Номер реестровой записи: С162024007542
info.volgahotel@mail.ru
Free wi-fi
Отдел бронирования: ПН-ПТ с 08:00-17:00
© 2020 Гостиница «Волга»
© 2020 Гостиница «Волга»
Номер реестровой записи: С162024007542
Free wi-fi
Режим работы отдела бронирования:
ПН-ПТ с 08:00-17:00
ПН-ПТ с 08:00-17:00
Этот сайт использует файлы cookies и сервисы сбора технических данных посетителей для обеспечения работоспособности и улучшения качества обслуживания. Продолжая использовать наш сайт, вы автоматически соглашаетесь с использованием данных технологий.
Политика в отношении обработки персональных данных в акционерном обществе «Гостиница «Волга»
I. Общие положения
1.1. Назначение и область применения
Политика в отношении обработки ПЕРСОНАЛЬНЫХ ДАННЫХ В АКЦИОНЕРНОМ ОБЩЕСТВЕ «ГОСТИНИЦА «ВОЛГА» (далее — Политика) представляет собой изложение основополагающих целей, задач и принципов, которыми акционерное общество «Гостиница «Волга» (далее — АО «Гостиница «Волга», Оператор ПДн) руководствуется в своей основной деятельности в отношении обработки ПДн субъектов ПДн АО «Гостиница «Волга».
Настоящая Политика является основным локальным нормативным документом, определяющим основные цели, задачи, принципы и требования в отношении обработки ПДн субъектов ПДн в АО «Гостиница «Волга».
Настоящая Политика подготовлена в целях выработки необходимого минимального объема мер, соблюдение которых позволяет организовать законную обработку и защиту сведений, относящихся к ПДн субъектов ПДн АО «Гостиница «Волга».
Действие настоящей Политики распространяется для всех субъектов ПДн АО «Гостиница «Волга».
Полный текст Политики должен быть размещен на официальном Интернет-сайте АО «Гостиница «Волга».
После опубликования Политика и документы, подготовленные на ее основе, должны быть надлежащим образом доведены до сведения всех субъектов ПДн АО «Гостиница «Волга».
1.2. Цели сбора ПДн
Обработка ПДн в АО «Гостиница «Волга» должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
Цели обработки ПДн в АО «Гостиница «Волга» определяются исходя из требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и целей фактически осуществляемой АО «Гостиница «Волга» деятельности, а также деятельности, которая предусмотрена учредительными документами АО «Гостиница «Волга», и конкретных бизнес-процессов АО «Гостиница «Волга» в конкретных информационных системах ПДн АО «Гостиница «Волга» и их процедурам в отношении категорий субъектов ПДн, определенных настоящей Политикой.
Цели обработки ПДн в АО «Гостиница «Волга» уточняются и конкретизируются требованиями Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор).
1.3. Правовые основания обработки ПДн
Правовым основанием обработки ПДн является совокупность правовых актов, во исполнение которых и в соответствии с которыми, АО «Гостиница «Волга», как Оператор ПДн, осуществляет обработку ПДн субъектов ПДн.
В качестве правового основания обработки ПДн используются:
II. Общие сведения в отношении обработки ПДн
2.1. Понятие ПДн субъекта ПДн
Понятие Персональные данные определено п. 1 ст. 3 ФЗ «О персональных данных», а именно:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).
К ним можно отнести:
2.2. Основные операции с ПДн
Перечень действий, совершаемых оператором ПДн с ПДн субъектов ПДн, определяется при обработке ПДн.
Понятие Обработка персональных данных является собирательным понятием, имеющим высокую степень важности. Фактически обработка ПДн подразумевает любые операции с ними — от сбора до полного уничтожения ПДн.
Таким образом, Обработка персональных данных, в соответствии с п. 3 ст. 3 ФЗ «О персональных данных», включает в себя любые действия оператора с ПДн, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
2.3. Получение ПДн
Все ПДн субъекта ПДн следует получать у него лично (для работника это определено п. 3 ст. 86 Трудового кодекса РФ), причем это допускается только с согласия субъекта ПДн (п. 1 ч. 1 ст. 6 ФЗ «О персональных данных»).
Решение субъекта ПДн о предоставлении своих ПДн должно быть добровольным, какое-либо давление на него недопустимо (ч. 1 ст. 9 ФЗ «О персональных данных»).
2.3.1. Получение ПДн от субъекта ПДн
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе (ч. 1 ст. 9 ФЗ «О персональных данных»).
На АО «Гостиница «Волга», как на Оператора ПДн, возлагается обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в ФЗ «О персональных данных» (ч. 3 ст. 9 ФЗ «О персональных данных»).
Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 ФЗ «О персональных данных»).
2.3.2. Получение ПДн работника от третьих лиц
Если ПДн субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (для работника это определено п. 3 ст. 86 Трудового кодекса РФ).
Целями получения ПДн субъекта ПДн у третьего лица являются исключительно соблюдение законов и иных нормативных правовых актов, в том числе, в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 Трудового кодекса РФ).
2.4. Передача ПДн работника
Передача ПДн работника в АО «Гостиница «Волга» должна осуществляться в соответствии со статьей 88 Трудового кодекса РФ.
В этом случае, при передаче ПДн работника АО «Гостиница «Волга» должен соблюдать следующие требования:
2.5. Обработка ПДн, разрешенных субъектом ПДн для распространения
Обработка ПДн, разрешенных субъектом ПДн для распространения, регулируется ст. 10.1 ФЗ «О персональных данных».
Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.
АО «Гостиница «Волга», как Оператор ПДн, обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.
Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.
2.6. Определение содержания и объема обрабатываемых ПДн
Содержание и объем обрабатываемых в АО «Гостиница «Волга» ПДн субъектов ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
2.7. Конфиденциальность ПДн
Конфиденциальность ПДн определяется статьей 7 ФЗ «О персональных данных» и, в соответствии с ней, АО «Гостиница «Волга», как Оператор ПДн, и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.
