Положение об обработке, хранении и учете персональных данных гостей ООО "ГОСТИНИЦА СПУТНИК"
1. Общие положения
1.1. Настоящее Положение о порядке обработки и защиты персональных данных в ООО «Гостиница «Спутник» (далее — Положение) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - ФЗ
«О персональных данных»), Федеральным законом от 24.11.1996 № 132-ФЗ «Об основах туристской деятельности в Российской Федерации», Федеральным законом от 18.07.2006 N 109-ФЗ "О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации" (далее – законодательство о миграционном учете), федеральными законами: от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 25.12.2008 г. № 273-ФЗ «О противодействии коррупции», от 02.09.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», от 29.07.2004 № 98-ФЗ «О коммерческой тайне», Закон РФ от 25 июня 1993 г. N 5242-I "О праве граждан Российской Федерации на свободу передвижения, выбор места пребывания и жительства в пределах Российской Федерации", постановлением Правительства РФ от 09.10.2015 N 1085 «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Указом Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера», приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20
«Об утверждении Порядка проведения классификации информационных систем персональных данных» (зарегистрировано в Минюсте России 03.04.2008, регистрационный № 11462), приказом ФСТЭК России от 18.02.2013 № 21
«Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», другими федеральными законами и нормативными правовыми актами Российской Федерации, а также в соответствии с Уставом ООО «Гостиница «Спутник» (далее – гостиница «Спутник» и внутренними нормативными документами гостиницы «Спутник».
1.2. Действие Положения определяет основные цели, содержание и порядок обработки персональных данных (далее – ПД), меры, направленные на защиту ПД, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных.
1.3. Настоящее Положение определяет политику гостиницы «Спутник» как оператора, осуществляющего обработку ПД, в отношении обработки и защиты ПД.
1.4. Обработка ПД в гостинице «Спутник» осуществляется с соблюдением принципов и условий, установленных ст. 5 ФЗ «О персональных данных», иным законодательством Российской Федерации в области персональных данных и настоящим Положением.
1.5. Порядок обработки информации в системах контроля и управления физическим доступом на территорию (в здания и помещения), в системах видеонаблюдения, а также порядок обращения с носителями, на которых эта информация размещается, устанавливается соответствующими внутренними нормативными документами гостиницы «Спутник».
1.6. Оценка вреда, который может быть причинен субъектам персональных данных, обработку ПД которых осуществляет гостиница «Спутник», в случае нарушения со стороны гостиницы «Спутник» требований ФЗ «О персональных данных», а также соотношение указанного вреда и принимаемых гостиница «Спутник» мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ
«О персональных данных», осуществляется в соответствии с внутренними нормативными документами гостиницы «Спутник».
1.7. Понятия, используемые в настоящем Положении, соответствуют основным понятиям ст. ст. 3, 7 ФЗ «О персональных данных».
1.8. Понятие «гость гостиницы «Спутник» (далее – гость) используется в значении понятия «потребитель», в соответствии с Правилами предоставления гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства РФ от 9 октября 2015 г. № 1085.
1.9. Понятие «законный представитель» — лицо, которое наделено правом представлять интересы субъекта персональных данных в силу специального указания закона или лицо, представляющее субъекта персональных данных, действующее на основании поручения (доверенности или иного документа) удостоверенного (удостоверенной) нотариально, или заверенного (заверенной) способами, приравненными к нотариальному заверению согласно ст. 185.1 ГК РФ.
1.10. Требования, изложенные в Положении, являются обязательными для выполнения всеми работниками гостиницы «Спутник» и иными лицами, имеющими договорные отношения с гостиницей «Спутник».
2. Цели, категории персональных данных и субъекты персональных данных, сроки обработки и хранения персональных данных
2.1. Гостиница «Спутник» осуществляет обработку ПД в следующих целях:
а) заключения и исполнения договора по предоставлению услуг по проживанию или временному размещению, одной из сторон которого является гость;
б) оповещения гостя с помощью средств связи об изменениях в продуктовой линейке, новых продуктах, услугах и работе гостиницы «Спутник», направления гостю адресных предложений об услугах, а также проведения маркетинговых исследований (при введении данной услуги);
в) обеспечения безопасности, связанной с физическим доступом субъектов персональных данных на территорию, в здания и помещения гостиницы «Спутник»;
г) заключение и исполнение договорных отношений гражданско-правового характера, отличные от отношений, связанных с оказанием гостиничных услуг или находящихся на преддоговорном этапе установления отношений подобного характера (хозяйственные договора купли-продажи, аренда, подряд, выполнение работ, оказание услуг, изготовление рекламной продукции, и т.п. в соответствии с Гражданским кодексом Российской Федерации) с физическими лицами или индивидуальными предпринимателями;
д) обеспечения кадровой работы, обеспечения работникам гостиницы «Спутник» установленных законодательством Российской Федерации условий труда, начисления заработной платы, предоставления отчетности в налоговые органы и иных органы, оформления трудовых отношений, обеспечения работникам гостиницы «Спутник» установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.
