Ru En 中國人

УТВЕРЖДЕНО

Генеральным директором

ООО «ПОИНТ»

М. В. Россошанской

24.03.2026 г.

 

  

ПОЛИТИКА

в отношении обработки персональных данных ООО «ПОИНТ»

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) общества с ограниченной ответственностью «ПОИНТ» (далее – Оператор, Организация) разработана в соответствии с законодательством Российской Федерации о персональных данных и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности персональных данных при их обработке в информационных системах.

1.2. Основными нормативными и методическими документами, которые использованы в настоящей Политике, являются:

- Конституция Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ;

- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»;

- Нормативно-методические документы Федеральной службы по техническому и экспертному контролю Российской Федерации (далее - ФСТЭК России) по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

1.3. Цель разработки настоящей Политики - определение порядка и условий обработки персональных данных субъектов персональных данных в Организации, включая порядок передачи персональных данных третьим лицам, особенности автоматизированной и неавтоматизированной обработки персональных данных, порядок доступа к персональным данным, систему защиты персональных данных, порядок организации внутреннего контроля, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.4. Действие настоящей Политики распространяется на любые действия (операции) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 

2. Термины и определения, используемые в настоящей Политике.

В настоящем документе используются следующие термины и их определения:

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.2. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;

2.3. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В настоящем Положении под Оператором понимается общество с ограниченной ответственностью «ПОИНТ», ОГРН 1177847301422, ИНН 7840069949, КПП 784001001, адрес местонахождения: 199004, г. Санкт-Петербург, вн. тер. г. муниципальный округ № 7, пр-кт Большой В. о., д. 9/6, литера А, помещ. 18Н.

Организацией направлено уведомление в Управление Роскомнадзора в соответствии со ст. 22 Федерального закона «О персональных данных», основание включения в реестр - приказ № 30 от 04.02.2026 г., регистрационный номер 78-26-207108.

2.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.5. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.9. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.10. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.11. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

 

3. Правовые основания и цели обработки персональных данных

3.1. Правовыми основаниями обработки персональных данных являются:

- совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных: Конституция Российской Федерации, Трудовой кодекс Российской Федерации, федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с осуществлением Оператором гостиничной и иной коммерческой деятельности;

- уставные документы Оператора;

- договоры, заключаемые между Оператором и субъектом персональных данных;

- согласия на обработку персональных данных.

3.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.6. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности, а также деятельности, которая предусмотрена учредительными документами Оператора, и конкретных бизнес-процессов Оператора в конкретных информационных системах персональных данных (по структурным подразделениям Оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3.7. К целям обработки персональных данных Оператором относятся:

- осуществление деятельности организации в соответствии с ее уставом;

- заключение, исполнение и прекращение гражданско-правовых договоров с контрагентами Оператора;

- предоставление Оператором заказчикам и потребителям гостиничных услуг, услуг питания и иных сопутствующих услуг, заказываемых субъектом обработки персональных данных, бронирование номеров в отеле, оформление необходимых для проживания в отеле документов, постановка на миграционный учет, регистрация по месту пребывания, выполнение необходимых действий по бронированию услуг у третьих лиц, иные цели, связанные с бронированием услуг, заключением, исполнением, изменением договора на оказание гостиничных услуг, заключенного с субъектом обработки персональных данных;

- предоставление доступа к функционалу сайта Оператора, отправка субъектам персональных данных уведомлений, обработка их запросов и заявок, направление информации о продуктах и услугах Оператора, улучшение работы сайта Оператора, анализ трафика и пользовательского опыта, получение от субъектов персональных данных обратной связи;

- поиск и подбор соискателей на размещенные Оператором вакантные должности, содействие кандидатам в трудоустройстве;

- организация кадрового учета организации и ведение кадрового делопроизводства, обеспечение соблюдения трудового законодательства, заключение и исполнение обязательств по трудовым договорам;

- организация архива документов, связанных с трудовой деятельностью работников, трудовые договоры с которыми расторгнуты;

- ведение бухгалтерского учета в Организации;

- исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;

- заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами.

3.8. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.