Сведения о ПДн субъектов ПДн АО «Гостиница «Волга» относятся к числу конфиденциальных, составляющих охраняемую законом тайну АО «Гостиница «Волга».
2.9. Трансграничная передача ПДн
Трансграничная передача ПДн осуществляется в соответствии со статьей 12 ФЗ «О персональных данных» и международными договорами Российской Федерации.
Роскомнадзор утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также иностранные государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности ПДн при их обработке.
АО «Гостиница «Волга», как Оператор ПДн, не осуществляет трансграничную передачу ПДн.
I. Общие положения
1.1. Назначение и область применения
Политика в отношении обработки ПЕРСОНАЛЬНЫХ ДАННЫХ В АКЦИОНЕРНОМ ОБЩЕСТВЕ «ГОСТИНИЦА «ВОЛГА» (далее — Политика) представляет собой изложение основополагающих целей, задач и принципов, которыми акционерное общество «Гостиница «Волга» (далее — АО «Гостиница «Волга», Оператор ПДн) руководствуется в своей основной деятельности в отношении обработки ПДн субъектов ПДн АО «Гостиница «Волга».
Настоящая Политика является основным локальным нормативным документом, определяющим основные цели, задачи, принципы и требования в отношении обработки ПДн субъектов ПДн в АО «Гостиница «Волга».
Настоящая Политика подготовлена в целях выработки необходимого минимального объема мер, соблюдение которых позволяет организовать законную обработку и защиту сведений, относящихся к ПДн субъектов ПДн АО «Гостиница «Волга».
Действие настоящей Политики распространяется для всех субъектов ПДн АО «Гостиница «Волга».
Полный текст Политики должен быть размещен на официальном Интернет-сайте АО «Гостиница «Волга».
После опубликования Политика и документы, подготовленные на ее основе, должны быть надлежащим образом доведены до сведения всех субъектов ПДн АО «Гостиница «Волга».
1.2. Цели сбора ПДн
Обработка ПДн в АО «Гостиница «Волга» должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
Цели обработки ПДн в АО «Гостиница «Волга» определяются исходя из требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и целей фактически осуществляемой АО «Гостиница «Волга» деятельности, а также деятельности, которая предусмотрена учредительными документами АО «Гостиница «Волга», и конкретных бизнес-процессов АО «Гостиница «Волга» в конкретных информационных системах ПДн АО «Гостиница «Волга» и их процедурам в отношении категорий субъектов ПДн, определенных настоящей Политикой.
Цели обработки ПДн в АО «Гостиница «Волга» уточняются и конкретизируются требованиями Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор).
1.3. Правовые основания обработки ПДн
Правовым основанием обработки ПДн является совокупность правовых актов, во исполнение которых и в соответствии с которыми, АО «Гостиница «Волга», как Оператор ПДн, осуществляет обработку ПДн субъектов ПДн.
В качестве правового основания обработки ПДн используются:
- федеральные законы и принятые на их основе нормативно-правовые акты, регулирующие отношения, связанные с деятельностью АО «Гостиница «Волга», как Оператора ПДн;
- уставные документы АО «Гостиница «Волга»;
- договоры, заключенные между оператором ПДн и субъектом (субъектами) ПДн;
- согласие на обработку ПДн (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора ПДн).
- Конституция Российской Федерации;
- Гражданский Кодекс Российской Федерации;
- Трудовой Кодекс Российской Федерации;
- Кодекс Российской Федерации об административных правонарушениях;
- Налоговый Кодекс Российской Федерации;
- Уголовный Кодекс Российской Федерации;
- Федеральный закон от 24 ноября 1996 г. № 132-ФЗ «Об основах туристской деятельности в Российской Федерации»;
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных ETS № 108 (Страсбург, 28 января 1981 г.);
- Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687;
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119;
- Правила предоставления гостиничных услуг в Российской Федерации, утвержденные Постановлением Правительства Р Ф от 18 ноября 2020 г. № 1853;
- Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утвержденный приказом Федеральной службы по надзору в сфере связи, информационных технологий массовых коммуникаций от 5 августа 2022 г. № 128;
- Устав АО «Гостиница «Волга»;
- договоры, заключаемые между АО «Гостиница «Волга», как оператором ПДн, с субъектами ПДн АО «Гостиница «Волга»;
- заявления о согласии субъектов ПДн АО «Гостиница «Волга» на обработку ПДн субъектов ПДн;
- заявления о согласии субъектов ПДн АО «Гостиница «Волга» на обработку ПДн, разрешенных субъектами ПДн для распространения АО «Гостиница «Волга»;
- обязательства работников АО «Гостиница «Волга», имеющих доступ к ПДн субъектов ПДн АО «Гостиница «Волга», о неразглашении ПДн субъектов ПДн АО «Гостиница «Волга»,
II. Общие сведения в отношении обработки ПДн
2.1. Понятие ПДн субъекта ПДн
Понятие Персональные данные определено п. 1 ст. 3 ФЗ «О персональных данных», а именно:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).
К ним можно отнести:
- фамилию, имя, отчество;
- пол, возраст;
- образование, квалификацию, профессиональную подготовку и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- прочие сведения, которые могут однозначно идентифицировать человека.
2.2. Основные операции с ПДн
Перечень действий, совершаемых оператором ПДн с ПДн субъектов ПДн, определяется при обработке ПДн.
Понятие Обработка персональных данных является собирательным понятием, имеющим высокую степень важности. Фактически обработка ПДн подразумевает любые операции с ними — от сбора до полного уничтожения ПДн.
Таким образом, Обработка персональных данных, в соответствии с п. 3 ст. 3 ФЗ «О персональных данных», включает в себя любые действия оператора с ПДн, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
2.3. Получение ПДн
Все ПДн субъекта ПДн следует получать у него лично (для работника это определено п. 3 ст. 86 Трудового кодекса РФ), причем это допускается только с согласия субъекта ПДн (п. 1 ч. 1 ст. 6 ФЗ «О персональных данных»).