2.2. Категории субъектов персональных данных, которые могут обрабатываться в гостинице «Спутник» с использованием средств автоматизации или без использования средств автоматизации:
2.2.1. Персонал гостиницы «Спутник»:
а) физические лица, являющиеся работниками гостиницы «Спутник» (далее – работник гостиницы), дети работников гостиницы в случаях реализации социальных гарантий;
б) кандидаты на работу;
в) лица, имевшие ранее трудовые отношения с гостиницей «Спутник»;
г) лица, проходящие практику (стажировку) в гостинице «Спутник».
Перечень ПД, порядок обработки и защиты ПД Персонала гостиницы определяется р. 5 настоящего Положения, иными внутренними нормативными актами, а также действующим законодательством Российской Федерации.
2.2.2. Гости – граждане Российской Федерации. Перечень персональных данных:
- фамилия, имя, отчество (последнее - при наличии);
- дата рождения и место рождения;
- пол;
- гражданство;
- данные документа, удостоверяющего личность (в отношении лиц, не достигших четырнадцатилетнего возраста, реквизиты свидетельства о рождении): серия, номер, дата выдачи и кем выдано;
- адрес места жительства;
- номер контактного телефона;
- адрес электронной почты;
2.2.3. Гости – иностранные граждане.
Перечень персональных данных:
- фамилия, имя, отчество (последнее - при наличии);
- дата и место рождения;
- пол;
- гражданство (подданство);
- место рождения;
- профессия;
- реквизиты документа, удостоверяющего личность (в отношении лиц, не достигших четырнадцатилетнего возраста, реквизиты свидетельства о рождении): серия; номер, дата выдачи, срок действия;
- вид и реквизиты документа, подтверждающие право на пребывание (проживание) на территории Российской Федерации (виза; вид на жительство; разрешение на временное проживание);
- реквизиты миграционной карты;
- данные патента;
- номер контактного телефона;
- адрес электронной почты;
2.2.4. Иные субъекты ПД:
а) физические лица, в том числе индивидуальные предприниматели, имеющие с гостиницей «Спутник» договорные отношения гражданско-правового характера, отличные от отношений, связанных с оказанием гостиничных услуг или находящихся на преддоговорном этапе установления отношений подобного характера (хозяйственные договора купли-продажи, аренда, подряд, выполнение работ, оказание услуг, изготовление рекламной продукции, и т.п. в соответствии с Гражданским кодексом Российской Федерации);
б) физические лица, действующих от имени контрагента (клиента) на основании доверенности или в силу закона;
в) иные физические лица, не вошедшие в вышеуказанные категории.
Перечень ПД:
- фамилия, имя, отчество;
- адрес регистрации;
- данные паспорта гражданина Российской Федерации и/или иного документа, удостоверяющего личность в соответствии с законодательством РФ (серия, номер, дата и место выдачи, наименование и код органа, выдавшего паспорт или иной документ, удостоверяющий личность);
- идентификационный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счета, указанный в страховом свидетельстве обязательного пенсионного страхования (СНИЛС);
- номера городских и мобильных телефонов, номера факсов;
- адреса электронной почты;
- данные документа, подтверждающие полномочия представителя;
2.3. Все персональные данные работники гостиницы получают непосредственно от субъектов персональных данных.
2.4. Обработка персональных данных гостей гостиницы «Спутник» и иных субъектов ПД осуществляется без согласия указанных лиц в рамках целей, определенных подпунктами «а» и «г» пункта 2.1 настоящего Положения, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 ФЗ "О персональных данных" и положениями Гражданского кодекса РФ и другими нормативными правовыми актами.
2.5. В иных случаях обработка персональных данных гостей гостиницы «Спутник» и иных субъектов ПД осуществляется при условии получения согласия указанных лиц.
2.6. Обработка ПД гостей гостиницы «Спутник» и иных субъектов ПД включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПД осуществляется путем:
- получения оригиналов необходимых документов (анкет, паспорта, визы, иных документов, предоставляемых для оформления гостиничных услуг или иных правоотношений);
- копирования оригиналов документов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- формирования персональных данных в ходе работы;
- внесения персональных данных в ИСПДн гостиницы «Спутник».
При сборе ПД сотрудник, осуществляющий сбор (получение) персональных данных непосредственно от субъекта ПД, обязан разъяснить указанным субъектам ПД юридические последствия отказа предоставить их персональные данные.
Передача (распространение, предоставление) и использование персональных данных гостей гостиницы «Спутник» и иных субъектов ПД осуществляется лишь в случаях и в порядке, предусмотренных действующими нормативно правовыми актами.
