ПРАВИЛА
обработки персональных данных
в отеле «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В.
1.ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила обработки персональных данных в отеле «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. (далее – Правила) определяют порядок, условия и сроки обработки персональных данных в отеле «BELLA VISTA SHEREGESH» (адрес (место нахождения): 652971, Кемеровская область — Кузбасс, Таштагольский район, пгт Шерегеш, улица Весенняя, дом 54).
1.2. Настоящие Правила разработаны в соответствии с законодательством РФ: Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации (от 30.12.2001 № 197-ФЗ), Федеральным законом Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и другим.
1.3. В настоящих Правилах используются следующие основные понятия:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
оператор персональных данных – ИП ФЕДЮКИН П.В., самостоятельно организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уничтожения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных данных на территории иностранного государства органом власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
конфиденциальность персональных данных – обязательное для соблюдения операторам или иным получившим доступ к персональным данным лицом требования не допускать их распространения без согласия субъекта персональных данных или наличие иного законного основания;
1.4. Цель разработки Правил – определение порядка обработки персональных данных работников, бывших работников, соискателей работы отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. (далее – Работники) и иных субъектов персональных, в том числе гостей отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. (далее именуемые – «Субъекты персональных данных»), персональные данные которые подлежат обработке и защите на основании полномочий отеля «BELLA VISTA SHEREGESH» в лице ИП ФЕДЮКИН П.В. как оператора персональных данных; а так же установление ответственности субъектов, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.5. Настоящие Правила обязательны для исполнения субъектами, участвующими в процессах обработки и защиты персональных данных.
1.6. Работники отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. должны быть в обязательном порядке ознакомлены под роспись с настоящими Правилами, при этом должны быть указаны следующие данные: фамилия, имя, отчество, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшим его органе.
1.7. Порядок ввода в действие и изменений Правила.
1.7.1. Настоящие Правила вступают в силу с даты его подписания ИП ФЕДЮКИН П.В.
1.7.2. Все изменения в Правила вносится приказом ИП ФЕДЮКИН П.В.
1.8. Режим защиты персональных данных снимается в случае прекращения обработки (включая хранение) персональных данных в отеле «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В., а также в случае их обезличивания, если иное не определено законом.
2.СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В состав персональных данных работников отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. входят:
фамилия, имя, отчество, электронная почта, домашний тел., мобильный тел., рабочий тел., дата и место рождения, адрес проживания, адрес регистрации;
основное образование: год поступления, год окончания, учебное заведение, факультет, специальность по диплому, номер диплома, дата выдачи, дополнительная информация (наличие диплома «с отличием», форма обучения), дополнительное образование (аспирантура, стажировки, курсы, семинары): сроки обучения, учебное заведение, адрес, программа, присвоенная квалификация, полученный документ (номер, дата выдачи);
профессиональная деятельность: начало/окончание, полное название компании, адрес, телефон, фамилия имя отчество руководителя, должность, количество подчиненных, функциональные обязанности и причины увольнения, достижения, заработная плата, причина поиска новой работы;
иностранный язык (название, степень владения, место обучения, длительность), опыт работы с компьютером;
сведения о наградах;
паспортные данные иностранного гражданина;
паспортные данные гражданина Российской Федерации (серия, номер, дата выдачи, кем выдан), прежние Ф.И.О., пенсионное страховое свидетельство (номер), ИНН, лицевые счета, семейное положение:
состав семьи/ближайшие родственники: фамилия, имя, отчество, дата рождения;
сведения о воинском учете (категория годности к военной службе, наименование военного комиссариата по месту жительства);
фотографии;
содержание трудового договора, приказов по личному составу, а также отчетов и характеристик; сведения автобиографии, контактные телефоны; сведения о производственной деятельности; сведения о прохождении медицинских профилактических осмотров, о полной, частичной или временной нетрудоспособности, данные о социальных льготах и необходимые для предоставления льгот, сведения о доходах и обязательствах имущественного характера.