Решение субъекта ПДн о предоставлении своих ПДн должно быть добровольным, какое-либо давление на него недопустимо (ч. 1 ст. 9 ФЗ «О персональных данных»).
2.3.1. Получение ПДн от субъекта ПДн
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе (ч. 1 ст. 9 ФЗ «О персональных данных»).
На АО «Гостиница «Волга», как на Оператора ПДн, возлагается обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в ФЗ «О персональных данных» (ч. 3 ст. 9 ФЗ «О персональных данных»).
Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 ФЗ «О персональных данных»).
2.3.2. Получение ПДн работника от третьих лиц
Если ПДн субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (для работника это определено п. 3 ст. 86 Трудового кодекса РФ).
Целями получения ПДн субъекта ПДн у третьего лица являются исключительно соблюдение законов и иных нормативных правовых актов, в том числе, в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 Трудового кодекса РФ).
2.4. Передача ПДн работника
Передача ПДн работника в АО «Гостиница «Волга» должна осуществляться в соответствии со статьей 88 Трудового кодекса РФ.
В этом случае, при передаче ПДн работника АО «Гостиница «Волга» должен соблюдать следующие требования:
- не сообщать ПДн работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных трудовым законодательством или иными федеральными законами;
- не сообщать ПДн работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих ПДн работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен ПДн работников в порядке, установленном трудовым законодательством и иными федеральными законами;
- разрешать доступ к ПДн работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать ПДн работника представителям работников в порядке, установленном трудовым законодательством и иными федеральными законами, и ограничивать эту информацию только теми ПДн работника, которые необходимы для выполнения указанными представителями их функций.
2.5. Обработка ПДн, разрешенных субъектом ПДн для распространения
Обработка ПДн, разрешенных субъектом ПДн для распространения, регулируется ст. 10.1 ФЗ «О персональных данных».
Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.
АО «Гостиница «Волга», как Оператор ПДн, обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.
Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.
2.6. Определение содержания и объема обрабатываемых ПДн
Содержание и объем обрабатываемых в АО «Гостиница «Волга» ПДн субъектов ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
2.7. Конфиденциальность ПДн
Конфиденциальность ПДн определяется статьей 7 ФЗ «О персональных данных» и, в соответствии с ней, АО «Гостиница «Волга», как Оператор ПДн, и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.
Сведения о ПДн субъектов ПДн АО «Гостиница «Волга» относятся к числу конфиденциальных, составляющих охраняемую законом тайну АО «Гостиница «Волга».
2.9. Трансграничная передача ПДн
Трансграничная передача ПДн осуществляется в соответствии со статьей 12 ФЗ «О персональных данных» и международными договорами Российской Федерации.
Роскомнадзор утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также иностранные государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности ПДн при их обработке.
АО «Гостиница «Волга», как Оператор ПДн, не осуществляет трансграничную передачу ПДн.
III. Порядок и условия обработки ПДн в АО «Гостиница «Волга»
3.1. Понятие обработки ПДн
В соответствии со статьей 3 ФЗ «О персональных данных»:
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
3.2. Требования к обработке ПДн
3.2.1. Принципы обработки ПДн
Принципы обработки ПДн устанавливаются ст. 5 ФЗ «О персональных данных», а именно:
1. Обработка ПДн должна осуществляться на законной и справедливой основе.
2. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только ПДн, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДне не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор ПДн должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
7. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2.2. Требования к условиям обработки ПДн субъектов ПДн
Обработка ПДн должна осуществляться с соблюдением принципов и правил, предусмотренных статьей 6 ФЗ «О персональных данных», а именно:
1) обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
2) обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора ПДн функций, полномочий и обязанностей;
3) обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
4) обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн;
5) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
6) обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
7) обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ «О персональных данных», при условии обязательного обезличивания ПДн;
8) осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.2.3. Требования к условиям обработки ПДн работников АО «Гостиница «Волга»
В целях обеспечения прав и свобод человека и гражданина АО «Гостиница «Волга», как работодатель, и его представители при обработке ПДн работника обязаны соблюдать общие требования при обработке ПДн работника и гарантии их защиты согласно статье 86 ТК РФ:
1) обработка ПДн работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых ПДн работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;
3) все ПДн работника следует получать у него самого. Если ПДн работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области ПДн к специальным категориям ПДн, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами;
5) работодатель не имеет права получать и обрабатывать ПДне работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПДн работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита ПДн работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки ПДн работников, а также об их правах и обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты ПДн работников.
3.3. Особенности обработки ПДн субъектов ПДн в АО «Гостиница «Волга»
В случаях, непосредственно связанных с вопросами трудовых отношений и в соответствии со статьей 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Источником информации обо всех ПДн субъекта ПДн, обрабатываемых в АО «Гостиница «Волга», является непосредственно сам субъект ПДн.
Обработка ПДн работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества (статья 86 ТК РФ).
АО «Гостиница «Волга», как Оператор ПДн, не имеет права получать и обрабатывать ПДн субъекта ПДн о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.
3.3.1. Цели обработки ПДн
В АО «Гостиница «Волга» ПДн субъектов ПДн обрабатываются только для решения и достижения следующих целей:
1. ведение кадрового и бухгалтерского учета АО «Гостиница «Волга»;
2. обеспечение соблюдения трудового законодательства РФ;
3. обеспечение соблюдения налогового законодательства РФ;
4. обеспечение соблюдения пенсионного законодательства РФ;
5. обеспечение соблюдения законодательства РФ в сфере туристской деятельности;
6. обеспечение соблюдения законодательства РФ в области гостиничных услуг;
7. обеспечение соблюдения законодательства РФ в сфере миграционного законодательства;
8. обеспечение пропускного режима на территорию АО «Гостиница «Волга».