2.7. Категории персональных данных, обрабатываемых гостиницей «Спутник»:
ПД общей категории, которые не могут быть отнесены к специальным категориям ПД, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным.
2.8 Сроки обработки и хранения обрабатываемых персональных данных.
2.8.1. Сроки обработки ПД, содержащихся в типовых и иных формах, регламентируются действующим законодательством РФ, в том числе ФЗ
«О персональных данных», законодательством о миграционном учете, указываются в согласиях субъектов на обработку их ПД и во внутренних нормативных документах гостиницы «Спутник».
Обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей.
2.8.2. Хранение ПД в гостинице «Спутник» проводится с соблюдением принципа обработки ПД, определенного в ч. 7 ст. 5 ФЗ «О персональных данных» в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки ПД.
2.8.3. Сроки хранения персональных данных в гостинице «Спутник», в общем случае, определяются в соответствии со сроками, установленными приказом Минкультуры РФ от 25 августа 2010 года № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».
2.9. Допуск к обработке ПД и доступ в помещения.
2.9.1. После выполнения процедур, указанных в п. п. 3.3 - 3.5. настоящего Положения, лица, уполномоченные обрабатывать ПД, могут быть допущены к обработке персональных данных, если иные условия начала работы дополнительно не оговорены во внутренних нормативных документах гостиницы «Спутник».
2.9.2. Допуск в помещения, где происходит обработка ПД, осуществляется в порядке, изложенном во внутренних нормативных документах.
3. Лица, осуществляющие обработку и защиту персональных данных
3.1. Приказом гостиницы «Спутник» назначается лицо, ответственное за организацию обработки и защиты персональных данных гостей (далее — Ответственный за организацию обработки ПД) из числа работников гостиницы «Спутник», относящихся к группе должностей категории «руководитель» в соответствии с распределением обязанностей. Ответственный за организацию обработки ПД в своей деятельности руководствуется законодательством Российской Федерации в области персональных данных и настоящим Положением. На время отсутствия Ответственного за организацию обработки ПД ответственными являются лицо, назначенное на период его замещения в установленном порядке.
3.1.1. Ответственный за организацию обработки ПД получает указания непосредственно от учредителя гостиницы «Спутник» и подотчетен ему.
3.1.2. Ответственный за организацию обработки ПД обязан:
а) Организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в гостинице «Спутник» от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
б) Осуществлять внутренний контроль за соблюдением сотрудниками гостиницы «Спутник», как оператором ПД, требований законодательства Российской Федерации о персональных данных, в том числе требований к защите ПД;
в) Организовывать периодическое информирование (обучение) работников гостиницы «Спутник» в части изменения законодательства Российской Федерации о персональных данных, изменений (принятия) внутренних нормативных документах гостиницы «Спутник» по вопросам обработки ПД, требований к защите ПД;
г) Организовывать прием, обработку обращений, запросов, отзывов согласий на обработку персональных данных субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов. Вышеназванные документы регистрируются работником гостиницы «Спутник» назначенным приказом директора гостиницы «Спутник», в Журнале учета обращений субъектов персональных данных по вопросам обработки и защиты персональных данных в ООО «Гостиница «Спутник» (далее – Журнал учета обращений, приложение № 1).
д) Обеспечивать составление и своевременное внесение изменений в списки должностей работников гостиницы «Спутник», осуществляющих обработку ПД, в том числе в ИСПДн, либо имеющих доступ к персональным данным;
е) В случае нарушения в гостинице «Спутник» требований к защите ПД принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
ж) Выполнять иные обязанности, предусмотренные настоящим Положением, трудовым договором и внутренними нормативными документами гостиницы «Спутник».
3.1.3. Ответственный за обработку персональных данных вправе:
а) Иметь доступ к информации, касающейся обработки персональных данных гостей в гостинице «Спутник» и включающей:
- цели обработки ПД;
- категории обрабатываемых ПД;
- категории субъектов, ПД которых обрабатываются;
- правовые основания обработки ПД;
- перечень действий с ПД, общее описание используемых в гостинице «Спутник» способов обработки ПД;
- описание мер, предусмотренных статьями 18.1 и 19 ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- дату начала обработки ПД;
- срок или условия прекращения обработки ПД;
- сведения об обеспечении безопасности ПД в соответствии с требованиями к защите ПД, установленными Правительством Российской Федерации.
б) Привлекать к реализации мер, направленных на обеспечение безопасности ПД, обрабатываемых в гостинице «Спутник», иных работников гостиницы «Спутник» с возложением на них соответствующих обязанностей и закреплением ответственности.
в) Назначать приказами гостиницы «Спутник» ответственных за:
- обработку и защиту ПД в структурных подразделениях гостиницы «Спутник»;
- обработку и защиту ПД на своих рабочих местах в рамках, определенных соответствующими должностными инструкциями, том числе в ИСПДн.