2.2. В состав персональных данных кандидатов на устройство на работу в отель «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. (соискателей) входят:
фамилия, имя, отчество, электронная почта, домашний тел., мобильный тел., рабочий тел., дата и место рождения, адрес проживания, адрес регистрации;
основное образование: год поступления, год окончания, учебное заведение, факультет, специальность по диплому, номер диплома, дата выдачи, дополнительная информация (наличие диплома «с отличием», форма обучения), дополнительное образование (аспирантура, стажировки, курсы, семинары): сроки обучения, учебное заведение, адрес, программа, присвоенная квалификация, полученный документ (номер, дата выдачи);
профессиональная деятельность: начало/окончание, полное название компании, адрес, телефон, фамилия имя отчество руководителя, должность, количество подчиненных, функциональные обязанности и причины увольнения, достижения, заработная плата, причина поиска новой работы;
иностранный язык (название, степень владения, место обучения, длительность), опыт работы с компьютером;
навыки и умения;
сведения о наградах.
2.3. В состав персональных данных ближайших родственников работников отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. входят:
фамилия, имя, отчество, дата рождения.
2.4. В состав персональных данных получателей алиментов входят: фамилия, имя, отчество, реквизиты для перевода денежных средств.
2.5. В состав персональных данных Гостей отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. входят:
фамилия, имя, отчество, домашний тел., мобильный тел., рабочий тел., дата и место рождения, адрес проживания, адрес регистрации:
паспортные данные гражданина РФ (серия, номер, дата выдачи, кем выдан);
данные паспорта гражданина иностранного государства.
3.ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
При обработке персональных данных субъектов допущенные к ним лица обязаны соблюдать следующие требования:
3.1. Обработка персональных данных в отеле «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. производится с целью осуществления следующих действий:
предоставление услуг отелем «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В.;
совершенствование уровня предоставляемых отелем «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В.;
подготовка к заключению, заключение и исполнение условий трудового договора в соответствии с Трудовым кодексом РФ или гражданско-правового договора в соответствии с Гражданским кодексом РФ;
реализация социальных программ, связанных с действующими и бывшими работниками, в целях обеспечения льгот и гарантий, обеспечение личной безопасности работников отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В.;
проведения обучающих семинаров для работников отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В.;
формирование общедоступных источников персональных данных работников, содержащих контактную и другую информацию делового характера;
осуществление других видов деятельности в рамках законодательства РФ с обязательным выполнением требований законодательства РФ в области защиты персональных данных.
3.2. Устанавливается срок или условие прекращения обработки персональных данных – в случае приостановления или прекращения деятельности ИП ФЕДЮКИН П.В., а также другие предусмотренные законодательством РФ основания.
3.3. Работники отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. не вправе получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях в частной жизни. В случаях непосредственно связанных с вопросами трудовых отношений, в соответствии с Конституции Российской Федерации, уполномоченные работники отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
3.4. Работники отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. не вправе получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.
3.5. При принятии решений, затрагивающих интересы субъекта, отель «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. не праве основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или получения по электронной связи.
3.6. Получение персональных данных.
3.6.1. Все персональные данные субъекта уполномоченные работники отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. могут получить лично у субъекта вместе с письменным согласием субъекта на обработку его персональных данных или без такового, в предусмотренных законодательством РФ случаях.
3.6.2. Субъект, являющийся работником отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В., обязан предоставлять достоверные сведения о себе своевременно информировать, об изменении своих персональных данных. Уполномоченные работники отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. имеют право проверять достоверность сведений, предоставленных субъектом, сверяя данные, предоставленные субъектом, с имеющимися документами.
3.6.3. Персональные данные субъектов могут быть получены не у самого субъекта, а у третьей стороны только в том случае, если получение их у самого субъекта затруднительно. При этом, за исключением случаев, если персональные данные были предоставлены уполномоченным сотрудникам отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. на основании федерального закона или если персональные данные являются общедоступными, уполномоченные сотрудники отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. до начала обработки таких персональных данных обязано уведомить об этом субъекта, предоставив следующие информацию:
наименование и адрес отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В.;
цель обработки персональных данных и ее правовое основание;
предполагаемые пользователи персональных данных;
установленные федеральным законом права субъекта персональных данных.
3.6.4. При получении данных не от субъекта персональных данных отеля уполномоченные сотрудники «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. должны получить от субъекта письменное согласие на обработку его персональных данных.
3.6.5. Уполномоченные работники отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. по запросу субъекта сообщают субъекту о целях способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
3.6.6. Для обработки персональных данных, разрешенных для распространения, необходимо получить отдельное согласие лица, предоставившего такие данные. Согласие на распространение персональных данных должно содержать: Ф. И. О. субъекта персональных данных; контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес); наименование оператора, получающего согласие (ИП ФЕДЮКИН П.В.); цель обработки персональных данных; категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена; условия разрешения и запрета обработки персональных данных; срок, в течение которого действует согласие; сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта). Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ.