Указанные цели заявлены АО «Гостиница «Волга», как Оператором ПДн, в уведомлении в Роскомнадзор о своем намерении осуществлять обработку ПДн субъектов ПДн АО «Гостиница «Волга». При предоставлении сведений в Роскомнадзор, предусмотренных ч. 3 ст.22 ФЗ «О персональных данных», АО «Гостиница «Волга», как Оператор ПДн, для каждой из целей обработки ПДн указывает:
3.3.2. Категории ПДн субъектов ПДн, обрабатываемые в АО «Гостиница «Волга»
3.3.2.1. Категории субъектов ПДн, ПДн которых обрабатываются в АО «Гостиница «Волга»
К категориям субъектов ПДн, ПДн которых обрабатываются в АО «Гостиница «Волга», относятся:
3.3.2.2. Специальные категории ПДн
Обработка специальных категорий ПДн регулируется ст. 10 ФЗ «О персональных данных».
Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн, не допускается.
Специальную категорию ПДн можно обрабатывать только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных ч. 2 ст. 10 ФЗ «О персональных данных».
АО «Гостиница «Волга», как Оператор ПДн, не обрабатывает специальные категории ПДн.
3.3.2.3. Биометрические категории ПДн
Обработка биометрических категорий ПДн регулируется статьей 11 ФЗ «О персональных данных».
Сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность, т.е. биометрические ПДн, и которые используются АО «Гостиница «Волга» для установления личности субъекта ПДн, могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных ч. 2 ст. 11 ФЗ «О персональных данных».
АО «Гостиница «Волга», как Оператор ПДн, не обрабатывает биометрические категории ПДн.
В случае принятия АО «Гостиница «Волга» решения об использовании единой биометрической системы в целях заселения в гостиницу потребителей, то в этом случае АО «Гостиница «Волга» руководствуется требованиями пункта 18 4 «Правил предоставления гостиничных услуг в Российской Федерации», утвержденных Постановлением Правительства РФ от 18 ноября 2020 г. № 1853.
3.3.2.4. Перечень общей категории ПДн работников, обрабатываемых в АО «Гостиница «Волга»
фамилия, имя, отчество; дата рождения; место рождения; пол; фотография; семейное положение; сведения о браке; гражданство; сведения об образовании; сведения об основной профессии; сведения о другой имеющейся профессии; сведения о стаже работы (общий, непрерывный, дающий право на надбавку за выслугу лет); сведения, содержащиеся в личном деле работника; сведения, содержащиеся в карточке унифицированной формы Т-2, утвержденной постановлением Госкомстата России от 05 января 2004 г. № 1; сведения в документах о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей; сведения о состоянии здоровья (сведения об инвалидности и т.п.); сведения, содержащиеся в документах о присвоении почетных званий, награждении государственными наградами; сведения, содержащиеся в наградных листах; адрес места жительства (по паспорту, фактический); дата регистрации по месту жительства; номер домашнего телефона; номер мобильного телефона; адрес электронной почты; сведения, находящиеся в бесконтактном цифровом пропуске; сведения о приеме на работу и переводы на другую работу; сведения об аттестации; сведения о повышении квалификации; сведения о профессиональной переподготовке; сведения из документов, содержащих информацию, необходимую для предоставления гарантий и компенсаций, установленных действующим законодательством; индивидуальный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); вид работы (основная, по совместительству); сведения о заключенном трудовом договоре (дополнительном соглашении к нему); сведения, содержащиеся в трудовой книжке работника; сведения о составе семьи; сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность; сведения, содержащиеся в свидетельствах о рождении детей; сведения о смене фамилии, имени, отчества; сведения об отпусках; сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством; основание прекращения трудового договора (увольнения); сведения из организационно-распорядительных документов АО «Гостиница «Волга», касающихся трудовой деятельности работника; сведения.
3.3.2.5. Перечень общей категории ПДн клиентов, обрабатываемых в АО «Гостиница «Волга»
3.3.3. Правовое основание обработки ПДн
При предоставлении сведений в уведомлении в Роскомнадзор, предусмотренных ч. 3 ст.22 ФЗ «О персональных данных», АО «Гостиница «Волга», как Оператор ПДн, указал следующие правовые основания обработки ПДн:
3.3.4. Перечень действий с обрабатываемыми ПДн
При предоставлении сведений в уведомлении в Роскомнадзор, предусмотренных ч. 3 ст. 22 ФЗ «О персональных данных», АО «Гостиница «Волга», как Оператор ПДн, указал следующий перечень действий при обработке ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение, распространение.
3.3.5. Способы обработки ПДн
При работе с ПДн субъектов ПДн в АО «Гостиница «Волга» используются следующие способы обработки ПДн:
3.3.6. Сроки (условия прекращения) обработки ПДн
Сроки прекращения обработки ПДн – согласно договора / письменного согласия.
Условия прекращения обработки ПДн – прекращение деятельности АО «Гостиница «Волга», как юридического лица.
3.3.7. Обеспечение безопасности ПДн
Для обеспечения безопасности ПДн должны применяться организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн, разработана система защиты информации АО «Гостиница «Волга».
3.3.8. Меры по обеспечению безопасности ПДн при их обработке
АО «Гостиница «Волга», как Оператор ПДн, при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
Обеспечение безопасности ПДн достигается, согласно п. 2 ст. 19 ФЗ «О персональных данных»:
1) определением угроз безопасности ПДн при их обработке в ИПДн;
2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) применением для уничтожения ПДн прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
5) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
6) учетом машинных носителей ПДн;
7) обнаружением фактов НСД к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
8) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
9) установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
10) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
3.4. Обработка ПДн без использования средств автоматизации
В соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденном Постановлением Правительства РФ от 15 сентября 2008 г. № 687:
3.4.1. Особенности организации обработки ПДн, осуществляемой без использования средств автоматизации
ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).