3.2. Ответственными за обработку и защиту ПД в структурных подразделениях, гостиницы «Спутник» являются руководители вышеназванных подразделений (далее – руководители подразделений) в соответствии с настоящим Положением и должностными инструкциями. На время отсутствия руководителей вышеназванных подразделений ответственными являются лица, их замещающие в установленном порядке.
3.3. Ответственными за обработку и защиту ПД на своих рабочих местах, являются лица, уполномоченные приказом гостиницы «Спутник» обрабатывать ПД в соответствии с настоящим положением и внутренними правовыми актами гостиницы «Спутник».
3.4. Руководители подразделений, работники гостиницы «Спутник», уполномоченные обрабатывать ПД должны быть ознакомлены с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите ПД, настоящим Положением, иными внутренними нормативными документами гостиницы «Спутник», определяющими политику в отношении обработки и защиты ПД, а также с изменениями к вышеназванным правовым актам.
3.5. С каждым работником гостиницы «Спутник», непосредственно осуществляющими обработку и защиту ПД, в установленном порядке должно быть оформлено Обязательство о выполнении требований о неразглашении работниками охраняемой законом коммерческой или иной законодательно определенной тайны, а также о выполнении требований по работе и защите персональных данных, которое прилагается к трудовому договору и является неотъемлемой его частью (далее — Обязательство, приложение № 2).
4. Правовые процедуры по взаимодействию гостиницы «Спутник» с субъектами персональных данных
4.1. Согласие субъекта персональных данных.
4.1.1. В соответствии с ч. 1 ст. 9 ФЗ «О персональных данных» субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных (далее — Согласие) должно быть конкретным, информированным и сознательным. Согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения Согласия от представителя субъекта персональных данных полномочия данного представителя на дачу Согласия от имени субъекта персональных данных проверяются гостиницей «Спутник».
4.1.2. Обработка персональных данных осуществляется в следующих случаях:
а) с согласия в письменной форме субъекта персональных данных на обработку его ПД. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с действующим законодательством Российской Федерации электронной подписью;
б) для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на гостиницу «Спутник» как на оператора функций, полномочий и обязанностей;
в) в связи с участием субъекта персональных данных в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
г) для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
д) для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
е) в статистических или иных исследовательских целях, за исключением целей по продвижению товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, при условии обязательного обезличивания персональных данных;
ж) в целях доступа к общедоступным ПД;
4.1.3. Типовые формы согласия субъекта персональных данных (представителя субъекта персональных данных) на обработку персональных данных устанавливаются:
а) в отношении Персонала гостиницы, приложением № 3 к настоящему Положению;
б) в отношении гостя – гражданина Российской Федерации, приложение № 4 к настоящему Положению.
в) в отношении гостя – иностранного гражданина, приложение № 5 к настоящему Положению.
Текст согласия субъекта персональных данных может включаться в тексты договоров, заявлений, анкет, получаемых у субъекта персональных данных.
4.2. Согласие на обработку персональных данных может быть отозвано субъектом ПД. В случае отзыва субъектом ПД согласия на обработку персональных данных гостиница «Спутник» вправе продолжить обработку ПД без согласия субъекта персональных данных при наличии оснований, указанных в ФЗ «О персональных данных».
4.2.1. В случае отзыва субъектом ПД своего Согласия ему необходимо оформить Отзыв согласия на обработку персональных данных (далее – Отзыва согласия, приложение № 6), подписать его и направить лично или через своего представителя в адрес гостиницы «Спутник» по почте заказным письмом с уведомлением о вручении либо вручить лично или через своего представителя под расписку представителю гостиница «Спутник». Если Отзыв согласия передается через представителя, то он должен подтвердить свои полномочия в соответствии с п. 1.9 настоящего Положения.
4.2.2. В случае поступления Отзыва согласия гостиница «Спутник» прекращает обрабатывать ПД субъекта за исключением случаев, предусмотренных ФЗ
«О персональных данных».
4.2.3. В случае поступления в гостиницу «Спутник» Отзыва согласия от гостя гостиница «Спутник» прекращает обработку ПД в вышеназванных целях. Субъект ПД может направить Отзыв согласия форме отличной от примерной формы, утвержденной приложением № 6.
4.2.4. Работник гостиницы «Спутник» в соответствии с должностной инструкцией регистрирует Отзыв согласия в Журнале учета обращений и в установленном порядке информирует Ответственного за организацию обработки ПД с целью последующего уничтожения ПД, в т.ч. в ИСПДн в порядке, установленным внутренними нормативными документами гостиница «Спутник», а также информируют субъекта персональных данных, в установленные законодательством сроки о прекращении обработки его ПД.
