1. Назначением Политики в отношении обработки и защиты персональных данных в гостинице «ТРИУМФ» является обеспечение защиты прав и свобод работников (далее – Работников) и потребителей гостиничных услуг (далее - Клиентов) при обработке их персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.
2. Обработка и защита персональных данных в Гостинице осуществляется в соответствии с федеральным законодательством – нормативными правовыми актами в области персональных данных, указанными на сайте Роскомнадзора https://77.rkn.gov.ru/law/p4735/.
3. Основные понятия, используемые в Политике:

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1. Обработка и защита персональных данных осуществляется на основании разработанных внутренних нормативных документов, в том числе Правил обработки персональных данных в Гостинице.
2. Степень возможного вреда субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» в Гостинице – НИЗКАЯ в связи с тем, что в гостинице следующие действия, связанные с обработкой персональных данных, НЕ осуществляются:

обработка сведений, которые характеризуют физические и биологические особенности человека;

обработка персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;

обработка персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является несовершеннолетний;

обезличивание персональных данных, в том числе проведения оценочных (скоринговых) исследований;

поручение иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации; 

сбор персональных данных с использованием баз данных, находящихся за пределами Российской Федерации;

распространение персональных данных на официальном сайте в информационно-телекоммуникационной сети "Интернет" Гостиницы;

предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки персональных данных;

обработка персональных данных в дополнительных целях, отличных от первоначальной цели сбора;

продвижение своих услуг путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор персональных данных;

получение согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети «Интернет» Гостиницы;

обработка персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой;

ведение общедоступных источников персональных данных, формируемых в соответствии со ст. 8 Федерального закона «О персональных данных»;

осуществление трансграничной передачи персональных данных.

В Гостинице в качестве ответственного за обработку персональных данных назначены штатные сотрудники организации, а также запрещена обработка персональных данных в дополнительных целях, отличных от первоначальной цели сбора.

1. Согласно Акта классификации информационных систем обработки персональных данных и уровня их защищенности в Гостинице установлено, что информационные системы являются информационными системами, обрабатывающими персональные данные работников и данные субъектов персональных данных, не являющихся работниками (Клиенты), менее чем 100000 субъектов персональных данных, для которых актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и программном обеспечении, используемом в информационных системах. Защищенность персональных данных при их обработке в информационных системах обеспечивается 4-ым уровнем защищенности.
2. Целями обработки персональных данных в Гостинице:

ведение кадрового и бухгалтерского учета;

обеспечение соблюдения пенсионного законодательства РФ;

оказание услуг или выполнение работ по договорам с клиентами (контрагентами).

1. В целях обеспечения защиты прав и свобод Работников и Клиентов при обработке их персональных данных на основании Федерального закона от 27.07.2006 № 152-ФЗ персональные данные можно получить у субъекта лишь вместе с согласием субъекта на обработку его персональных данных или без такового, в предусмотренных законодательством РФ случаях, а при распространении персональных данных Работников в информационно-коммуникационной сети «Интернет» (при необходимости) согласия на распространение персональных данных на основе приказа Роскомнадзора от 24.02.2021г. № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

Оба согласия (на обработку персональных данных и на распространение персональных данных) предоставляются субъектами в письменной форме.

1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных в Гостинице, в том числе содержащей:

подтверждение факта обработки персональных данных;

правовые основания и цели обработки персональных данных;

цели и применяемые способы обработки персональных данных;

наименование и место обработки персональных данных;

сведения о лицах (за исключением Работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с руководителем Гостиницы, или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

сроки обработки персональных данных, в том числе сроки их хранения;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению руководителя Гостиницы, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные настоящим Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Субъект персональных данных вправе требовать от уполномоченных работников Гостиниц уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Уполномоченные работники Гостиницы обязуются прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 10 (десяти) рабочих дней с даты получения указанного отзыва, за исключением персональных данных, подлежащих хранению в целях соблюдения законодательства Российской Федерации.

1. В Гостиницах выполняются меры, направленные на выполнение требований ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

разработаны локальные акты, по вопросам обработки персональных данных;

лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими Политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

составлен перечень лиц, имеющих доступ к персональным данным в Гостиницахы. Лицами, имеющими доступ к персональным данным, подписаны и исполняются обязательства о неразглашении персональных данных;

назначен ответственный за организацию обработки персональных данных;

обеспечивается учет машинных носителей персональных данных;

обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;

осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам;

исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными;

обеспечена сохранность носителей персональных данных и средств защиты информации.

Для обеспечения безопасности персональных данных применяются программно-технические средства, в том числе электронная цифровая подпись, антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных.

1. В соответствии с постановлением Правительства от 01.11.2012 № 1119 для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; назначено должностное лицо, ответственный за обеспечение безопасности персональных данных в информационной системе.
2. В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц, осуществляющих обработку персональных данных.
3. Срок хранения персональных данных Клиентов заканчивается с достижением целей их обработки, если иное не установлено законодательством или договором с субъектом персональных данных. При этом максимальный срок уничтожения персональных данных составляет тридцать дней с даты достижения цели, если иное не предусмотрено договором, стороной которого является субъект персональных данных.

При определении сроков хранения кадровых документов учитывается приказ Росархива от 20.12.2019 №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».

Сроки хранения бухгалтерской документации регламентируются Федеральным законом «О бухгалтерском учете» № 402-ФЗ от 06.12.2011г.

1. Уничтожение персональных данных в Гостинице осуществляется на основании приказа Роскомнадзора от 28.10.2022г. № 179 "Об утверждении Требований к подтверждению уничтожения персональных данных".

Для уничтожения бумажных носителей, содержащих персональные данные, используется шредер (допускается бумажных носителей посредством сжигания);  персональные данные, размещенные в памяти персональных компьютеров, уничтожаются путем удаления их из памяти персональных компьютеров; персональные данные, размещенные на флеш-карте, CD-диске, ином носителе информации, уничтожаются путем удаления файла с носителя, при необходимости путем нарушения работоспособности флеш-карты или CD-диска. Факт уничтожения персональных данных на бумажных носителях подтверждается посредством составления актов уничтожения носителей персональных данных на бумажных носителях. Факт уничтожения персональных данных на электронных носителях подтверждается посредством составления актов уничтожения носителей персональных данных на электронных носителях и выгрузкой из журнала регистрации событий в информационной системе персональных данных.

1. При передаче персональных данных Работников третьим лицам в Гостинице, согласно общим правилам, осуществляется оформление согласия субъекта персональных данных при передаче персональных данных третьим лицам, за исключением следующих случаев:

передачи персональных данных Работников в Фонд пенсионного и социального страхования Российской Федерации;

когда это необходимо в целях предупреждения угрозы жизни и здоровью Работника;

при командировании Работника и в других случаях, связанных с выполнением им должностных обязанностей;

при получении мотивированных запросов органов прокуратуры, безопасности, внутренних дел, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации;

при передаче персональных данных Работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, в том случае, когда договор на выпуск банковской карты заключался напрямую с работником, в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;

при обработке персональных данных уволенных работников.

При привлечении сторонних организаций в Гостиницу (при необходимости) для ведения кадрового и бухгалтерского учета (при необходимости) соблюдаются требования, установленные частью 3 статьи 6 Федерального закона о персональных данных, в том числе, на получение согласия Работников на передачу их персональных данных третьим лицам.

Согласие на передачу персональных данных Клиентов третьим лицам (Контрагентам) не оформляется в том случае, когда обработка не выходит за пределы целей договора оказания услуг.