При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
Лица, осуществляющие обработку ПДн без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором ПДн), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется оператором ПДн без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
3.4.2. Меры по обеспечению безопасности ПДн при их обработке, осуществляемой без использования средств автоматизации
Обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются АО «Гостиница «Волга», как Оператором ПДн.
3.5. Обработка ПДн с использованием средств автоматизации
Согласно п. 4 ст. 3 ФЗ «О персональных данных» под автоматизированной обработкой понимается обработка данных с помощью средств вычислительной техники.
Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в ИСПДн либо были извлечены из нее.
ПДн субъектов ПДн АО «Гостиница «Волга» обрабатывает уполномоченный на это представитель АО «Гостиница «Волга», который при этом также должен руководствоваться правилами, предусмотренными для обработки ПДн без использования средств автоматизации.
3.6. Хранение и резервирование ПДн
Хранение ПДн, согласно ч. 7 ст. 5 ФЗ «О персональных данных», должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
3.6.1. Сроки хранения ПДн
Сохранность документов по учету труда и его оплаты должна обеспечиваться работодателем в соответствии со сроками ее хранения, определяемые «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденный приказом Федерального архивного агентства от 20 декабря 2019 г. № 236.
3.6.2. Хранение баз данных с ПДн
При сборе ПДн, в том числе посредством ИТС «Интернет», АО «Гостиница «Волга», как Оператор ПДн, в соответствии с ч. 5 ст. 18 ФЗ «О персональных данных», обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
3.7. Уничтожение ПДн
Обрабатываемые ПДн, согласно ч. 7 ст. 5 ФЗ «О персональных данных», подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.1. Понятие обработки ПДн
В соответствии со статьей 3 ФЗ «О персональных данных»:
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
3.2. Требования к обработке ПДн
3.2.1. Принципы обработки ПДн
Принципы обработки ПДн устанавливаются ст. 5 ФЗ «О персональных данных», а именно:
1. Обработка ПДн должна осуществляться на законной и справедливой основе.
2. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только ПДн, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДне не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор ПДн должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
7. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2.2. Требования к условиям обработки ПДн субъектов ПДн
Обработка ПДн должна осуществляться с соблюдением принципов и правил, предусмотренных статьей 6 ФЗ «О персональных данных», а именно:
1) обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
2) обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора ПДн функций, полномочий и обязанностей;
3) обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
4) обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн;
5) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
6) обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
7) обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ «О персональных данных», при условии обязательного обезличивания ПДн;
8) осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.2.3. Требования к условиям обработки ПДн работников АО «Гостиница «Волга»
В целях обеспечения прав и свобод человека и гражданина АО «Гостиница «Волга», как работодатель, и его представители при обработке ПДн работника обязаны соблюдать общие требования при обработке ПДн работника и гарантии их защиты согласно статье 86 ТК РФ:
1) обработка ПДн работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых ПДн работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;
3) все ПДн работника следует получать у него самого. Если ПДн работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области ПДн к специальным категориям ПДн, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами;
5) работодатель не имеет права получать и обрабатывать ПДне работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПДн работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита ПДн работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки ПДн работников, а также об их правах и обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты ПДн работников.
3.3. Особенности обработки ПДн субъектов ПДн в АО «Гостиница «Волга»
В случаях, непосредственно связанных с вопросами трудовых отношений и в соответствии со статьей 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Источником информации обо всех ПДн субъекта ПДн, обрабатываемых в АО «Гостиница «Волга», является непосредственно сам субъект ПДн.
Обработка ПДн работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества (статья 86 ТК РФ).
АО «Гостиница «Волга», как Оператор ПДн, не имеет права получать и обрабатывать ПДн субъекта ПДн о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.
3.3.1. Цели обработки ПДн
В АО «Гостиница «Волга» ПДн субъектов ПДн обрабатываются только для решения и достижения следующих целей:
1. ведение кадрового и бухгалтерского учета АО «Гостиница «Волга»;
2. обеспечение соблюдения трудового законодательства РФ;
3. обеспечение соблюдения налогового законодательства РФ;
4. обеспечение соблюдения пенсионного законодательства РФ;
5. обеспечение соблюдения законодательства РФ в сфере туристской деятельности;
6. обеспечение соблюдения законодательства РФ в области гостиничных услуг;
7. обеспечение соблюдения законодательства РФ в сфере миграционного законодательства;
8. обеспечение пропускного режима на территорию АО «Гостиница «Волга».
Указанные цели заявлены АО «Гостиница «Волга», как Оператором ПДн, в уведомлении в Роскомнадзор о своем намерении осуществлять обработку ПДн субъектов ПДн АО «Гостиница «Волга». При предоставлении сведений в Роскомнадзор, предусмотренных ч. 3 ст.22 ФЗ «О персональных данных», АО «Гостиница «Волга», как Оператор ПДн, для каждой из целей обработки ПДн указывает:
- категории ПДн, обрабатываемых в АО «Гостиница «Волга»;
- категории субъектов ПДн, ПДн которых обрабатываются в АО «Гостиница «Волга»;
- правовое основание обработки ПДн;
- перечень действий с ПДн;
- способы обработки ПДн.
3.3.2. Категории ПДн субъектов ПДн, обрабатываемые в АО «Гостиница «Волга»
3.3.2.1. Категории субъектов ПДн, ПДн которых обрабатываются в АО «Гостиница «Волга»
К категориям субъектов ПДн, ПДн которых обрабатываются в АО «Гостиница «Волга», относятся:
- работники АО «Гостиница «Волга»;
- соискатели (кандидаты на замещение вакантных должностей в АО «Гостиница «Волга»),
- родственники работников АО «Гостиница «Волга»;
- уволенные из АО «Гостиница «Волга» работники;
- контрагенты (или их законные представители) АО «Гостиница «Волга»;
- клиенты АО «Гостиница «Волга»;
- выгодоприобретатели по договорам;
- посетители сайта АО «Гостиница «Волга»;
- заявители с обращениями (жалобами) к АО «Гостиница «Волга»;
- физические и юридические лица, состоящие в иных договорных отношениях с АО «Гостиница «Волга».
