1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящий документ определяет политику ИП АВЕТИСЯН МИХАИЛА ГЕРАСИМОВИЧА ОГРН 322237500422470, ИНН 230112635853, адрес местонахождения: Россия, Краснодарский край, г. Анапа, ул. Шевченко, д. 185, с. 2, (далее – Отель) в отношении обработки и обеспечения безопасности персональных данных.

1.2 Настоящая Политика обработки и защиты персональных данных (далее — Политика) разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Отеле.

1.3 Положения настоящей Политики являются обязательными для исполнения всеми работниками Отеля.

1.4 Положения настоящей Политики являются основой для организации всех процессов в Отеле, связанных с обработкой и защитой персональных данных.

1.5 Настоящая Политика разработана во исполнение Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также другими нормативно-правовыми актами Российской Федерации в области обработки персональных данных.

1.6 Настоящая Политика устанавливает:

· категории субъектов персональных данных;

· цели обработки персональных данных;

· права и обязанности оператора и субъектов персональных данных;

· порядок и условия обработки персональных данных;

· меры по обеспечению безопасности персональных данных при их обработке;

· срок хранения и уничтожение персональных данных;

· заключительные положения.

1.7 Настоящая Политика подлежит размещению на общедоступном ресурсе – на официальном сайте Отеля  https://karavellaanapa.ru// (далее — Сайт) в неограниченном доступе.

1.8 Настоящая Политика распространяется на персональные данные гостей Отеля, собираемые Отелем:

· на официальном Сайте;

· посредством приложений для компьютеров и мобильных устройств;

· посредством переписки в мессенджерах посредством смс сообщений;

· на управляемых Отелем страницах в социальных сетях;

· посредством рассылаемых электронных сообщений и в ходе общения с Гостем онлайн либо лично;

· при помощи третьих лиц и из других источников, таких как общедоступные базы данных;

· в случае посещения или размещения в качестве Гостя в Отеле или при любом другом внесетевом взаимодействии.

1.9 Согласие Субъекта персональных данных с настоящей Политикой и указанными в ней условиями обработки его персональных данных может быть выражено в форме совершения Субъектом персональных данных конклюдентных действий, например:

· принятия условий договора на услуги, предоставляемые Отелем;

· продолжения использования Сайта Отеля, взаимодействия с его пользовательскими интерфейсами после уведомления Пользователя об обработке данных;

· предоставления необходимых разрешений мобильному приложению при запросе, в момент установки или использования;

· проставления отметок, заполнения соответствующих полей в формах, бланках;

· иных действий, совершаемых субъектом персональных данных, по которым можно судить о его волеизъявлении.

1.9.1 В случае несогласия с условиями настоящей Политики Субъект персональных данных должен воздержаться от использования Сайта и его сервисов и/или потребления услуг.

1.9.2 В отдельных случаях, предусмотренных законодательством Российской Федерации, согласие оформляется в письменной форме с указанием сведений, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.10 Настоящая Политика действует бессрочно после утверждения и до ее замены новой версией.

1.11 Настоящая Политика подлежит пересмотру в связи с изменением законодательства Российской Федерации в области обработки и защиты персональных данных, по результатам оценки актуальности, достаточности и эффективности принимаемых мер обеспечения безопасности обработки персональных данных в Отеле.

1.12 Действие настоящей Политики распространяется на действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1 Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2 Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В настоящей Политике под Оператором понимается Индивидуальный предприниматель Аветисян Михаил Герасимович, ИНН 230112635853, ОГРН 322237500422470, зарегистрированное по адресу: Краснодарский край, Анапский район, с. Супсех, ул. Строителей, д. 14.

2.3 Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

2.4 Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.5 Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.6 Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.7 Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.8 Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.9 Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.10 Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.11 Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.12 Сайт – официальный сайт Компании, расположенный в сети интернет по адресу https://karavellaanapa.ru//, предоставляющий пользователям возможность получить информацию о событиях и мероприятиях, проводимых Компанией, в том числе посредством заполнения формы обратной связи, и подписаться на получение рассылок.

3. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Категории субъектов персональных данных, которые обрабатываются Оператором: 3.1.1. Работники – физические лица, кандидаты на работу, работники, члены их семей, бывшие работники, а также иные лица, персональные данные которых Организация обязана обрабатывать в соответствии с трудовым законодательством;

3.1.2. Клиенты – физические лица, заказчики гостиничных услуг или иные физические лица, имеющие намерение заказать или приобрести либо заказывающие, приобретающие гостиничных услуги от имени потребителя (гостя), в том числе законные представители несовершеннолетнего потребителя (гостя);

3.1.3. Клиенты (гости) – физические лица, имеющие намерение заказать или приобрести либо заказывающий, приобретающий и (или) использующий гостиничные услуги исключительно для личных и иных нужд (гости).

3.1.4. Контрагенты – физические лица (субъекты персональных данных), заключающие или намеревающиеся заключить гражданскоправовой договор с Оператором;

3.1.5. Пользователи – физические лица, пользователи Сайта Организации в информационнотелекоммуникационной сети «Интернет» — физические лица, желающие получить информацию в отношении оказываемых Организацией услуг или заключить договор оказания гостиничных услуг.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных.

4.2 Персональные данные пользователя обрабатываются в следующих целях:

· Идентификации Гостя для бронирования и приобретении услуг, осуществляемых непосредственно в Отеле.

