Политика в отношении обработки персональных данных АО Пансионат Кристалл
12 декабря 2023 года, г. Сочи
1. Определения и сокращения, применяемые в Политике*
1.1. Заголовки к разделам и подразделам настоящей политики (по тексту – Политика) используются исключительно для удобства и ссылок на них и не будут использоваться для толкования любого пункта этого документа.
1.2. Используемые в Политике нижеприведенные термины и определения имеют следующий смысл:
- блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);
- Закон № 152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- законодательство Российской Федерации – законы, иные нормативные правовые акты, нормативные акты, правовые акты, действующие на территории Российской Федерации, в том числе акты уполномоченных государственных органов, международные договоры, действующие в Российской Федерации;
- ИС ПД – информационная система ПД; совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств;
- обезличивание ПД – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД;
- обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД;
- Оператор – АО "Пансионат "Кристалл", самостоятельно или совместно с другими лицами организующее и / или осуществляющее обработку ПД, а также определяющее цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД;
- ПД – персональные данные, любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД);
- предоставление ПД – действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц;
- работник – субъект трудового права, физическое лицо, состоящее в трудовых отношениях с Оператором;
- распространение ПД – действия, направленные на раскрытие ПД неопределенному кругу лиц;
- средства автоматизации – совокупность программных, технических и программно-технических средств, способных функционировать самостоятельно или в составе других систем;
- трансграничная передача ПД – передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в ИС ПД и / или в результате которых уничтожаются материальные носители ПД;
- «cookies» – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Веб-клиент (обычно веб-браузер) всякий раз при попытке открыть страницу соответствующего сайта пересылает этот фрагмент данных веб-серверу в составе HTTP -запроса. Применяется для сохранения данных на стороне пользователя, на практике обычно используется для аутентификации пользователя, хранения персональных предпочтений и настроек пользователя, отслеживания состояния сеанса доступа пользователя, сведения статистики о пользователях.
2. Общие положения
2.1. Политика является обязательным для применения и исполнения локальным нормативным актом, основополагающим документом, содержащим общие цели, принципы и нормы Оператора при обработке ПД.
2.2. Политика разработана в соответствии со статьей 18.1 Закона № 152-ФЗ в целях реализации требований законодательства Российской Федерации в области обработки и защиты ПД и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПД Оператором, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
2.3. Отношения, связанные с обработкой и защитой ПД, предоставленных субъектом ПД, регулируются Политикой, локальными нормативными актами Оператора и законодательством Российской Федерации.
2.4. Правовыми основаниями обработки ПД являются:
- федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
- договоры, заключаемые между Оператором и субъектами ПД;
- согласие субъекта ПД на обработку ПД.
2.5. Действие Политики распространяется на отношения, связанные с обработкой ПД, полученных Оператором как до, так и после ее утверждения, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПД, полученных до ее утверждения.
3. Цели обработки ПД, категории субъектов ПД, перечень и категории обрабатываемых ПД
3.1. ПД обрабатываются Оператором в непротиворечащих законодательству Российской Федерации целях и в своих законных интересах, если такая обработка не нарушает прав субъектов ПД.
3.2. Обработка ПД, избыточных по отношению к заявленной цели их обработки, не допускается.
3.3. Цели обработки ПД:
- заключение сделок и исполнение обязательств, вытекающих из договорных и иных гражданско-правовых отношений;
- предоставление субъекту ПД информации о продукции Группы ЛСР, специальных предложениях, наличии товара, предоставление иных сведений и консультаций, а также осуществление новостной рассылки, направление сообщений рекламного характера, в том числе для последующего заключения любых разрешенных законодательством Российской Федерации сделок;
- проведение с участием субъектов ПД мероприятий (экскурсии, показы и т.д.);
- проведение акций, опросов, маркетинговых и иных исследований;
- подготовка и передача ответов на обращения субъектов ПД;
- обеспечение пропускного и внутриобъектового режимов на объектах Оператора;
- формирование справочных материалов для внутреннего информационного обеспечения деятельности Оператора и предприятий Группы ЛСР;
- выполнение предусмотренных законодательством Российской Федерации прав и обязанностей работодателя, включая привлечение и отбор кандидатов на работу;
- участие в судопроизводстве и исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- осуществление и исполнение функций, полномочий и обязанностей, возложенных на Оператора законодательством Российской Федерации, а также для достижения иных целей, предусмотренных законодательством Российской Федерации.