3.3.2.2. Специальные категории ПДн
Обработка специальных категорий ПДн регулируется ст. 10 ФЗ «О персональных данных».
Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн, не допускается.
Специальную категорию ПДн можно обрабатывать только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных ч. 2 ст. 10 ФЗ «О персональных данных».
АО «Гостиница «Волга», как Оператор ПДн, не обрабатывает специальные категории ПДн.
3.3.2.3. Биометрические категории ПДн
Обработка биометрических категорий ПДн регулируется статьей 11 ФЗ «О персональных данных».
Сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность, т.е. биометрические ПДн, и которые используются АО «Гостиница «Волга» для установления личности субъекта ПДн, могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных ч. 2 ст. 11 ФЗ «О персональных данных».
АО «Гостиница «Волга», как Оператор ПДн, не обрабатывает биометрические категории ПДн.
В случае принятия АО «Гостиница «Волга» решения об использовании единой биометрической системы в целях заселения в гостиницу потребителей, то в этом случае АО «Гостиница «Волга» руководствуется требованиями пункта 18 4 «Правил предоставления гостиничных услуг в Российской Федерации», утвержденных Постановлением Правительства РФ от 18 ноября 2020 г. № 1853.
3.3.2.4. Перечень общей категории ПДн работников, обрабатываемых в АО «Гостиница «Волга»
фамилия, имя, отчество; дата рождения; место рождения; пол; фотография; семейное положение; сведения о браке; гражданство; сведения об образовании; сведения об основной профессии; сведения о другой имеющейся профессии; сведения о стаже работы (общий, непрерывный, дающий право на надбавку за выслугу лет); сведения, содержащиеся в личном деле работника; сведения, содержащиеся в карточке унифицированной формы Т-2, утвержденной постановлением Госкомстата России от 05 января 2004 г. № 1; сведения в документах о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей; сведения о состоянии здоровья (сведения об инвалидности и т.п.); сведения, содержащиеся в документах о присвоении почетных званий, награждении государственными наградами; сведения, содержащиеся в наградных листах; адрес места жительства (по паспорту, фактический); дата регистрации по месту жительства; номер домашнего телефона; номер мобильного телефона; адрес электронной почты; сведения, находящиеся в бесконтактном цифровом пропуске; сведения о приеме на работу и переводы на другую работу; сведения об аттестации; сведения о повышении квалификации; сведения о профессиональной переподготовке; сведения из документов, содержащих информацию, необходимую для предоставления гарантий и компенсаций, установленных действующим законодательством; индивидуальный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); вид работы (основная, по совместительству); сведения о заключенном трудовом договоре (дополнительном соглашении к нему); сведения, содержащиеся в трудовой книжке работника; сведения о составе семьи; сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность; сведения, содержащиеся в свидетельствах о рождении детей; сведения о смене фамилии, имени, отчества; сведения об отпусках; сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством; основание прекращения трудового договора (увольнения); сведения из организационно-распорядительных документов АО «Гостиница «Волга», касающихся трудовой деятельности работника; сведения.
3.3.2.5. Перечень общей категории ПДн клиентов, обрабатываемых в АО «Гостиница «Волга»
- АО «Гостиница «Волга» передаются на обработку следующий перечень общей категории ПДн клиентов АО «Гостиница «Волга» (граждане Российской Федерации):
- фамилия, имя, отчество; место рождения; гражданство; сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность; место жительства; дата рождения; сведения о заселении в гостиницу (дата прибытия, дата убытия, категория и цена номера проживания); номер контактного телефона; сведения об автомобиле на стоянку: модель, гос. номер; сведения, находящиеся в бесконтактном цифровом пропуске; сведения, собираемые посредством метрических программ.
- АО «Гостиница «Волга» передаются на обработку следующий перечень общей категории ПДн клиентов АО «Гостиница «Волга» (граждане иностранного государства):
- фамилия, имя, отчество (по-русски, по-английски); дата рождения; пол; страна рождения; место рождения; гражданство; сведения, содержащиеся в национальном заграничном паспорте гражданина иностранного государства; сведения, содержащиеся в миграционной карте; сведения о заселении в гостиницу (дата прибытия, дата убытия); номер контактного телефона; сведения об автомобиле на стоянку: модель, гос. номер; сведения, находящиеся в бесконтактном цифровом пропуске; сведения, собираемые посредством метрических программ.
3.3.3. Правовое основание обработки ПДн
При предоставлении сведений в уведомлении в Роскомнадзор, предусмотренных ч. 3 ст.22 ФЗ «О персональных данных», АО «Гостиница «Волга», как Оператор ПДн, указал следующие правовые основания обработки ПДн:
- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн.
3.3.4. Перечень действий с обрабатываемыми ПДн
При предоставлении сведений в уведомлении в Роскомнадзор, предусмотренных ч. 3 ст. 22 ФЗ «О персональных данных», АО «Гостиница «Волга», как Оператор ПДн, указал следующий перечень действий при обработке ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение, распространение.
3.3.5. Способы обработки ПДн
При работе с ПДн субъектов ПДн в АО «Гостиница «Волга» используются следующие способы обработки ПДн:
- смешанный (автоматизированный и неавтоматизированный) способ обработки ПДн (на бумажных, на электронных носителях информации и в ИСПДн);
- с передачей по сети «Интернет»,
- с передачей по корпоративной вычислительной сети АО «Гостиница «Волга».
3.3.6. Сроки (условия прекращения) обработки ПДн
Сроки прекращения обработки ПДн – согласно договора / письменного согласия.
Условия прекращения обработки ПДн – прекращение деятельности АО «Гостиница «Волга», как юридического лица.
3.3.7. Обеспечение безопасности ПДн
Для обеспечения безопасности ПДн должны применяться организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн, разработана система защиты информации АО «Гостиница «Волга».