4.2.5. Срок хранения Запросов на отзыв аналогичен сроку хранения других документов гостиница «Спутник», содержащих его ПД.
4.3. Доступ субъектов персональных данных к обрабатываемым их персональных данных.
4.3.1. В соответствии с ч. 7 ст. 14 ФЗ «О персональных данных» субъект ПД имеет право на получение информации, касающейся обработки его ПД. В соответствии с ч. 1 ст. 20 ФЗ «О персональных данных» гостиница «Спутник» обязана сообщить в порядке и в сроки, установленные вышеназванной статьей субъекту ПД или его представителю информацию о наличии ПД, относящихся к соответствующему субъекту ПД, а также предоставить возможность ознакомления с этими ПД.
4.3.2. Выбор формы обращения (запроса) для реализации своего права на получение сведений зависит от воли субъекта персональных данных. Информация, касающаяся обработки ПД субъекта, может быть предоставлена субъекту ПД или его представителю для ознакомления в случае:
а) устного обращения к работникам гостиницы «Спутник», сопровождающегося обязательным предоставлением основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
б) предоставления запроса в гостиницу «Спутник», который может быть исполнен как на бумажном носителе (при личном обращении субъекта или его представителя), так и в форме электронного документа, подписанного электронной подписью в соответствии с законодательство Российской Федерации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с гостиницей «Спутник» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД, подпись субъекта персональных данных или его представителя.
Обращение (запрос) субъекта персональных данных регистрируются в Журнале учета обращений.
4.3.3. Право субъекта персональных данных на доступ к его ПД может быть ограничено в соответствии с ч. 8 ст. 14 ФЗ «О персональных данных».
4.3.4. Субъект ПД в порядке и сроки, предусмотренные ч. ч. 4-6 ст. 14 ФЗ
«О персональных данных» в целях получения сведений, указанных в п. 4.3.1. настоящего Положения вправе обратиться повторно в гостиницу «Спутник» или направить повторный запрос.
Гостиница «Спутник» вправе отказать субъекту ПД в выполнении повторного запроса, не соответствующего условиям, предусмотренным настоящим пунктом. Такой отказ должен быть мотивированным. При этом в соответствии с ФЗ «О персональных данных» обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на гостинице «Спутник».
4.4. Отказ в предоставлении персональных данных.
4.4.1. В соответствии с ч. 2 ст. 20 ФЗ «О персональных данных» в случае отказа в предоставлении информации о наличии ПД о соответствующем субъекте ПД или ПД субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя гостиница «Спутник» обязан дать в письменной форме мотивированный ответ (приложение № 7), содержащий ссылку на положение части 8 статьи 14 ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
4.5. Прекращение обработки, уточнение, блокирование и уничтожение персональных данных.
4.5.1. В соответствии с ч. 1, ч. 3 ст. 21 ФЗ «О персональных данных» в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных гостиница «Спутник» обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению гостиница «Спутник») с момента такого обращения или получения указанного запроса на период проверки. Проверку факта неправомерной обработки персональных данных организует Ответственный за организацию обработки персональных данных.
4.5.2. В соответствии с ч.1, ч.2 ст. 21 ФЗ «О персональных данных» в случае выявления неточных (неполных, устаревших) персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных гостиница «Спутник» обязана осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению гостиница «Спутник») с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
Решение о блокировании предположительно неточных персональных данных соответствующего субъекта персональных данных принимает Ответственный за организацию обработки персональных данных.
Проверку факта неточности обрабатываемых персональных данных организует Ответственный за организацию обработки персональных данных.
Если при обращении субъекта персональных данных (его представителя) будут обнаружены неточные (неполные, устаревшие) ПД, которые можно в присутствии обратившегося и с его согласия персональные данные корректируются в присутствии субъекта персональных данных.
4.5.3. В соответствии с ч. 7 ст. 5, ч. 4 ст. 21 ФЗ «О персональных данных» в случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей гостиница «Спутник» обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению гостиница «Спутник») и уничтожить ПД либо провести обезличивание в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между гостиницей «Спутник» и субъектом ПД либо если гостиница «Спутник» не вправе осуществлять обработку ПД без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.
Процедура уничтожения (обезличивания) персональных данных или обеспечения их уничтожения (обезличивания) выполняется в законодательно установленный срок только в том случае, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между гостиницей «Спутник» и субъектом персональных данных, либо если гостиница «Спутник» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.
По факту уничтожения (обезличивания) оформляется Акт об уничтожении документов, содержащих персональные данные (приложение № 8).
4.5.4. В соответствии с ч. 5 ст. 21 ФЗ «О персональных данных» в случае отзыва субъектом персональных данных согласия на обработку его персональных данных гостиница «Спутник» обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению гостиница «Спутник») и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить ПД или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению гостиница «Спутник») в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между гостиницей «Спутник» и субъектом персональных данных либо если гостиница «Спутник» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.