 

4. Категории субъектов, персональные данные которых подлежат обработке Оператором

4.1. В Организации подлежат обработке персональные данные следующих категорий субъектов:

- кандидаты на замещение вакантных должностей, работники Оператора, бывшие работники Оператора, лица, связанные с работниками (дети и нетрудоспособные члены семьи, в отношении которых выплачиваются алименты, а также дети, при предоставлении персональных данных которых работникам устанавливаются налоговые льготы);

- учредители Организации;

- клиенты Оператора (физические лица) – потребители услуг, предоставляемых Оператором, или намеревающиеся стать потребителями услуг, предоставляемых Оператором;

- представители / работники клиентов Оператора (юридических лиц) – заказчики услуг, предоставляемых Оператором, или намеревающиеся стать заказчиками услуг, предоставляемых Оператором;

- контрагенты оператора (физические лица, включая индивидуальных предпринимателей и лиц, применяющих специальный налог на профессиональный доход) – исполнители по гражданско-правовым договорам, заключенным с Оператором, или намеревающиеся заключить гражданско-правовые договоры с Оператором;

- представители / работники контрагентов Оператора (юридических лиц, включая индивидуальных предпринимателей) - исполнители по гражданско-правовым договорам, заключенным с Оператором, или намеревающиеся заключить гражданско-правовые договоры с Оператором;

- пользователи официального сайта Оператора.

4.2. Перечень категорий субъектов, персональные данные которых подлежат обработке Оператором, может пересматриваться и уточняться Оператором по мере необходимости.

 

5. Категории персональных данных, подлежащих обработке Оператором

5.1. В Организации обрабатываются следующие категории персональных данных субъектов:

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата и место рождения;

- регистрация по месту жительства и фактический адрес проживания;

- сведения об опыте работы и организациях и образовании,

- замещаемая должность;

- сведения о трудовой деятельности;

- ИНН;

- СНИЛС;

- данные полиса обязательного медицинского страхования;

- данные паспорта или иного удостоверяющего личность документа;

- данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;

- данные трудовой книжки, вкладыша в трудовую книжку;

- сведения о воинском учете;

- сведения об образовании;

- сведения о получении дополнительного профессионального образования;

- сведения о семейном положении;

- сведения о близких родственниках, свойственниках (степень родства, фамилия, имя, отчество, дата (число, месяц, год) и место рождения, место и адрес работы (службы), адрес места жительства, сведения о регистрации по месту жительства или пребывания);

- сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера;

- номер и иные реквизиты расчетного счета;

- фотографии, видеозаписи субъекта персональных данных, позволяющие идентифицировать его;

- сведения о льготной категории, которая освобождает от уплаты туристического налога, и документы, подтверждающие эту льготу;

- телефон;

- электронная почта.

5.2. Цели обработки персональных данных, перечень обрабатываемых персональных данных в отношении каждой категории субъектов персональных данных установлены в приложении № 1 к настоящей Политике.

5.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Оператором не производится.

5.4. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных, могут обрабатываться Оператором только при наличии согласия в письменной форме субъекта персональных данных.

 

6. Права субъекта персональных данных

6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

6.1.1. подтверждение факта обработки персональных данных Оператором;

6.1.2. правовые основания и цели обработки персональных данных;

6.1.3. цели и применяемые Оператором способы обработки персональных данных;

6.1.4. наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

6.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6.1.6. сроки обработки персональных данных, в том числе сроки их хранения;

6.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

6.1.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;

6.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

6.1.10. информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 настоящего Федерального закона (о принимаемых мерах);

6.1.11. иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

6.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

6.3. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

6.4. Субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы.

6.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.6. Для реализации своих прав субъект персональных данных направляет Оператору запрос в письменной форме по адресу: 191025, Город Санкт-Петербург, пр-кт Невский, д. 61, литера А, помещ. 16Н, либо в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.

 

7. Обязанности Оператора

7.1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

7.2. При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, указанную в п. 6.1 настоящей Политики, а также предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.

7.3. Если в соответствии с законодательством Российской Федерации, в т.ч. на основании Постановления Правительства Российской Федерации от 17 июля 1995 г. № 713 «Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания и по месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации», Постановления Правительства Российской Федерации от 15 января 2007 г. № 9 «О порядке осуществления миграционного учета иностранных граждан и лиц без гражданства в Российской Федерации», предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

7.4. Оператор обязан при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», осуществлять запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием базы данных, находящиеся на территории Российской Федерации.