3.3.8. Меры по обеспечению безопасности ПДн при их обработке
АО «Гостиница «Волга», как Оператор ПДн, при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
Обеспечение безопасности ПДн достигается, согласно п. 2 ст. 19 ФЗ «О персональных данных»:
1) определением угроз безопасности ПДн при их обработке в ИПДн;
2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) применением для уничтожения ПДн прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
5) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
6) учетом машинных носителей ПДн;
7) обнаружением фактов НСД к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
8) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
9) установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
10) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
3.4. Обработка ПДн без использования средств автоматизации
В соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденном Постановлением Правительства РФ от 15 сентября 2008 г. № 687:
- обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека;
- обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в ИСПДн либо были извлечены из нее.
3.4.1. Особенности организации обработки ПДн, осуществляемой без использования средств автоматизации
ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).
При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
Лица, осуществляющие обработку ПДн без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором ПДн), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется оператором ПДн без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
3.4.2. Меры по обеспечению безопасности ПДн при их обработке, осуществляемой без использования средств автоматизации
Обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются АО «Гостиница «Волга», как Оператором ПДн.
3.5. Обработка ПДн с использованием средств автоматизации
Согласно п. 4 ст. 3 ФЗ «О персональных данных» под автоматизированной обработкой понимается обработка данных с помощью средств вычислительной техники.
Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в ИСПДн либо были извлечены из нее.
ПДн субъектов ПДн АО «Гостиница «Волга» обрабатывает уполномоченный на это представитель АО «Гостиница «Волга», который при этом также должен руководствоваться правилами, предусмотренными для обработки ПДн без использования средств автоматизации.
3.6. Хранение и резервирование ПДн
Хранение ПДн, согласно ч. 7 ст. 5 ФЗ «О персональных данных», должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
3.6.1. Сроки хранения ПДн
Сохранность документов по учету труда и его оплаты должна обеспечиваться работодателем в соответствии со сроками ее хранения, определяемые «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденный приказом Федерального архивного агентства от 20 декабря 2019 г. № 236.
3.6.2. Хранение баз данных с ПДн
При сборе ПДн, в том числе посредством ИТС «Интернет», АО «Гостиница «Волга», как Оператор ПДн, в соответствии с ч. 5 ст. 18 ФЗ «О персональных данных», обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
3.7. Уничтожение ПДн
Обрабатываемые ПДн, согласно ч. 7 ст. 5 ФЗ «О персональных данных», подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
IV. Распространение персональных данных
4.1. Понятие распространения ПДн
Понятие распространения ПДн определено п. 5 ст. 3 ФЗ «О персональных данных»:
Распространение персональных данных — действия, направленные на раскрытие ПДн неопределенному кругу лиц.
В соответствии с п. 1.1 ст. 3 ФЗ «О персональных данных»:
Персональные данные, разрешенные субъектом персональных данных для распространения, — ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ФЗ «О персональных данных».
Операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом (на основании статьи 7 ФЗ «О персональных данных»).
4.2. Особенности обработки ПДн, разрешенных субъектом ПДн для распространения АО «Гостиница «Волга»
В АО «Гостиница «Волга» ПДн, разрешенные субъектом ПДн для распространения АО «Гостиница «Волга», АО «Гостиница «Волга» для распространения не передаются.
V. Уничтожение песрональных данных
5.1. Понятие уничтожения ПДн
Понятие уничтожения ПДн определено п. 8 ст.3 ФЗ «О персональных данных»:
УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ — действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн;
Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.2. Требования к подтверждению уничтожения ПДн
ФЗ «О персональных данных» не регламентирует процедуру уничтожения ПДн.
Требования к подтверждению уничтожения ПДн, утверждены приказом Роскомнадзор’а от 28 октября 2022 года № 179.
VI. Правомерность обработки ПДн
6.1. Права субъекта ПДн
В соответствии с ч. 7 ст. 14 ФЗ «О персональных данных» субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
1) подтверждение факта обработки ПДн оператором ПДн;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые оператором ПДн способы обработки ПДн;
4) наименование и место нахождения оператора ПДн, сведения о лицах (за исключением работников оператора ПДн), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором ПДн или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора ПДн, если обработка поручена или будет поручена такому лицу;
10) информацию о способах исполнения оператором ПДн обязанностей, установленных статьей 18.1 ФЗ «О персональных данных»;
11) иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
Указанные сведения должны быть предоставлены субъекту ПДн оператором ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
6.2. Обязанности оператора ПДн при поступлении запроса субъекта ПДн
В соответствии со статьями 14 и 20 ФЗ «О персональных данных» АО «Гостиница «Волга», как Оператор ПДн, в случае поступления соответствующего запроса от субъекта ПД:
VII. Документальное подтверждение обработки ПДн в АО «Гостиница «Волга»
7.1 Документационное обеспечение обработки ПДн в АО «Гостиница «Волга»
"Политика в отношении обработки ПДн" - основополагающий обязательный локальный нормативный акт АО «Гостиница «Волга» для применения и соблюдения в информационной среде АО «Гостиница «Волга» требований по обработке ПДн субъектов ПДн, а также для регламентации порядка действий (операций) с ПДн субъектов ПДн. Она устанавливает необходимый минимальный объем мер, соблюдение которых позволяет организовать законную и справедливую обработку и защиту сведений, относящихся к ПДн субъектов ПДн.
Регулирование вопросов обработки ПДн в АО «Гостиница «Волга» осуществляют соответствующие локальные нормативные акты АО «Гостиница «Волга». Основным из них является «Положение о персональных данных АО «Гостиница «Волга»».