4.5.5. В случае отсутствия возможности уничтожения персональных данных, гостиница «Спутник» в соответствии с ч. 6 ст. 21 ФЗ «О персональных данных» осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению гостиница «Спутник») и осуществляет (обеспечивает) уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.
Факт отсутствия возможности уничтожения персональных данных по различным причинам докладывается работником гостиницы «Спутник», являющимся в соответствии с должностной инструкцией ответственным за организацию (выполнение) процедуры уничтожения, Ответственному за организацию обработки персональных данных, который на основании полученного доклада принимает решение об обеспечении уничтожения персональных данных в срок, установленный федеральными законами.
4.5.6. В соответствии с ч. 3 ст. 20, ч. 3 ст. 21 ФЗ «О персональных данных» об устранении допущенных нарушений, в результате которых ПД были неполными, неточными или неактуальными и подлежали изменению, или об уничтожении персональных данных (в случае неправомерной обработки персональных данных, т.е. когда они являются незаконно полученными или не являются необходимыми для заявленной цели обработки), гостиница «Спутник» обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4.5.7. Гостиница «Спутник» также обязана принять разумные меры для уведомления третьих лиц, которым были переданы ПД субъекта персональных данных в случае, когда с целью устранения допущенных нарушений было необходимо обеспечить изменение переданных ПД ввиду их неполноты, неточности или неактуальности. Решение о конкретном составе таких мер и об их исполнении принимает Ответственный за организацию обработки персональных данных.
5. Перечень, условия и порядок обработки персональных данных Персонала гостиницы «Спутник»
5.1. Персональные данные Персонала гостиницы «Спутник» обрабатываются в целях обеспечения кадровой работы, повышения квалификации и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения работникам гостиницы «Спутник» установленных законодательством Российской Федерации условий труда, начисления заработной платы, предоставления отчетности в налоговые органы персонифицированных данных в Пенсионный фонд РФ, фонд социального страхования, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.
5.2. Перечень персональных данных Персонала гостиницы «Спутник», обрабатываемых гостиницей установлен приложением № 9 к настоящему Положению.
5.3. Обработка персональных данных Персонала гостиницы «Спутник» осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 5.1 настоящего Положения, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 ФЗ "О персональных данных" и положениями Трудового кодекса, Налогового кодекса Российской Федерации и другими федеральными законами.
5.4. Обработка персональных данных Персонала гостиницы «Спутник» осуществляется при условии получения согласия указанных лиц в следующих случаях:
5.4.1. При передаче (распространении, предоставлении) ПД третьим лицам в случаях, не предусмотренных действующим трудовым законодательством Российской Федерации;
5.4.2. При принятии решений, порождающих юридические последствия в отношении Персонала гостиницы «Спутник» или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
5.5. В случаях, предусмотренных пунктом 5.4. настоящего Положения, согласие субъекта персональных данных оформляется в письменной форме, согласно приложению № 3 к настоящему Положению если иное не установлено ФЗ "О персональных данных".
5.6. Обработка ПД Персонала гостиницы «Спутник» включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
5.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных Персонала гостиницы «Спутник» осуществляется путем:
5.7.1. Получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в отдел кадров);
5.7.2. Копирования оригиналов документов;
5.7.3. Внесения сведений в учетные формы (на бумажных и электронных носителях);
5.7.4. Формирования персональных данных в ходе кадровой работы;
5.7.5. Внесения персональных данных в ИСПДн гостиницы «Спутник», используемые отделом кадров и бухгалтерией.
5.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПД осуществляется путем получения ПД непосредственно от Персонала гостиницы «Спутник».
5.9. В случае возникновения необходимости получения ПД Персонала гостиницы «Спутник» у третьей стороны, следует известить об этом субъектов ПД заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения ПД.
5.10. Запрещается получать, обрабатывать и приобщать к личному делу Персонала гостиницы «Спутник» ПД, не предусмотренные пунктом 5.2 настоящего Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
5.11. При сборе ПД сотрудник отдела кадров, осуществляющий сбор (получение) персональных данных непосредственно от Персонала гостиницы «Спутник», обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
5.12. Передача (распространение, предоставление) и использование персональных данных Персонала гостиницы «Спутник» осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
5.13. При изменении ПД Персонал гостиницы «Спутник» письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 10 рабочих дней.
5.14. По мере необходимости работодатель истребует у Персонала гостиницы «Спутник» дополнительные сведения. Персонал гостиницы «Спутник» представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.
5.15. Персональные данные Персонала гостиницы «Спутник» хранятся в личных делах в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела находятся в отделе кадров в специально оборудованным шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и документы, содержащие ПД работников гостиницы «Спутник», сдаются в отдел кадров.