3.4. Оператором обрабатываются ПД следующих субъектов ПД:
- физических лиц - клиентов, посетителей сайта Оператора в сети Интернет (далее – сайт Оператора), пользователей мобильного приложения Оператора, контрагентов и потенциальных клиентов и контрагентов Оператора;
- физических лиц, являющихся представителями или участниками контрагентов и потенциальных контрагентов Оператора;
- работников, бывших работников, кандидатов на вакантные должности Оператора и предприятий Группы ЛСР (далее – соискатели) и их родственников;
- физических лиц - участников Оператора, представителей участников Оператора (юридических лиц);
- иных лиц в случаях, предусмотренных законодательством Российской Федерации или локальными нормативными актами Оператора.
3.5. В состав ПД посетителей сайта Оператора, пользователей мобильного приложения Оператора, клиентов, работников и соискателей Оператора, их родственников входит информация, предоставляемая субъектами ПД, в том числе в ходе регистрации личного кабинета на сайте Оператора или в мобильном приложении Оператора.
3.6. Оператор обрабатывает следующие ПД, полученные от посетителей сайта Оператора или пользователей в мобильном приложении Оператора:
- фамилия, имя, отчество;
- адрес электронной почты;
- номера телефонов;
- год, месяц, дата и место рождения;
- IP адрес;
- иные данные, сообщенные Оператору субъектом ПД при посещении им сайта Оператора или при использовании мобильного приложения Оператора.
3.7. К ПД клиентов и потенциальных клиентов Оператора относятся следующие сведения:
- фамилия, имя, отчество;
- пол;
- дата и место рождения;
- гражданство и паспортные данные;
- СНИЛС;
- ИНН;
- состояние в браке;
- состав семьи;
- адрес места жительства, домашний / мобильный телефон;
- адрес электронной почты;
- иные сведения, переданные субъектом ПД Оператору.
3.8. К ПД физических лиц, являющихся представителями или участниками контрагентов и потенциальных контрагентов Оператора, относятся следующие сведения:
- фамилия, имя, отчество;
- гражданство, паспортные данные;
- иные сведения, предоставленные Оператору субъектом ПД.
3.9. Обработка ПД работников и соискателей:
3.9.1. В состав ПД работников и соискателей входит документально подтвержденная информация, получаемая из официальных документов соискателя, предъявляемых им с целью трудоустройства и при приеме на работу, а также из документов, полученных от работника в процессе его трудовой деятельности.
3.9.2. При заключении трудового договора лицо, поступающее на работу к Оператору, предъявляет документы в соответствии со ст. 65 Трудового кодекса Российской Федерации и согласие на обработку своих ПД.
3.9.3. К ПД работника, соискателя относятся следующие сведения:
- фамилия, имя, отчество;
- пол;
- дата и место рождения;
- гражданство и паспортные данные;
- СНИЛС;
- ИНН;
- знание иностранного языка;
- образование, специальность;
- стаж работы;
- предыдущие места работы;
- состояние в браке;
- состав семьи;
- адрес места жительства, домашний / мобильный телефон;
- сведения о воинском учете;
- иные сведения, переданные работником или соискателем Оператору.
3.10. Перечень обрабатываемых ПД участников Оператора определяется законодательством Российской Федерации.
3.11. Специальные категории ПД, а также биометрические ПД субъектов ПД обрабатываются Оператором в порядке, установленном законодательством Российской Федерации.
4. Использование файлов «cookies»
4.1. Обработка персональных данных в виде «cookies» осуществляется веб-сайтом с использованием метрических программ.
