя Индивидуального предпринимателя.

  1. Уничтожение персональных данных.

    1. Субъект персональных данных вправе требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

    2. Оператор обязан уничтожить соответствующие персональные данные на основании заявления субъекта персональных данных и предоставлении им сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработка которых осуществляется, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

    3. Уничтожение персональных данных, при наступлении указанных выше обстоятельств, осуществляется комиссией, создаваемой распоряжением Индивидуального предпринимателя, в составе:

  • Управляющего;

  • Администратора;

  • Бухгалтера.

23.4. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

23.5 Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных на данном материальном носителе (удаление, вымарывание).

    1. Факт уничтожения персональных данных/носителей персональных данных фиксируется в «Акте об уничтожении персональных данных субъектов персональных данных» (Приложение 6).

Согласие на обработку персональных данных


Файлы Cookie

На сайте используются куки (cookies). Куки — это небольшие файлы данных, которые сохраняются на Вашем компьютере или устройстве при посещении нашего веб-сайта. С их помощью веб-браузер запоминает информацию, которая позволяет упростить работу с сайтом и сделать его более удобным для каждого пользователя. Информация о том, как и когда Вы посещаете наш сайт, помогает нам улучшить его. Создание файла куки возможно только в том случае, если это разрешено в настройках Вашего веб-браузера. В любом браузере файлы куки доступны только для того веб-сайта, который является их создателем. Другие веб-сайты не будут иметь доступа к этим файлам. На сайте используются куки Яндекс. Метрики и Google Analytics, которые определяют сессию посетителя, идентифицируют уникального посетителя, отслеживают источник трафика и навигацию. Если Вы не хотите хранить файлы cookie, отключите эту функцию в браузере для этого сайта.

Google Analytics и Яндекс Метрика

На сайте дополнительно установлены коды сервисов статистики Google Analytics и Яндекс Метрика для анализа посещаемости и активности пользователей сайта. Мы с большим уважением относимся к персональным данным Пользователя и не собираем какую-либо информацию, на сбор которой установлены законодательные ограничения. Такие данные подпадают под 4-ю категорию персональных данных (обезличенные и (или) общедоступные персональные данные).

Google Analytics, сервис веб-аналитики, предоставленный Google, Inc. («Google»). Google Analytics использует «куки», которые представляют собой текстовые файлы, размещенные на вашем компьютере, чтобы помочь веб-сайту проанализировать, как пользователи используют сайт.

Яндекс. Метрика — программа для отслеживания и веб-аналитики от компании ООО «ЯНДЕКС». С ее помощью осуществляется сбор анонимных (без привязки к персональным данным посетителей сайта) данных о посещениях сайта с целью лучшего понимания их поведения и улучшения сайта. Для получения дополнительных сведений о сборе данных сервисом «Яндекс. Метрика» ознакомьтесь с документами


Сторонние сайты и услуги

На нашем сайте могут быть ссылки на веб-сайты, продукты и услуги третьих лиц. Наши продукты и услуги могут также использовать или предлагать продукты или услуги третьих лиц. Персональные данные и информация, собираемая третьими лицами, которые могут включать такие сведения, как данные местоположения или контактная информация, регулируется правилами соблюдения конфиденциальности таких третьих лиц. Мы призываем Вас изучать правила соблюдения конфиденциальности таких третьих лиц.


Обратная связь. Вопросы и предложения.

Получить ответы на вопросы, касающиеся нашей политики конфиденциальности, вы можете одним из удобных способов:

  • напишите письмо на почту ;
  • позвоните +7 (8422) 30 32 50.