6. Особенности обработки персональных данных без использования средств автоматизации
6.1. Порядок обработки персональных данных, осуществляемой без использования средств автоматизации, строится на принципах, изложенных в Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденном Постановлением Правительства РФ от 15.09.2008 № 687.
6.2. В части совместимости целей обработки персональных данных в гостинице «Спутник» устанавливается следующее:
а) цели обработки персональных данных, указанные в подпунктах «а», «б», «в» пункта 2.1. Положения, являются совместимыми;
б) каждая из целей обработки персональных данных, указанная соответственно в подпунктах г, д, е. пункта 2.1. настоящего Положения, не совместима ни с одной другой целью обработки персональных данных.
6.3. При разработке типовых форм, содержащих ПД, ответственные работники за разработку этих форм должны учитывать следующие положения:
а) фиксация на одном материальном носителе ПД субъекта, цели обработки которых несовместимы, не допускается (типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых несовместимы);
б) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать следующие сведения — цель обработки персональных данных, имя (наименование) и адрес гостиницы «Спутник», Ф.И.О. и адрес субъекта персональных данных, источник получения ПД, сроки обработки ПД, перечень действий с ПД, которые будут совершаться в процессе их обработки и общее описание используемых гостиницей «Спутник» способов обработки ПД;
в) в случаях необходимости получения письменного согласия субъекта на обработку его ПД типовая форма должна предусматривать поле, в котором субъект персональных данных может собственноручно поставить отметку о своем согласии на обработку персональных данных;
г) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими ПД, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.
6.4. В случае принятия гостиницей «Спутник» решения о необходимости ведения журналов (реестров, книг), содержащих ПД, используемые для однократного пропуска субъекта персональных данных на территорию (в здания и помещения), на которой размещаются подразделения гостиницы «Спутник», или в иных аналогичных целях, должны соблюдаться следующие условия:
а) необходимость ведения такого журнала (реестра, книги) должна определяться соответствующим внутренним нормативным документом гостиницы «Спутник», в котором должны содержаться сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень должностей, имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию (в здания и помещения), на которой находится подразделение гостиницы «Спутник», без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
в) ПД каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию (в здания и помещения), на которой находится подразделение гостиницы «Спутник».
6.5. Для решения задачи обеспечения безопасности гостиницы «Спутник», связанной с физическим доступом субъектов персональных данных на территорию гостиницы «Спутник», в здание гостиницы «Спутник» и помещения гостиницы «Спутник», в которых осуществляется обработка ПД, возможно применение системы видеонаблюдения. При этом материалы видеозаписи системы видеонаблюдения не являются биометрическими персональными данными, поскольку технические характеристики применяемого оборудования не позволяют получать видеозаписи с привязкой к конкретному физическому лицу и использоваться в гостинице «Спутник» для установления личности субъекта персональных данных.
6.6. Внутренними нормативными документами гостиницы «Спутник» определяется порядок хранения документов (материальных носителей), содержащих ПД, который предусматривает раздельное, по возможности, хранение документов по соответствующим категориям ПД и по целям их обработки, с назначением мест хранения и ответственных за хранение с соблюдением конфиденциальности ПД и исключением несанкционированного доступа к ним, а также определением мер контроля обеспечения безопасности ПД при хранении их материальных носителей.
6.7. При несовместимости целей обработки ПД, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПД отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
6.8. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
6.9. Правила, предусмотренные пунктами 6.7 и 6.8 Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
6.10. При необходимости уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
6.11. Работники Гостиницы «Спутник», осуществляющие обработку персональных данных без использования средств автоматизации, отдельно информируются о факте обработки ими ПД без использования средств автоматизации, категориях обрабатываемых ПД, а также об особенностях и правилах осуществления такой обработки, установленных локальными правовыми актами.
7. Особенности обработки персональных данных, осуществляемой с использованием средств автоматизации
7.1. Обеспечение безопасности персональных данных при их обработке с использованием средств автоматизации должно производиться в соответствии с ФЗ
«О персональных данных» и другим действующим законодательством в сфере персональных данных.
7.2. Для каждой ИСПДн должны быть определены и зафиксированы:
а) цели обработки персональных данных;
б) сроки хранения персональных данных и условий прекращения их обработки;
в) категории обрабатываемых персональных данных;
г) процедура учета количества субъектов персональных данных, в том числе субъектов персональных данных, не являющихся работниками гостиницы «Спутник»;
д) ограничения обработки персональных данных достижением цели обработки персональных данных;
е) соответствие содержания и объема обрабатываемых персональных данных установленным целям обработки;
ж) процедуры получения согласия субъектов персональных данных (их законных представителей) на обработку их персональных данных, в случае если получение такого согласия необходимо в соответствии с требованиями ФЗ «О персональных данных”;
з) процедур получения согласия субъектов персональных данных н на передачу обработки их персональных данных третьим лицам, в случае если получение такого согласия необходимо в соответствии с требованиями ФЗ «О персональных данных”;
и) условия прекращения обработки персональных данных и уничтожение либо обезличивание ПД по достижении целей обработки, по требованию субъекта персональных данных н в случаях, предусмотренных ФЗ «О персональных данных”, в том числе при отзыве субъектом персональных данных согласия на обработку персональных данных .