· Идентификации Гостя для целей потребления иных услуг Отеля.

· Идентификации Пользователя, зарегистрированного на Сайте с целью потребления услуг, предоставляемых сайтом (приобретение подарочных сертификатов, бронирование номеров, организация мероприятий и пр.)

· Установления с Пользователем и/или Гостем обратной связи, в том числе: направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработку запросов и заявок от Пользователя.

· Подтверждения достоверности и полноты персональных данных, предоставленных Пользователем и/или Гостем.

· Создания учетной записи для личного кабинета, если пользователь дал согласие на создание учетной записи.

· Уведомления пользователя об отмене, замене проводимых мероприятий, изменении локальных актов, устанавливаемых для Пользователей.

· Предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта и оказания гостиничных услуг.

· Осуществления рекламной деятельности в т.ч. информирование Гостей о предложениях, мероприятиях, акциях, услугах Отеля и его партнеров, в целях изучения мнений (опросы, исследования), улучшения качества услуг, оказываемых Отелем и его партнерами. В случае нежелания получения рекламных сообщений, лицо, давшее согласие на получение рекламной информации, вправе отписаться от рекламы по электронной почте, перейдя по ссылке, указанной в рекламной сообщении, либо путем блокирования абонента, от которого получено рекламное сообщение (Viber, WhatsApp и пр.).

· Идентификации лица, выполняющего на территории Отеля работы на основании заключенных гражданско-правовых договоров.

4.3 Обработка персональных данных не может осуществляться в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации прав и свобод субъектов персональных данных.

5. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 Субъекты персональных данных имеют право (при личном обращении или при направлении письменного запроса) на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

— подтверждение факта обработки персональных данных;

— правовые основания и цели обработки персональных данных;

— цели и применяемые Компанией способы обработки персональных данных;

— наименование и место нахождения Компании,

— сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;

— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

— сроки обработки персональных данных, в том числе сроки их хранения;

— порядок осуществления субъектом персональных данных прав, предусмотренных федеральными законами;

— информацию об осуществленной или о предполагаемой трансграничной передаче данных;

— информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»;

— иные сведения, предусмотренные федеральными законами.

5.2 Субъекты персональных данных могут возражать против принятия решений на основании исключительно автоматизированной обработки персональных данных.

5.3 В любой момент изменить (обновить, дополнить) предоставленные им персональные данные, зайдя в Личный кабинет в случаях, когда это позволяет сделать функционал Сайта;

5.4 Удалить предоставленные им персональные данные путем направления в «Отель» письменного уведомления с указанием персональных данных, которые должны быть удалены;

5.5 Субъекты персональных данных обязаны:

— предоставлять достоверную и актуальную информацию о себе, в том числе актуальные контактные данные, принадлежащие субъекту персональных данных;

— своевременно сообщать о необходимости внесения изменений (обновлений, уточнений) в персональные данные;

— знакомиться с актуальными версиями настоящей Политики, публикуемой на сайте Компании или доступной для ознакомления иным способом.  

5.6 Компания, являясь оператором персональных данных, обязана:

— осуществлять обработку персональных данных на законной и справедливой основе в соответствии с требованиями и условиями законодательства РФ;

— обеспечивать конфиденциальность персональных данных и принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

— исполнять иные обязанности, установленные Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных»

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Общество осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных с целью достижения целей обработки.

6.2. Обработка персональных данных осуществляется на основании предоставления согласия Субъекта на обработку его персональных данных для достижения целей обработки персональных данных.

6.3. Под обработкой персональных данных в Обществе понимается сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

6.4. Оператор вправе передавать персональные данные органам власти по основаниям, предусмотренным действующим законодательством Российской Федерации.

6.5. Обработка персональных данных в Отеле производится на основе соблюдения принципов:

— законности целей и способов обработки персональных данных;

— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

6.6 Компания поручает обработку персональных данных следующим третьим лицам:

1. АО «ПФ «СКБ Контур» в целях оказания услуг бронирования, в том числе для обработки запросов, оформления и подтверждения бронирования, консультации по уточнению или изменению бронирований и иных сопутствующих услуг Отеля в следующем объеме:  фамилия, имя, отчество; номер телефона; адрес электронной почты; гражданство; сведения, необходимые для совершения финансовых операций (реквизиты. банковской карты/счета, полученные в процессе оплаты).

7. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

7.1. При обработке персональных данных Отель принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. Обеспечение безопасности персональных данных достигается, в частности:

— Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

— Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.

— Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

— Учетом машинных носителей персональных данных.

— Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер.

— Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

— Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

— Обучением персонала «Отеля», участвующего в обработке персональных данных, вопросам обеспечения безопасности персональных данных.

— Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8. СРОК ХРАНЕНИЯ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных. Такие персональные данные подлежат уничтожению Обществом, если:

— иное не предусмотрено договором, стороной которого является субъект персональных данных;

— иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.
 8.2. Уничтожение персональных данных осуществляет комиссия, созданная приказом Индивидуального предпринимателя.

8.3. Бумажные носители персональных данных подлежат уничтожению путем разрезания, сжигания, использования иных способов механического уничтожения. Персональные данные, хранящиеся на электронных носителях, подлежат уничтожению путем стирания с электронных носителей

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. К настоящей Политике обеспечивается неограниченный доступ.

9.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

9.3. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами ИП Аветисян М.Г.