3.7. Хранение персональных данных.
3.7.1. Документы, содержащие персональные данные субъектов хранятся как в бумажном виде, так и в электронном.
3.7.2. Хранение документов, содержащих персональные данные субъектов, осуществляется в порядке, исключающим доступ к ним третьих лиц.
3.8. Доступ к персональным данным субъекта третьих лиц (физических и юридических):
3.8.1. Передача персональных данных субъекта третьим лицам осуществляется только с письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных законодательством РФ.
3.8.2. Письменное согласие на передачу персональных данных третьим лицам должно включать в себя:
фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем органе;
наименование и адрес компании (третьего лица), получающей персональные данные субъекта;
цель передачи персональных данных;
перечень персональных данных, на передачу которых дает согласие субъект;
срок в течение, которого действует согласие, а также порядок его отзыва.
3.8.3. В случае, если контрагенты отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. оказывают услуги юридического или физического лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров, они должны иметь доступ к персональным данным субъектов, то соответствующие данные предоставляются только при наличии в договоре пунктов о неразглашении предоставленной информации, либо после подписания дополнительного соглашения к договору о неразглашении информации.
3.8.4. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме, на бланке отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. и в том объеме, который позволяет не разглашать излишний объем персональных сведений о субъектах персональных данных.
3.8.5. Предоставление персональных данных государственным органам производится в соответствии с требованиями действующего законодательства РФ и настоящим положением.
3.8.6. Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных субъекта несет работник отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В., осуществляющий передачу персональных данных субъекта третьим лицам, а также руководитель соответствующего работника.
3.8.7. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ.
3.8.8. Документы, содержащие персональные данные субъекта, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность.
3.8.9. При отправке через организацию федеральной почтовой связи комплектов документов, содержащих большие объемы персональных данных, в целях обеспечения их конфиденциальности, рекомендуется применять порядок, описанный далее. Документы, содержащие персональные данные, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
3.9. Носители персональных данных должны быть промаркированы по следующей схеме:
3.9.1. Для каждого журнала (книги, реестра), содержащего персональные данные должна быть нанесена маркировка «Персональные данные».
3.9.2. На сейфы, в которых хранятся документы, содержащие персональные данные, наклеиваются наклейки, содержащие надписи «Персональные данные».
3.9.3. На серверы баз данных, содержащих персональные данные, наклеиваются наклейки, содержащие надписи «Персональные данные».
3.9.4. На все отчуждаемые носители информации (жесткие и оптические диски, магнитные ленты, твердотельные накопители, флэш-накопители), наклеиваются наклейки, содержащие надписи «Персональные данные».
3.10. Персональные данные, обрабатываемые в информационных системах отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В., должны быть уничтожены либо обезличены в трехдневный срок по достижению цели обработки или в случае утраты необходимости в достижении этих целей, если иное не определено законодательством РФ. При этом хранение данных в информационных системах и на материальных носителях может производиться в целях взаимодействия с государственными органами вплоть до истечения срока хранения документов согласно законодательству РФ.
3.11. Обработка персональных данных.
3.11.1. Обработка персональных данных является законной в случае, если она:
осуществляется с согласия субъекта персональных данных;
необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому по которому является субъект персональных данных, а так же для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если поручение согласия субъекта персональных данных невозможно;
необходима для осуществления прав и законных интересов работников отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
3.11.2. Доступ к персональным данным субъекта имеют работники отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В., которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
3.11.3. Права и обязанности, действия работников, в трудовые обязанности которых входит обработка и защита персональных данных субъектов, определяются должностными инструкциями и настоящим Положением.
3.11.4. Работники отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В., осуществляющие обработку персональных данных, либо имеющие к ним доступ, обязаны соблюдать условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним третьих лиц.
3.11.5. Защите подлежат:
персональные данные субъекта;
бумажные и электронные носители, содержащие персональные данные субъекта;
технические средства информационных систем, в которых производится обработка персональных данных.
3.11.6. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством РФ, а также ознакомлены с внутренними нормативными документами (приказами, распоряжениями, инструкциями и т.п.), регулирующими обработку и защиту персональных данных в отеле «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В.
3.11.7. Для сбора персональных данных при неавтоматизированной обработке, когда это предусмотрено, необходимо использовать типовые бумажные формы (журнал, книга, реестр).
