1.1.   Настоящее Положение разработано во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федерального закона от 27.07.2006г. № 149–ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона "О персональных данных" № 152-ФЗ от 27.07.2006 года, постановления Правительства РФ № 687 от 15.09.2008г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и других нормативно–правовых актов и нормативных–методических документов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных .
1.2.   Настоящее положение определяет политику ООО «СПА Курорта Кедровый"  (далее – Оператор) в отношении обработки персональных данных и является общедоступным документом.
1.3.   Настоящим Положением устанавливается порядок обработки персональных данных Клиентов, для которых Отелем осуществляется весь спектр услуг.
1.4.     Целью Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.
1.5.   Персональные данные обрабатываются в целях исполнения договоров по оказанию услуг, одной из сторон которого является Клиент. Отель собирает данные только в объеме, необходимом для достижения названной цели.
1.6.    Действия настоящего положения распространяются на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики, в т.ч. на любые действия (операции) или их совокупность, совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) обезличивание, блокирование, удаление, уничтожение ПДн.
1.7.      Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
1.8.  Настоящее Положение является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным Клиента.
1.9.Основные понятия,используемые в Положении:
·       Отель (Оператор) ООО «СПА Курорт Кедровый».
·       Клиент - физическое лицо, потребитель услуг, субъект персональных данных;
·       Услуги - действия Отеля по размещению Клиентов в объекте размещения, а также иная деятельность, связанная с размещением и проживанием, которая включает в себя основные и дополнительные услуги, предоставляемые Клиенту;
·       Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении Отеля, позволяет идентифицировать личность Клиента;
·       Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение,уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
·       Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
·       Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
·       Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
·       Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
·       Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
·       Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
·       Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
·       Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
·       Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
·       Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
·       Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
1.10.    Обработка персональных данных осуществляется с 09.08.2017 на основании включения в реестр Операторов, осуществляющих обработку персональных данных.
1.11.    Сведения об операторе: ООО «СПА Курорт Кедровый» ИНН:2203002310. Адрес местонахождения: 659900, Алтайский край, Белокуриха г, Славского улица, 3.

2.1. Оператор осуществляет обработку персональных данных работников (лиц, замещающих должности государственной гражданской службы, должности муниципальной гражданской службы) и лиц, не являющихся таковыми.
2.2. Обработка осуществляется в целях исполнения функций, определенных законами и иными нормативно–правовыми актами Российской Федерации, а также в рамках осуществления видов деятельности, определенных в Уставе Оператора.
2.3. При обработке персональных данных Оператор руководствуется следующими принципами и условиями:
 обработка персональных данных должна осуществляться на законной и справедливой основе;
 обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных за исключением случаев, определенных п. п. 2–11 ч.1 ст. 6 Федерального закона от 27.07.2006 №152–ФЗ «О персональных данных»;
 обработка специальных категорий персональных данных осуществляется в случаях, предусмотренных пп.1–9 ч.2. ст. 10 Федерального закона от 27.07.2006 №152–ФЗ «О персональных данных»;
 обработка биометрических категорий персональных данных осуществляется только при наличии согласия в письменной форме субъекта персональных данных за исключением случаев, предусмотренных ч.2. ст. 11 Федерального закона от 27.07.2006 №152–ФЗ «О персональных данных»;
 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с ст. 19 Федерального закона от 27.07.2006 №152–ФЗ «О персональных данных»;
 обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
 не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
 обработке подлежат только персональные данные, которые отвечают целям их обработки;
 содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
 при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных;
 хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
2.4. Оператор самостоятельно определяет содержание, объем, цели обработки и сроки хранения персональных данных.
2.5. Принятые Оператором документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений доводятся до сотрудников Оператора в части касающихся их.