7.5. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

7.6. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Политика в отношении обработки персональных данных Оператора размещена на странице принадлежащего Оператору сайта в информационно-телекоммуникационной сети «Интернет» https://kaleidoscophotel.com/point.

7.7. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.8. Оператор выполняет иные обязанности, предусмотренные Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

8. Порядок получения согласия субъекта на обработку персональных данных

8.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.

8.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

8.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, для обработки персональных данных без согласия субъекта обработки персональных данных, возлагается на Оператора.

8.4. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

8.4.1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

8.4.2. фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

8.4.3. наименование или фамилию, имя, отчество и адрес Оператора, получающего согласие субъекта персональных данных;

8.4.4. цель обработки персональных данных;

8.4.5. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

8.4.6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;

8.4.7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

8.4.8. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

8.4.9. подпись субъекта персональных данных.

8.5. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

8.6. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения:

8.6.1. фамилия, имя, отчество (при наличии) субъекта персональных данных;

8.6.2. контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);

8.6.3. сведения об Операторе-организации - наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);

8.6.4. сведения об информационных ресурсах Оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;

8.6.5. цель (цели) обработки персональных данных;

8.6.6. категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

8.6.7. категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных);

8.6.8. условия, при которых полученные персональные данные могут передаваться Оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);

8.6.9. срок действия согласия.

8.7. Форма согласия на обработку персональных данных, форма согласия на обработку персональных данных разрешенных субъектом персональных данных для распространения установлены в Приложениях к настоящей Политике.

8.8. Особенности получения согласия на обработку персональных данных при использовании официального сайта Оператора:

8.8.1. Оператор обязан получить согласие пользователям официального сайта Оператора на обработку его персональных данных в случае предоставления им доступа к функционалу сайта Оператора, отправки уведомлений, обработки их запросов и заявок на бронирование, направления информации о продуктах и услугах Оператора, получения от субъектов персональных данных обратной связи.

8.8.2. Согласие пользователя сайта может быть получено путем проставления знака «V», подтверждающего согласие, во всплывающем пустом окне (чек-боксе), содержащем текст согласия на обработку персональных данных, непосредственно перед оформлением заявки на бронирование, подписки или заполнения формы обратной связи.

 

9. Порядок и условия обработки персональных данных

9.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

9.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм.

9.3. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы об этом факте и об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами.

9.4. При неавтоматизированной обработке персональных данных должны соблюдаться п. 7, 8, 9 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденные постановлением Правительства РФ от 15 сентября 2008 г. № 687.

9.5. Порядок и условия автоматизированной обработки персональных данных осуществляется Оператором с соблюдением требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119.

9.6. Срок обработки персональных данных определяется исходя из целей обработки персональных данных, а также требований законодательства Российской Федерации, и устанавливаются в Приложении № 1 к настоящей Политики. После истечения установленных сроков хранения персональные данные подлежат уничтожению или обезличиванию.

 

10. Порядок уточнения, блокирования и уничтожения персональных данных

10.1. В случае выявления неправомерной обработки персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование с момента такого обращения или получения указанного запроса на период проверки.

Оператор в срок, не превышающий 3 (трех) рабочих дней с даты такого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора.

В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты такого выявления, обязан уничтожить такие персональные данные или обеспечить их уничтожение.

Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

10.2. В случае выявления неточных персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

10.3. В случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных:

- в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

- в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

10.4. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

10.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

10.6. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий 10 (десяти) рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

10.7. В случае отсутствия возможности уничтожения персональных данных в течение определенного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

 

11. Меры по обеспечению безопасности персональных данных

11.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

11.2. К правовым мерам по обеспечению безопасности персональных данных, принимаемым Оператором, относятся:

- издание приказа о назначении лица, ответственного за организацию обработки персональных данных;

- утверждение документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

11.3. К организационным мерам по обеспечению безопасности персональных данных, принимаемым Оператором, относятся:

- ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

- оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

11.4. К техническим мерам по обеспечению безопасности персональных данных, принимаемым Оператором, относятся:

- применение средств защиты информации, в том числе парольной политики в информационных системах персональных данных;

- обеспечение резервного копирования и восстановления персональных данных;

- использование антивирусной защиты;

- организация системы контроля и управления доступом к информационным системам персональных данных;

11.5. Оператор ведет журнал учета и хранения съемных носителей информации. Технические средства информационных систем персональных данных размешаются в офисе и помещениях Оператора. Монтаж средств защиты информации и оборудования для обработки персональных данных выполнен в соответствии с требованиями технической документации. Средства защиты информации работоспособны и обеспечивают защищенность информации.

11.6. Все лица, допущенные к работе с персональными данными, а также связанные с эксплуатацией и техническим сопровождением информационных систем персональных данных, должны быть под роспись ознакомлены с требованиями Положения об обработке и защите персональных данных ООО «БМ Отель», а также должны подписать «Соглашение о неразглашении информации, содержащей персональные данные».

11.7. Предоставление доступа к персональным данным.

11.7.1. Оператором установлен разрешительный порядок доступа к персональным данным. Сотрудникам Организации предоставляется доступ к работе с персональными данными исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей.

11.7.2. Сотрудники Организации, которые в силу выполняемых ими служебных обязанностей работают с персональными данными, получают допуск к необходимым персональным данным на срок выполнения ими соответствующих должностных обязанностей на основании перечня лиц, допущенных к работе с персональными данными, который утверждается генеральным директором Организации.

11.7.3. Временный или разовый допуск к работе с персональными данными в связи со служебной необходимостью может быть получен сотрудником Организации по согласованию с лицом, ответственным за организацию обработки персональных данных.

11.7.4. Доступ сотрудника Организации к персональным данным прекращается с даты прекращения трудовых отношений либо даты изменения должностных обязанностей сотрудника и/или исключения сотрудника из списка лиц, имеющих право доступа к персональным данным. В случае увольнения все носители, содержащие персональные данные, которые в соответствии с должностными обязанностями находились в распоряжении сотрудника Организации во время работы, должны быть переданы лицу, ответственным за организацию обработки персональных данных.

11.7.5. Сотрудники обязаны незамедлительно сообщать лицу, ответственному за организацию обработки персональных данных, об утрате или недостаче носителей персональных данных, а также о причинах и условиях возможной утечки персональных данных.

11.7.6. Персональные данные на бумажных носителях, обрабатываемые Оператором, хранятся в отделах (у сотрудников), имеющих допуск к обработке соответствующих персональных данных. При покидании рабочего места, сотрудники, осуществляющие обработку персональных данных, должны ограничивать несанкционированный доступ к носителям и к документам.

11.8. В обязанности администраторов информационных систем персональных данных входит управление учетными записями пользователей ИСПД таких систем, поддержание штатной работы информационных систем персональных данных, обеспечение резервного копирования данных, а также установка и конфигурирование аппаратного и программного обеспечения информационных систем персональных данных,

под роспись.

11.9. Оператор осуществляет организацию внутреннего контроля процесса обработки персональных данных в целях изучения и оценки фактического состояния защищенности персональных данных, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения.

11.10. Мероприятия по осуществлению внутреннего контроля обработки и обеспечения безопасности персональных данных направлены на решение следующих задач:

- обеспечение соблюдения сотрудниками Оператора требований настоящего Положения и нормативно-правовых актов в сфере защиты персональных данных;

- оценка компетентности персонала, задействованного в обработке персональных данных;

- обеспечение работоспособности и эффективности технических средств информационных систем персональных данных и средств их защиты;

- выявление нарушений установленного порядка обработки персональных данных и своевременное предотвращение негативных последствий таких нарушений;

- принятие корректирующих мер, направленных на устранение выявленных нарушений, как в порядке обработки персональных данных, так и в работе технических средств информационных систем персональных данных.

11.11. Результаты контрольных мероприятий оформляются актами и являются основанием для разработки рекомендаций по совершенствованию порядка обработки и обеспечения безопасности персональных данных, по модернизации технических средств информационных систем персональных данных и средств защиты персональных данных.