4.2. Оператор использует файлы «cookies» на официальном сайте, мобильном приложении, которые принадлежат Оператору или используются им на законных основаниях.
4.3. Файлы «cookies» используются Оператором с целью:
- обеспечения функционирования и улучшения качества сайта Оператора;
- смягчения рисков предотвращения возможного мошенничества, обеспечения безопасности при использовании сайтов;
- хранения персональных предпочтений и настроек пользователей;
- ведения аналитики.
4.4. Пользователь может самостоятельно управлять файлами «cookies». Используемый браузер может позволять блокировать, удалять или иным образом ограничивать использование файлов «cookies».
4.5. При удалении или ограничении использования файлов «cookies» некоторые функции сайта могут оказаться недоступны.
4.6. Обрабатываемые файлы «cookies» уничтожаются, либо обезличиваются по достижении указанных выше целей обработки или в случае утраты необходимости в достижении этих целей.
4.7. Субъект персональных данных вправе отказаться от предоставления «cookies», и в этом случае веб-сайт Общества будет использовать только те «cookies», которые необходимы для функционирования сайта и предлагаемых им сервисов.
5. Условия обработки ПД и их передачи третьим лицам
5.1. Обработка ПД субъекта ПД осуществляется в течение срока, необходимого для целей, указанных в Политике, любым законным способом, в том числе в ИС ПД, с использованием средств автоматизации или без использования таких средств.
5.2. В случаях, предусмотренных Законом № 152-ФЗ, допускается распространение Оператором ПД (раскрытие ПД неопределенному кругу лиц).
5.3. Содержание и объем обрабатываемых ПД определяются целями их обработки, приведенными в разделе 3 Политики, и указываются в согласии субъекта ПД на обработку его ПД, за исключением случаев, когда обработка ПД может осуществляться без получения такого согласия.
5.4. Предоставляя свои ПД Оператору, субъект ПД подтверждает ознакомление с Политикой и соглашается с тем, что Оператор вправе осуществлять обработку ПД, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД, в том числе вправе передавать эти ПД третьим лицам, в частности, подрядчикам, обслуживающим сайт Оператора или мобильное приложение Оператора, кредитным организациям, иным юридическим и физическим лицам, оказывающим Оператору маркетинговые и иные услуги, в том числе в целях проведения экскурсий и иных мероприятий.
5.5. ПД могут быть переданы Оператором уполномоченным органам государственной власти только по основаниям и в порядке, установленным законодательством Российской Федерации.
5.5.1. Оператор вправе передать ПД третьим лицам в следующих случаях:
- субъект ПД выразил свое согласие на такие действия;
- передача предусмотрена в рамках процедуры, установленной законодательством Российской Федерации.
5.6. Фактом заполнения и передачи Оператору формы (обратной связи / анкеты, при создании аккаунта личного кабинета; далее – форма), в которую вносятся ПД на сайте Оператора или в мобильном приложении Оператора, субъект ПД подтверждает, что он:
- указывает достоверную информацию о себе, вся иная информация предоставляется субъектом ПД по его собственному усмотрению;
- ознакомлен с Политикой и согласен с тем, что Оператор вправе осуществлять обработку ПД, в том числе передавать эти ПД третьим лицам, в частности, лицам, указанным в п. 4.4 Политики;
- в порядке, предусмотренном ч. 1 ст. 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе», выражает свое согласие на получение сообщений, включая sms-уведомления, рекламного характера по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи;
- признает юридическую силу электронных писем / документов, направленных по электронной почте, в том числе Оператором;
- единолично обладает правом и возможностью доступа к аккаунту электронной почты и / или устройству подвижной радиотелефонной связи с адресом и / или номером, указанным в форме. Данный доступ осуществляется субъектом ПД по паролю, который является конфиденциальным.
5.6.1. Оператор не проверяет достоверность получаемой (собираемой) информации о субъекте ПД, за исключением случаев, когда такая проверка необходима в целях исполнения обязательств перед ним.
5.7. При обработке ПД Оператор руководствуется законодательством Российской Федерации, Политикой и локальными нормативными актами Оператора.
