• Главная
• Контакты
• Политика конфиденциальности

Положение об обработке и защите персональных данных в гостинице/санатории ООО «Руссолькурорт»

Наименование Оператора: Общество с ограниченной ответственностью «Руссоль-курорт».
Сокращённое наименование Оператора: ООО «Руссоль-курорт».
Юридический адрес Оператора: 416532, Астраханская обл., Ахтубинский р-н, рп Нижний Баскунчак, ул. Максима Горького, 29 «Б».
Фактический адрес Оператора: 416532, Астраханская обл., Ахтубинский р-н, рп Нижний Баскунчак, ул. Максима Горького, 29 «Б».
ИНН: 3001042513.
Регистрационный номер записи в реестре операторов, осуществляющих обработку персональных данных: 30-15-001307.

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с:

● Конституцией Российской Федерации;

-Федеральным законом от 27.07.2006 № 152ФЗ «О персональных данных»;

●Федеральным законом от 27.07.2006 № 149ФЗ «Об информации, информационных технологиях и о защите информации»;

●Федеральным законом от 21.11.2011 № 323ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

● иными нормативными правовыми актами РФ.

1.2. Цель Положения — обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Положение регулирует порядок обработки и защиты персональных данных клиентов, получающих услуги гостиничного размещения и санаторнокурортного лечения.

1.4. Основные понятия, используемые в Положении:

● Организация (Оператор) — ООО «Руссоль-курорт», осуществляющее обработку персональных данных;

● Гостиница/санаторий — структурное подразделение или единый объект, предоставляющий клиентам услуги временного проживания и оздоровительного характера, включая медицинские и реабилитационные процедуры;

● Клиент (гость) — физическое лицо, получающее услуги по проживанию и/или оздоровлению, субъект персональных данных;

● Гостиничные услуги — предоставление жилых помещений для временного проживания, включая сопутствующие услуги (питание, уборка и др.);

● Санаторнокурортные услуги — медицинские, профилактические, оздоровительные и реабилитационные процедуры, оказываемые в соответствии с лицензией на медицинскую деятельность;

● Персональные данные — любая информация, относящаяся к определённому или определяемому на её основе физическому лицу, позволяющая идентифицировать его личность;

● Биометрические персональные данные — сведения о физиологических и биологических характеристиках человека, на основании которых можно установить его личность (в т. ч. данные о состоянии здоровья);

● Обработка персональных данных — любые действия с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу, обезличивание, блокирование, уничтожение;

● Распространение персональных данных — действия, направленные на передачу персональных данных определённому кругу лиц или на ознакомление с персональными данными неограниченного круга лиц;

● Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц;

● Конфиденциальность персональных данных — обязательное требование не допускать их распространение без согласия субъекта или иного законного основания.

2. Состав и получение персональных данных клиентов

2.1. К персональным данным, обрабатываемым Организацией, относятся:

● анкетные данные (ФИО, дата рождения);

● паспортные данные;

● СНИЛС;

● адрес регистрации и фактического проживания;

● контактная информация (телефон, email);

● данные о месте работы (при необходимости);

●данные о состоянии здоровья (диагнозы, медицинские заключения, результаты обследований — только с письменного согласия);

● данные о сопровождающих лицах;

● даты заезда и выезда;

● данные банковских карт (при оплате).

2.2. Все персональные данные, за исключением медицинских, получаются непосредственно от клиента при заселении или бронировании. Медицинские данные предоставляются только при наличии письменного согласия на их обработку, оформленного по установленной форме.

2.3. Если персональные данные клиента возможно получить только у третьей стороны, клиент должен быть уведомлён об этом заранее, и от него должно быть получено письменное согласие. Сотрудники Организации должны сообщить клиенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

3. Обработка и хранение персональных данных

3.1. Обработка персональных данных включает сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу, обезличивание, блокирование, уничтожение и защиту от несанкционированного доступа.

3.2. Согласие Клиентов на обработку персональных данных не требуется, поскольку обработка осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных — Клиент (согласно п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152ФЗ «О персональных данных»).