3.11.8. Для каждой типовой формы (журнал, книга, реестр), содержащий персональные данные субъектов, должны соблюдаться следующие условия:
должна быть нанесена маркировка «Персональные данные»;
должен содержаться раздел, в котором указываются: цели обработки персональных данных и состав информации, запрашиваемой у субъектов персональных данных; перечень лиц, имеющих доступ к материальным носителям и ответственных за ведение и сохранность формы; сроки обработки персональных данных и перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
должно быть предусмотрено поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных (при необходимости наличия такого согласия);
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
копирование содержащихся в таких формах информации не допускается.
3.11.9. Персональные данные, которые хранятся в электронном виде, должны сохраняться на выделенных АРМ (автоматизированное рабочее место), выделенных носителях, либо выделенных разделах файлового сервера или выделенных баз данных.
3.11.10. Должно быть обеспеченно раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в целях, заведомо не совместимых между собой, при наличии технической возможности.
3.11.11. Все носители, содержащие персональные данные, должны учитываться в Журнале учета носителей для хранения персональных данных.
3.11.12. Утилизация электронных носителей, содержащих персональные данные (USB-дисков, дискет, жестких дисков) как АРМ пользователей, так и серверов, должна проходить по отдельной процедуре при непосредственном участии специалиста подразделения, ответственного за обеспечение информационной безопасности.
3.11.13. Бумажные носители персональных данных по достижению цели обработки должны быть либо сданы в архив, либо утилизированы в трехдневный срок, согласно соответствующей инструкции. Не допускается хранение бумажных носителей на протяжении продолжительного времени, превышающего регламентное время его обработки (устанавливается для каждого типа документа отдельно).
3.11.14. По факту уничтожения персональных данных либо носителей персональных данных должен быть составлен Акт об уничтожении персональных данных. Данный Акт является основанием для внесения отметки об уничтожении в Журнал учета носителей для хранения персональных данных.
4. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Субъект имеет право:
4.1. Получать доступ к своим персональным данным и знакомиться с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
4.2. Получать сведения о правовых основаниях и целях обработки персональных данных; о наименовании и адресе лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; о наименовании и месте нахождения оператора, о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона.
4.3. Требовать от работников отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. персональных данных.
4.4. Отозвать согласие на обработку своих персональных данных. В случае получения письменного отзыва субъектом персональных данных уполномоченные работники отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. обязуются прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 (тридцати) дней с даты получения указанного отзыва, за исключением персональных данных, подлежащих хранению в отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. в целях соблюдения законодательства Российской Федерации.
4.5. Получать от уполномоченных работников отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В.:
подтверждения факта обработки персональных данных в отеле «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. а также цель такой обработки;
способы обработки персональных данных, применяемые в отеле «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В.;
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
перечень обрабатываемых персональных данных и источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;
сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
4.6. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
4.7. Обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в досудебном порядке неправомерные действия или бездействия уполномоченных работников отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. при обработке и защите его персональных данных.
5.ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА.
5.1. Работники отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В., виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
5.2. Руководитель отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. за нарушение порядка обращения с персональными данными несет административную ответственность, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.
5.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации, ответственность.
5.4. В случае разглашения работником персональных данных субъекта (передачи их посторонним лицам, в том числе, работникам отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В., не имеющим к ним доступа), их публичного раскрытия, утраты документов и иных носителей, содержащих персональные данные субъекта, а так же иных нарушений обязанностей по их защите и обработке, установленных настоящим Положением, внутренними нормативными актами (приказами, распоряжениями) по отелю «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В., руководитель отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. имеет право применить к работнику, разгласившему соответствующие персональные данные следующие дисциплинарные взыскания: замечания, выговор, увольнение по соответствующим основаниям в соответствии с трудовым законодательством РФ.
5.5. Работник отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В., имеющий доступ к персональным данным субъектов и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность, в случае причинения его действиями ущерба отелю «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В.
5.6. Работники отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В., имеющие доступ к персональным данным субъектов, виновные в незаконном разглашении или использовании персональных данных лиц без согласия субъектов из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии с законодательством РФ.
6. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В ОТЕЛЕ «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В.
6.1. Обеспечение безопасности и защите персональных данных при их обработке в информационных системах отеле «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. осуществляется в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (далее — Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119) и Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказом ФСТЭК от 18 февраля 2013г. № 21).