7.3. На основе перечисленных в п 2.2. настоящего Положения категорий персональных данных, и в соответствии с требованиями постановления Правительства №1119 от 01.11.2012 года определяются тип ИСПДн и уровни защищенности ПД при их обработке в ИСПДн.
7.4. Перечень ИСПДн утверждается приказом директора гостиницы «Спутник». Классификация информационных систем персональных данных, осуществляется в порядке, установленном законодательством Российской Федерации.
7.5. Требования к обеспечению безопасности персональных данных для ИСПДн определяются в соответствии с требованиями постановления Правительства № 1119 от 01.11.2012 года.
7.6. Необходимость использования средств криптографической защиты информации или шифровальных (криптографических) средств (далее — СКЗИ), предназначенных для защиты персональных данных при их обработке, хранении и передаче по каналам связи определяется гостиницей «Спутник» самостоятельно, если иное не предусмотрено законодательством РФ.
7.7. При обработке персональных данных в ИСПДн с целью обеспечения безопасности персональных данных при наличии технической возможности рекомендуется:
а) исключать фиксацию на одном материальном носителе и персональных данных, и иных видов информационных активов, а также персональных данных, цели обработки которых заведомо несовместимы;
б) для каждой категории персональных данных использовать отдельный материальный носитель.
7.8. Работникам гостиницы «Спутник», имеющим право осуществлять обработку персональных данных в ИСПДн, предоставляется уникальный логин и пароль для доступа к соответствующей ИСПДн. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами работников гостиницы «Спутник».
7.9. Обеспечение безопасности персональных данных, обрабатываемых в ИСПДн, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
7.9.1. Определение угроз безопасности персональных данных при их обработке в ИСПДн;
7.9.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
7.9.3. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
7.9.4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
7.9.5. Учет машинных носителей персональных данных;
7.9.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер реагирования;
7.9.7. Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
7.9.8. Установление правил доступа к персональным данным, обрабатываемым ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;
7.9.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
7.10. Работник гостиницы «Спутник», ответственный за обеспечение информационной безопасности в гостинице «Спутник», организует и контролирует ведение учета материальных носителей персональных данных.
7.11. Работник гостиницы «Спутник», ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн, должен обеспечить:
7.11.1. Своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководителя гостиницы «Спутник».
7.11.2. Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.
7.11.3. Возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
7.11.4. Постоянный контроль за обеспечением уровня защищенности персональных данных.
7.11.5. Соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.
7.11.6. Учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
7.11.7. При обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям ИСПДн до выявления причин нарушений и устранения этих причин;
7.11.8. Проведение разбирательства и составление заключения по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые привели (могут привести) к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработать и принять меры по предотвращению возможных опасных последствий подобных нарушений.
7.12. Работник гостиницы «Спутник», ответственный за обеспечение функционирования ИСПДн в гостинице «Спутник», принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
7.13. Обмен персональными данными при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
7.14. Доступ работников гостиницы «Спутник» к персональным данным, находящимся в ИСПДн, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
7.15. В случае выявления нарушений порядка обработки персональных данных в ИСПДн гостиницы «Спутник» уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
8. Ответственность за нарушения норм, регулирующих обработку и защиту персональных данных.
8.1. Работники гостиницы «Спутник», уполномоченные обрабатывать персональные данные, виновные в нарушении требований ФЗ «О персональных данных», несут предусмотренную законодательством РФ ответственность.
8.2. Если субъект персональных данных считает, что гостиница «Спутник» как оператор осуществляет обработку его персональных данных с нарушением требований ФЗ «О персональных данных» или иным образом нарушает его права и свободы, то он вправе обжаловать действия или бездействие гостиницы «Спутник» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8.3. Гостиница «Спутник» не несет гражданско-правовую ответственность за распространение информации ограниченной или запрещенной к распространению федеральными законами, если он действует как лицо, оказывающее услуги: либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений; либо по хранению информации и обеспечению доступа к ней при условии, что гостиница «Спутник» не мог знать о незаконности распространения информации.
8.4. Гостиница «Спутник», как лицо, права и законные интересы которого были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, защите деловой репутации.
8.5. Лица, виновные в нарушении требований ФЗ «О персональных данных», несут ответственность, предусмотренную действующим законодательством (гражданско-правовую, административную, уголовную).