 

12. Ответственность Оператора

12.1. Оператор несет ответственность за необеспечение конфиденциальности персональных данных и несоблюдение прав и свобод субъектов персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.

12.2.    Лицо, ответственное за организацию обработки персональных данных, а также сотрудники Оператора, допущенные к персональным данным, несут персональную ответственность в соответствии с законодательством Российской Федерации за несоблюдение требований по обработке и обеспечению безопасности персональных данных, установленных настоящей Политикой.

12.3.    Лицо, ответственное за организацию обработки персональных данных, а также сотрудники Оператора, допущенные к персональным данным, может быть привлечен к ответственности в случаях:

- умышленного или неосторожного раскрытия персональных данных;

- утраты материальных носителей персональных данных;

- нарушения требований настоящего Положения и других локальных нормативных актов Оператора.

12.4.    В случаях нарушения установленного порядка обработки и обеспечения безопасности персональных данных, несанкционированного доступа к персональным данным, раскрытия персональных данных и нанесения субъектам персональных данных материального или иного ущерба, виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

 

13. Заключительные положения

13.1. Настоящая Политика утверждается генеральным директором ООО «БМ Отель» и подлежит обязательному доведению до сведения всех категорий субъектов персональных данных в соответствии с применимым законодательством.

13.2. Изменения и дополнения в настоящую Политику вносятся по решению генерального директора ООО «БМ Отель» с учетом изменений в законодательстве Российской Федерации, а также по результатам анализа практики применения настоящей Политики.

13.3. Настоящая Политика вступает в силу с момента ее утверждения.

 

Приложение № 1

к Политике в отношении обработки персональных данных

ООО «ПОИНТ»,

утвержденной 24.03.2026 г.

 

 

Категории субъектов персональных данных, перечень, цели, способ и срок обработки персональных данных

 

№ п/п

Субъект персональных данных

Категории (перечень)

персональных

данных

Цели обработки

Способ обработки

Срок обработки и хранения

1

- кандидаты на замещение вакантных должностей,

 

 

- работники Оператора,

 

 

- бывшие работники Оператора,

 

 

 

- лица, связанные с работниками (дети и нетрудоспособные члены семьи, в отношении которых выплачиваются алименты, а также дети, при предоставлении персональных данных которых работникам устанавливаются налоговые льготы)

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата и место рождения;

- регистрация по месту жительства и фактический адрес проживания;

- сведения об опыте работы и организациях и образовании,

- замещаемая должность;

- сведения о трудовой деятельности;

- ИНН;

- СНИЛС;

- данные полиса обязательного медицинского страхования;

- данные паспорта или иного удостоверяющего личность документа;

- данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;

- данные трудовой книжки, вкладыша в трудовую книжку;

- сведения о воинском учете;

- сведения об образовании;

- сведения о получении дополнительного профессионального образования;

- сведения о семейном положении;

- сведения о близких родственниках, свойственниках (степень родства, фамилия, имя, отчество, дата (число, месяц, год) и место рождения, место и адрес работы (службы), адрес места жительства, сведения о регистрации по месту жительства или пребывания);

- сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера;

- номер и иные реквизиты расчетного счета;

- фотографии;

- телефон;

- электронная почта.

- поиск и подбор соискателей на размещенные Оператором вакантные должности, содействие кандидатам в трудоустройстве;

 

- организация кадрового учета организации и ведение кадрового делопроизводства, обеспечение соблюдения трудового законодательства, заключение и исполнение обязательств по трудовым договорам;

 

- организация архива документов, связанных с трудовой деятельностью работников, трудовые договоры с которыми расторгнуты;

 

- ведение бухгалтерского учета в Организации;

 

- исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;

 

- заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами.

Автоматизированная,

неавтоматизированная

- до принятия окончательного решения по кандидату;

 

- в течение действия трудового договора;

 

- 50 лет после завершения действия трудового договора;

 

 

- в течение действия трудового договора Работника.