6.2. Система защиты персональных данных отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
6.3. Актуальными угрозами безопасности персональных данных является совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
6.4. Информационная система отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. является информационной системой, обрабатывающей иные категории персональных данных (в ней не обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также сведения, которые характеризуют физиологические и биологические особенности человека).
6.5. Информационная система отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. – это информационная система, обрабатывающая персональные данные сотрудников менее чем 100000 субъектов персональных данных, и информационная система, обрабатывающая персональные данные субъектов персональных данных, не являющихся сотрудниками отеля (клиентов отеля) менее чем 100000 субъектов персональных данных.
6.6. Для информационной системы отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и программном обеспечении, используемом в информационной системе. Актуальные угрозы безопасности персональных данных – это совокупность условий и факторов, создающий актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
6.7. Защищенность персональных данных при их обработке в информационных системах обеспечивается 4-ым уровнем защищенности.
6.8. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих организационных требований:
организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
обеспечение сохранности носителей персональных данных;
утверждение руководителем отеля документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
6.9. Технические меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.10. Выбор технических мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:
определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных;
адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;
дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.
6.11. В информационных системах 4 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 6 класса.
6.12. Требования в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 к защите персональных данных при их обработке в информационных системах 4 уровня защищенности персональных данных:
организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
обеспечение сохранности носителей персональных данных;
утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
6.13. Требования в соответствии с Приказом ФСТЭК от 18 февраля 2013 г. N 21к защите персональных данных при их обработке в информационных системах 4 уровня защищенности персональных данных:
Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных |
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |
ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками отеля |
ИАФ.З | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
ИАФ.5 | Защита обратной связи при вводе аутентификационной информации |
ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
II. Управление доступом субъектов доступа к объектам доступа (УПД) | |
УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
УПД.З | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы |
УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств |
УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
V. Регистрация событий безопасности (РСБ) | |
РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
РСБ.З | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
РСБ. 7 | Защита информации о событиях безопасности |
VI. Антивирусная защита (АВЗ) | |
АВ3.1 | Реализация антивирусной защиты |
АВ3.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |
АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
XI. Защита среды виртуализации (ЗСВ) | |
ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
XI. Защита среды виртуализации (ЗСВ) | |
ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
XII. Защита технических средств (ЗТС) | |
ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены |
ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |
ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ, В ОТЕЛЕ «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В.
7.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
7.2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
7.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах журналов или на бланках.
7.4. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных Гостей и Работников отеля «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
7.5. При использовании типовых документов, характер информации в которых предполагает включение в них персональных данных, должны соблюдаться следующие условия:
а) документы должны содержать сведения о цели обработки персональных данных наименование и адрес агентства, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) документы должны предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
в) документы должны быть составлены таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
7.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
7.7. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
7.8. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
7.9. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
7.10. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
8. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОТЕЛЕ «BELLA VISTA SHEREGESH» ИП ФЕДЮКИН П.В.
8.1. Уничтожение документов, содержащих персональные данные, производится:
по достижении целей обработки персональных данных согласно договорам, номенклатуре дел и документов;
по достижении окончания срока хранения персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон, в том числе, если они не подлежат архивному хранению;
в случае выявления неправомерной обработки персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных.
Уничтожение производится по мере необходимости, в зависимости от объемов накопленных для уничтожения документов.
8.2. Документы, дела, книги и журналы учета, содержащие персональные данные, при достижении целей обработки, или при наступлении иных законных оснований, (например, утратившие практическое значение, а также с истекшим сроком хранения), подлежат уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
8.3. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании постоянно действующей комиссии по персональным данным. По итогам заседания составляются протокол и опись уничтожаемых документов и дел, проверяется их комплектность.
8.4. Отобранные к уничтожению материалы измельчаются механическим способом до степени, исключающей возможность прочтения текста, или сжигаются. Уничтожение документов производится в присутствии всех членов комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте документов. После уничтожения материальных носителей членами комиссии подписывается акт об уничтожении носителей, содержащих персональные данные, делается запись в журналах их учета и регистрации.
8.5. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации. Подлежащие уничтожению файлы с персональными данными, расположенные на жестком диске компьютера, удаляются средствами операционной системы компьютера с последующим «очищением корзины», либо применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель. Об уничтожении файлов делаются соответствующие отметки в Журнале уничтожения носителей персональных данных.