5.8. При осуществлении обработки ПД Оператор использует базы данных, находящиеся на территории Российской Федерации.
5.9. Трансграничная передача ПД Оператором не осуществляется.
6. Обратная связь
6.1. Контактные данные Оператора для обращения субъектов ПД по вопросам, относящимся к ПД:
- адрес электронной почты: pd@lsrgroup.ru;
- 354037, Краснодарский край, город Сочи, ул. Ялтинская (Хостинский Р-Н), д. 4;
- контактный телефон: 8 (495) 139-29-50.
6.2. Обратившись по указанным в п. 6.1 Политики контактным данным, субъект ПД, обрабатываемых Оператором, может получить информацию, касающуюся обработки его ПД, в том числе содержащую:
- подтверждение факта обработки ПД Оператором;
- правовые основания и цели обработки ПД;
- применяемые Оператором способы обработки ПД;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;
- обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПД, в том числе сроки их хранения;
- порядок осуществления субъектом ПД прав, предусмотренных Законом № 152-ФЗ;
- информацию об осуществленной или о предполагаемой трансграничной передаче ПД;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Закона № 152-ФЗ;
- иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.
6.3. Субъект ПД имеет право на получение информации, касающейся обработки его ПД, за исключением случаев, когда данное право ограничено в соответствии с федеральными законами. Субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3.1. Оператор исходит из того, что субъект ПД согласен с тем, что по его письменному требованию уведомление об уничтожении ПД будет направляться / вручаться по его адресам электронной почты или места проживания, указанным в согласии на обработку ПД, или его представителю лично или по адресу места проживания.
6.3.2. Запрос субъекта ПД на получение информации, отзыв согласия на обработку ПД, требование о прекращении обработки или передачи ПД или обращение об уничтожении ПД (далее – Запрос) должны содержать:
- фамилию, имя, отчество (при наличии) субъекта ПД и его представителя;
- номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта ПД в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и / или иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Оператором;
- подпись субъекта ПД или его представителя.
6.3.3. Требование о прекращении передачи ПД также должно содержать контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД, а также перечень ПД, обработка которых подлежит прекращению.
6.3.3.1. Запросы могут быть направлены в форме соответствующего уведомления по электронной почте с предоставленного субъектом ПД электронного почтового адреса на электронный почтовый адрес Оператора (pd@lsrgroup.ru) или в форме письменного документа путем направления Оператору заказным письмом с уведомлением о вручении с описью вложения по адресу: 354037, Краснодарский край, город Сочи, ул. Ялтинская (Хостинский Р-Н), д. 4.
6.4. Информация предоставляется Оператором субъекту ПД или его представителю в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором Запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.5. В случае если информация, касающаяся обработки ПД субъекта ПД, а также обрабатываемые ПД были предоставлены для ознакомления субъекту ПД по его запросу, субъект ПД вправе обратиться повторно к Оператору или направить повторный запрос о получении ПД не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса.
6.6. В случае отзыва субъектом ПД согласия на обработку ПД Оператор вправе продолжить обработку ПД без согласия субъекта ПД при наличии оснований, предусмотренных законодательством Российской Федерации.
7. Безопасность обработки ПД
7.1. Основной задачей обеспечения безопасности ПД при их обработке Оператором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПД, разрушения (уничтожения) или искажения их в процессе обработки.
7.2. Оператор принимает необходимые и достаточные меры технического и организационного характера для обеспечения информационной безопасности и защиты ПД от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.
7.3. Оператором не производится обработка ПД, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПД Оператором, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Оператором ПД уничтожатся или обезличиваются.
7.4. При обработке ПД обеспечиваются их точность, достаточность, а при необходимости – и актуальность по отношению к целям обработки. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных ПД.
8. Заключительные положения
8.1. Оператор имеет право вносить изменения в Политику. Изменения вступают в силу с момента, указанного в новой редакции Политики.
8.2. Политика является общедоступным документом и подлежит размещению в местах, доступных для субъектов ПД.