2

Учредители Организации

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата и место рождения;

- регистрация по месту жительства и фактический адрес проживания;

- ИНН;

- СНИЛС;

- данные паспорта или иного удостоверяющего личность документа;

- сведения о семейном положении;

- сведения о близких родственниках, свойственниках (степень родства, фамилия, имя, отчество, дата (число, месяц, год) и место рождения, место и адрес работы (службы), адрес места жительства, сведения о регистрации по месту жительства или пребывания);

- номер и иные реквизиты расчетного счета;

- телефон;

- электронная почта.

Осуществление деятельности организации в соответствии с ее уставом

Автоматизированная,

неавтоматизированная

До момента прекращения прав участника общества (выход из состава участников, реорганизация, ликвидация, банкротство юридического лица) и в течение 5 лет после

3

- клиенты Оператора (физические лица) – потребители услуг, предоставляемых Оператором, или намеревающиеся стать потребителями услуг, предоставляемых Оператором

 

- представители / работники клиентов Оператора (юридических лиц) – заказчики услуг, предоставляемых Оператором, или намеревающиеся стать заказчиками услуг, предоставляемых Оператором

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата и место рождения;

- регистрация по месту жительства и фактический адрес проживания;

- данные паспорта или иного удостоверяющего личность документа;

- данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;

- сведения о близких родственниках, свойственниках (степень родства, фамилия, имя, отчество, дата (число, месяц, год) и место рождения, место и адрес работы (службы), адрес места жительства, сведения о регистрации по месту жительства или пребывания);

- номер и иные реквизиты расчетного счета;

- сведения о льготной категории, которая освобождает от уплаты туристического налога, и документы, подтверждающие эту льготу;

- телефон;

- электронная почта.

- предоставление Оператором заказчикам и потребителям гостиничных услуг, услуг питания и иных сопутствующих услуг, заказываемых субъектом обработки персональных данных;

 

- бронирование номеров в отеле, оформление необходимых для проживания в отеле документов;

 

- постановка на миграционный учет, регистрация по месту пребывания;

 

- выполнение необходимых действий по бронированию услуг у третьих лиц;

 

- иные цели, связанные с бронированием услуг, заключением, исполнением, изменением договора на оказание гостиничных услуг, заключенного с субъектом обработки персональных данных

Автоматизированная,

неавтоматизированная

С момента оформления заявки на бронирование до исполнения / прекращения договора на оказание гостиничных услуг, а также в течение 3 лет после

4

- контрагенты оператора (физические лица, включая индивидуальных предпринимателей и лиц, применяющих специальный налог на профессиональный доход) – исполнители по гражданско-правовым договорам, заключенным с Оператором, или намеревающиеся заключить гражданско-правовые договоры с Оператором;

 

- представители / работники контрагентов Оператора (юридических лиц, включая индивидуальных предпринимателей) - исполнители по гражданско-правовым договорам, заключенным с Оператором, или намеревающиеся заключить гражданско-правовые договоры с Оператором

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата и место рождения;

- регистрация по месту жительства и фактический адрес проживания;

- замещаемая должность;

- ИНН;

- СНИЛС;

- данные паспорта или иного удостоверяющего личность документа;

- номер и иные реквизиты расчетного счета;

- телефон;

- электронная почта.

- заключение, исполнение и прекращение гражданско-правовых договоров;

 

- ведение бухгалтерского учета в Организации;

 

- исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;

 

- заполнение первичной статистической документации в соответствии с налоговым законодательством и иными федеральными законами.

Автоматизированная,

неавтоматизированная

В период действия гражданско-правового договора и в течение 5 пяти лет после его прекращения

5

Пользователи официального сайта Оператора

- фамилия, имя, отчество;

- телефон;

- электронная почта.

- предоставление доступа к функционалу сайта Оператора;

 

- отправка субъектам персональных данных уведомлений;

 

- обработка их запросов и заявок;

 

- направление информации о продуктах и услугах Оператора;

 

- улучшение работы сайта Оператора, анализ трафика и пользовательского опыта, получение от субъектов персональных данных обратной связи

Автоматизированная

В течение 3 лет с момента предоставления согласия на обработку персональных данных

 

Наш сайт использует cookie.
Продолжая использовать сайт, вы соглашаетесь на обработку персональных данных в соответствии с Политикой конфиденциальности.