3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов Российской Федерации, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закона от 27.07.2006г. № 149–ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона "О персональных данных" № 152-ФЗ от 27.07.2006 г
• Федеральный закон от 21.11.2011г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
• Федеральный закон от 22.10.2004г. №125–ФЗ «Об архивном деле в Российской Федерации»;
• Постановление Правительства РФ № 687 от 15.09.2008г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Российской Федерации от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

3.2. Правовым основанием обработки персональных данных также являются:
• устав ООО «СПА Курорт Кедровый»;
• договоры, заключаемые между Оператором и субъектами персональных данных;
• согласие субъектов персональных данных на обработку их персональных данных.
3.3. Обработка персональных данных осуществляется в целях:
- осуществления своей деятельности в соответствии с уставом ООО «СПА Курорт Кедровый», в т.ч. заключения и исполнения договоров с потребителями/заказчиками/контрагентами;
- оказания гостиничных услуг;
- оказания услуг питания;
- оказания бытовых и сервисных услуг;
- оказания прочих, сопутствующих услуг.

4.1. К персональным данным, сбор и обработку которых осуществляет Отель, относятся:
• анкетные данные (фамилия, имя, отчество, число, месяц, год рождения и др.);
• паспортные данные;
• ИНН
• адрес регистрации;
• адрес места жительства;
• номер контактного телефона;
• адрес электронной почты;
• прочие контактные данные;
• данные о месте работы.
4.2. Персональные данные предоставляются лично субъектом с согласия субъекта персональных данных или его законным представителем.
4.3. Срок обработки персональных данных контрагентов – постоянно.
4.4. Все персональные данные сотрудники Отеля получают непосредственно от субъекта персональных данных - Клиента.

5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
• смешанная обработка персональных данных.
5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных для каждой цели обработки, указанной в п. 3.3 Политики, осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• внесения персональных данных в журналы, реестры и информационные системы Оператора;
• использования иных способов обработки персональных данных.
5.6. Обработка персональных данных Отелем в интересах Клиентов заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов.
5.7. Обработка персональных данных Клиентов ведется методом смешанной обработки.
5.8. К обработке персональных данных Клиентов могут иметь доступ только сотрудники Отеля, допущенные к работе с персональными данными Клиентов.
5.9. Перечень сотрудников Отеля, имеющих доступ к персональным данным Клиентов, определяется приказом директора.
5.10. Персональные данные Клиентов на бумажных носителях хранятся в Службе размещения.
5.11. Персональные данные Клиентов в электронном виде хранятся в локальной компьютерной сети Отеля, в электронных папках и файлах в персональных компьютерах сотрудников, допущенных к обработке персональных данных Клиентов.
5.12. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.
5.13. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.14. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.15. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.16. Персональные данные на бумажных носителях хранятся в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
5.17. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.18. Оператор прекращает обработку персональных данных в следующих случаях:
• выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;
• достигнута цель их обработки;
• истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
5.19. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
5.20. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
5.21. При сборе персональных данных, в том числе посредством информационно - телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных. Оператор вправе собирать или получать персональные данные через сайт, по телефонной связи, каналы социальных сетей, отдел по работе с клиентами ООО «СПА Курорт Кедровый»
5.22. В некоторых случаях ООО «СПА Курорт Кедровый» вправе получать персональные данные из сторонних источников, таких как платформы бронирования поездок, от турагентов. К сторонним источникам могут относиться общедоступные источники информации. В частности, ООО «СПА Курорт Кедровый» может получать или собирать персональные данные из социальных сетей, когда субъекты персональных данных взаимодействуют с материалами, или с онлайн платформ, при оставлении отзыва о своем пребывании или услугах ООО «СПА Курорт Кедровый» (например, Яндекс Карты, 2Гис и т. д.).
5.23. Сайт www.spakurortkedr.ru собирает и хранит только персональную информацию, которая необходима для предоставления сервисов или исполнения соглашений с Пользователем, за исключением случаев, когда законом предусмотрено обязательное хранение персональной информации в течение определенного законом срока.
5.24. Использование Сookies (англ.: куки). Сookies - это небольшой фрагмент данных, который веб сайт запрашивает у браузера, используемого на компьютере или мобильном устройстве. Cookies отражают предпочтения или действия на веб сайте, сведения об оборудовании пользователя, датe и время сессии. Сookies хранятся локально на компьютере пользователя или мобильном устройстве.
5.25. При первом посещении сайта www.spakurortkedr.ru с помощью нового браузера или в режиме приватного просмотра предоставляется баннер, предупреждающий об осуществлении сбора Сookies и запрашивающий согласие Пользователя на обработку Сookies. Пользователи вправе запретить использование Cookies файлов и сайт будет использовать только те Cookies, которые строго необходимы для функционирования сайта и предлагаемых им сервисов.
5.26. Сookies используются в целях улучшения работы сайта ООО «СПА Курорт Кедровый». Сведения о действиях пользователей обрабатываются для совершенствования продуктов и услуг ООО «СПА Курорт Кедровый», определения предпочтений пользователя, улучшения персонализации и интерактивности в предоставлении целевой информации по продуктам и услугам на сайте ООО «СПА Курорт Кедровый».
5.27. Cрок действия любых сторонних файлов cookie устанавливаются компаниями, которые собирают эти файлы, и могут быть изменены ими в любое время.
5.28. В файлы cookie записывается:
• информация о прошлых посещениях данного сайта;
• источники переходов;
• идентификатор пользователя;
• IP-адрес и местоположение устройства, с которого осуществляется вход;
• дата и время каждой сессии;
• действия на сайте.
5.29. Об использовании метрических программ:
5.29.1 На Сайте сайта www.spakurortkedr.ru используется программное средство сбора метрических данных - «Яндекс.Метрика» и «MAIL.RU COUNTER ID (VK PIXEL)» (далее - Метрические программы) - для сбора сведений об использовании сайта, таких как:

• URL и заголовок страницы, а так же URL referrer страницы
• данные о браузере: размер и свойства экрана, размер viewport, название и версия браузера, ОС, язык и таймзона
• данные о времени загрузки страниц, о типе соединения и скорости интернета
• наличие блокировки рекламы
• времени просмотра страницы
• локальный идентификатор пользователя (ClientID)
• достижение целей, отправку форм, скачивание файлов и пр.
5.30. Метрические программы собирает только IP-адреса, назначенные устройству пользователя в день посещения данного сайта, но не имя или другие идентификационные сведения. Метрические программы размещает постоянный cookie файл в клиентском веб-браузере для идентификации посетителя сайта в качестве уникального пользователя при следующем посещении данного сайта. Этот cookie файл не может использоваться никем, кроме Метрических программ. Сведения, собранные с помощью cookie файла, будут передаваться для хранения на серверах собственников метрических программ.
5.31. Условия использования сервиса «Яндекс.Метрика» и VK PIXEL запрещают передавать идентификационную информацию на серверы собственников метрических программ.
5.32. Сведения, полученные через Метрические программы, используются только для совершенствования услуг на сайте. Сведения, полученные через Метрические программы, не объединяются и не коррелируются с персональными сведениями посетителей.
5.33. Возможности разработчиков Метрических программ по использованию и передаче третьим лицам сведений, собранных посредством Метрических программ о посещениях пользователей сайта, ограничиваются Политикой конфиденциальности собственников метрических программ.
5.34. Пользователь может запретить Метрическим программам «узнавать» его при повторных посещениях сайта, отключив cookie-файлы Метрические программы в своем браузере или используя программные средства блокировки действия Метрических программ.
5.35. Оператор не поручает обработку персональных данных другим лицам.

6.1 При получении, в рамках установленных полномочий, мотивированных запросов органам прокуратуры, правоохранительным органам, органам безопасности, государственным инспекторам труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченным запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.