На основе настоящей Политики в АО «Гостиница «Волга» должны быть разработаны и соответствующим образом введены в действие локальные нормативные акты «Положения о персональных данных АО «Гостиница «Волга»» для следующих категорий субъектов ПДн:
7.2. Реагирование на запросы / обращения субъектов ПДн и их законных представителей
Условия реагирования на запросы / обращения субъектов ПДн и их представителей должны быть определены в соответствующем локальном нормативном акте АО «Гостиница «Волга».
Данный документ подлежит применению исключительно в случаях обращений либо при получении запросов субъектов ПДн или их законных представителей, а также уполномоченного органа по защите прав субъектов ПДн в рамках ФЗ «О персональных данных».
Он должен быть разработан в целях обеспечения прав субъектов ПДн при обращении субъекта ПДн или его законного представителя при организации работ по обработке и защите сведений, относящихся к ПДн субъектов ПДн АО «Гостиница «Волга».
В данном документе должен быть представлен регламент реагирования на запросы / обращения субъектов ПДн и их представителей, уполномоченных органов по поводу неточности ПДн, неправомерности их обработки, отзыва согласия и доступа субъекта ПДн к своим данным, а также в нем должны быть размещены соответствующие формы запросов / обращений.
4.1. Понятие распространения ПДн
Понятие распространения ПДн определено п. 5 ст. 3 ФЗ «О персональных данных»:
Распространение персональных данных — действия, направленные на раскрытие ПДн неопределенному кругу лиц.
В соответствии с п. 1.1 ст. 3 ФЗ «О персональных данных»:
Персональные данные, разрешенные субъектом персональных данных для распространения, — ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ФЗ «О персональных данных».
Операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом (на основании статьи 7 ФЗ «О персональных данных»).
4.2. Особенности обработки ПДн, разрешенных субъектом ПДн для распространения АО «Гостиница «Волга»
В АО «Гостиница «Волга» ПДн, разрешенные субъектом ПДн для распространения АО «Гостиница «Волга», АО «Гостиница «Волга» для распространения не передаются.
V. Уничтожение песрональных данных
5.1. Понятие уничтожения ПДн
Понятие уничтожения ПДн определено п. 8 ст.3 ФЗ «О персональных данных»:
УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ — действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн;
Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.2. Требования к подтверждению уничтожения ПДн
ФЗ «О персональных данных» не регламентирует процедуру уничтожения ПДн.
Требования к подтверждению уничтожения ПДн, утверждены приказом Роскомнадзор’а от 28 октября 2022 года № 179.
VI. Правомерность обработки ПДн
6.1. Права субъекта ПДн
В соответствии с ч. 7 ст. 14 ФЗ «О персональных данных» субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
1) подтверждение факта обработки ПДн оператором ПДн;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые оператором ПДн способы обработки ПДн;
4) наименование и место нахождения оператора ПДн, сведения о лицах (за исключением работников оператора ПДн), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором ПДн или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора ПДн, если обработка поручена или будет поручена такому лицу;
10) информацию о способах исполнения оператором ПДн обязанностей, установленных статьей 18.1 ФЗ «О персональных данных»;
11) иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
Указанные сведения должны быть предоставлены субъекту ПДн оператором ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
6.2. Обязанности оператора ПДн при поступлении запроса субъекта ПДн
В соответствии со статьями 14 и 20 ФЗ «О персональных данных» АО «Гостиница «Волга», как Оператор ПДн, в случае поступления соответствующего запроса от субъекта ПД:
- Обязан сообщить в порядке, предусмотренном ч. 3 ст. 14 ФЗ «О персональных данных», субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя.
- Сведения, указанные в ч. 7 ст. 14 ФЗ «О персональных данных» (подраздел 6.1. настоящей Политики), должны быть предоставлены субъекту ПДн оператором ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
- В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя оператор ПДн обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа.
- Обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн (на основании ч. 3 ст. 20 ФЗ «О персональных данных»).
VII. Документальное подтверждение обработки ПДн в АО «Гостиница «Волга»
7.1 Документационное обеспечение обработки ПДн в АО «Гостиница «Волга»
"Политика в отношении обработки ПДн" - основополагающий обязательный локальный нормативный акт АО «Гостиница «Волга» для применения и соблюдения в информационной среде АО «Гостиница «Волга» требований по обработке ПДн субъектов ПДн, а также для регламентации порядка действий (операций) с ПДн субъектов ПДн. Она устанавливает необходимый минимальный объем мер, соблюдение которых позволяет организовать законную и справедливую обработку и защиту сведений, относящихся к ПДн субъектов ПДн.
Регулирование вопросов обработки ПДн в АО «Гостиница «Волга» осуществляют соответствующие локальные нормативные акты АО «Гостиница «Волга». Основным из них является «Положение о персональных данных АО «Гостиница «Волга»».
На основе настоящей Политики в АО «Гостиница «Волга» должны быть разработаны и соответствующим образом введены в действие локальные нормативные акты «Положения о персональных данных АО «Гостиница «Волга»» для следующих категорий субъектов ПДн:
- работники АО «Гостиница «Волга»;
- клиенты АО «Гостиница «Волга».
7.2. Реагирование на запросы / обращения субъектов ПДн и их законных представителей
Условия реагирования на запросы / обращения субъектов ПДн и их представителей должны быть определены в соответствующем локальном нормативном акте АО «Гостиница «Волга».
Данный документ подлежит применению исключительно в случаях обращений либо при получении запросов субъектов ПДн или их законных представителей, а также уполномоченного органа по защите прав субъектов ПДн в рамках ФЗ «О персональных данных».
Он должен быть разработан в целях обеспечения прав субъектов ПДн при обращении субъекта ПДн или его законного представителя при организации работ по обработке и защите сведений, относящихся к ПДн субъектов ПДн АО «Гостиница «Волга».
В данном документе должен быть представлен регламент реагирования на запросы / обращения субъектов ПДн и их представителей, уполномоченных органов по поводу неточности ПДн, неправомерности их обработки, отзыва согласия и доступа субъекта ПДн к своим данным, а также в нем должны быть размещены соответствующие формы запросов / обращений.