7.1. Использование персональных данных Клиентов осуществляется Отелем исключительно для достижения целей, определенных договором между Клиентом и Отелем,
7.2. При передаче персональных данных Клиентов Отель должен соблюдать следующие требования:
7.2.1. Предупредить лиц, получающих персональные данные Клиентов о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Клиентов, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.
7.2.2. Разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
7.3. Не допускается отвечать на вопросы, связанные с передачей информации, содержащей персональные данные, по телефону.
7.4. Отель вправе предоставлять или передавать персональные данные Клиентов третьим лицам в следующих случаях:
• если раскрытие этой информации требуется для соблюдения закона, выполнения судебного акта;
• для оказания содействия в проведении расследований, осуществляемых правоохранительными или иными государственными органами;
• для защиты законных прав Клиента и Отеля.

8.1. Отель обязан при обработке персональных данных Клиентов принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий
8.2. Для эффективной защиты персональных данных Клиентов необходимо:
8.2.1. соблюдать порядок получения, учета и хранения персональных данных Клиентов;
8.2.2. применять технические средства охраны, сигнализации;
8.3. Допуск к персональным данным Клиентов сотрудников Отеля, не имеющих надлежащим образом оформленного доступа, запрещается.
8.4. Документы, содержащие персональные данные Клиентов, хранятся в помещениях Службы размещения, обеспечивающих защиту от несанкционированного доступа.
8.5. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:
• использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным Клиентов;
• системой паролей. Пароли устанавливаются системным администратором и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.
8.6. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения руководителя.

9.1. Отель обязан:
9.1.1. Осуществлять обработку персональных данных Клиентов исключительно в целях оказания законных услуг Клиентам.
9.1.2. Получать персональные данные Клиента непосредственно у него самого. Если персональные данные Клиента возможно получить только у третьей стороны, то Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники Отеля должны сообщить Клиентам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа клиента дать письменное согласие на их получение.
9.1.3. Не получать и не обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом.
9.1.4. Предоставлять доступ к своим персональным данным Клиенту или его законному представителю при обращении либо при получении запроса, содержащего номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
9.1.5. Ограничивать право Клиента на доступ к своим персональным данным, если:
• 1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
• 2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
• 3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
9.1.6. Обеспечить хранение и защиту персональных данных Клиента от неправомерного их использования или утраты.
9.1.7. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
9.1.8. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
9.1.9. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

10.1. Клиент имеет право на:
• доступ к информации о самом себе, в том числе содержащей информацию подтверждения факта обработки персональных данных, а также цель такой обработки; способы обработки персональных данных, применяемые Отелем; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения, сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для Клиента может повлечь за собой обработка его персональных данных;
• определение форм и способов обработки его персональных данных;
• ограничение способов и форм обработки персональных данных;
• запрет на распространение персональных данных без его согласия;
• изменение, уточнение, уничтожение информации о самом себе;
• обжалование неправомерных действий или бездействий по обработке персональных данных и соответствующую компенсацию в судебном порядке.

11.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
11.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
11.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
11.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
• в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
11.5. Порядок уничтожения персональных данных Оператором.
11.5.1. Условия и сроки уничтожения персональных данных Оператором:
• достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
• достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
• предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
• отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.

12.1. Сведения о персональных данных Клиентов, являются конфиденциальными.
12.2. Отель обеспечивает конфиденциальность персональных данных и обязан не допускать их распространения третьим лицам без согласия Клиентов либо наличия иного законного основания.
12.3. Лица, имеющие доступ к персональным данным Клиентов, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.
12.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиентов распространяются на все носители информации как на бумажные, так и на автоматизированные.
12.5. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.

13.1. Отель несет ответственность за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.
13.2. Каждый сотрудник, получающий для работы документ, содержащий персональные данные Клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
13.3. Любое лицо может обратиться к сотруднику Отеля с письменной жалобой на нарушение данного Положения. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в тридцатидневный срок со дня поступления.
13.4. Сотрудники Отеля обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Клиентов, а также содействовать исполнению требований компетентных органов.
13.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиентов, несут дисциплинарную, административную, гражданско- правовую или уголовную ответственность в соответствии с федеральными законами.
13.6. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

ООО «СПА Курорт Кедровый»