Обработка персональных данных осуществляется:

● в целях исполнения договора на оказание услуг;

●на основании письменного согласия (для данных о здоровье);

●в соответствии с требованиями законодательства (миграционный учёт, медицинская документация, бухгалтерия).

3.3. Обработка проводится смешанным способом — на бумажных и электронных носителях.

3.4. Доступ к персональным данным имеют только сотрудники, прошедшие инструктаж и подписавшие Обязательство о неразглашении персональных данных.

3.5. Перечень сотрудников, имеющих доступ, утверждается приказом директора.

3.6. Бумажные носители хранятся в службе размещения и медицинском архиве в запираемых шкафах, обеспечивающих защиту от несанкционированного доступа.

3.7. Электронные данные хранятся в локальной сети средства размещения в программе «Контур» для передачи данных в УФМС по Астраханской области и в других защищённых системах (медицинская информационная система «МедЛок», интегрируемая с ЕГИСЗ). Доступ ограничен паролями и правами доступа.

4. Использование и передача персональных данных

4.1. Использование данных допускается исключительно в целях:

● исполнения договора;

● оказания медицинских и оздоровительных услуг;

● миграционного учёта;

● бухгалтерского и налогового учёта;

● обеспечения безопасности.

4.2. Передача третьим лицам возможна в следующих случаях:

● с письменного согласия клиента;

●по требованию суда, прокуратуры, МВД, Роспотребнадзора;

● при трансграничной передаче — при наличии адекватной защиты или одного из оснований, предусмотренных ст. 12 Закона № 152ФЗ;

● в рамках исполнения договора (например, передача данных в банк для оплаты, в транспортную компанию для трансфера — только необходимый минимум данных).

4.3. При передаче данных третьим лицам Организация обязана:

●предупредить получателей о том, что данные могут использоваться только в указанных целях;

● требовать подтверждения соблюдения этого правила;

●убедиться, что при трансграничной передаче обеспечивается адекватная защита прав субъектов персональных данных.

4.4. Запрещено сообщать персональные данные по телефону, факсу или в открытом виде.

5. Защита персональных данных от несанкционированного доступа

5.1. Организация принимает организационные и технические меры для защиты данных:

● разграничение доступа;

● использование лицензионного ПО и антивирусов;

● система паролей и учётных записей;

● охрана помещений (дежурство);

● регулярное обучение сотрудников;

● применение технических средств охраны и сигнализации.

5.2. Копирование и выписки из персональных данных разрешаются только по письменному разрешению руководителя и в служебных целях.

5.3. Все сотрудники, имеющие доступ к данным, проходят инструктаж и несут ответственность за их сохранность.

5.4. Документы, содержащие персональные данные, хранятся в помещениях, обеспечивающих защиту от несанкционированного доступа.

6. Обязанности Организации

6.1. Организация обязана:

● обрабатывать данные только в заявленных целях;

●не собирать данные о расовой, национальной принадлежности, политических и религиозных убеждениях, интимной жизни (кроме случаев, предусмотренных законом);

●не обрабатывать данные о здоровье без письменного согласия;

● предоставлять клиенту доступ к его данным по запросу;

● обеспечивать хранение и защиту данных;

●блокировать или уничтожать данные при выявлении нарушений;

●уведомлять клиента или уполномоченный орган о выявленных нарушениях в течение 3 рабочих дней;

●уточнять персональные данные и снимать их блокирование на основании документов, представленных субъектом персональных данных или его законным представителем;

●уничтожать персональные данные в случае невозможности устранения нарушений и уведомлять об этом субъекта персональных данных.

7. Права клиента

Клиент вправе:

●получать информацию о наличии и обработке своих данных;

●требовать уточнения, блокирования или уничтожения данных;

● отзывать согласие на обработку;

●обжаловать действия Организации в Роскомнадзоре или суде;

●получать разъяснения о целях, сроках и способах обработки данных;

●определять формы и способы обработки своих персональных данных;

●ограничивать способы и формы обработки персональных данных;

●запрещать распространение персональных данных без своего согласия.

8. Конфиденциальность персональных данных

8.1. Все персональные данные являются конфиденциальными.

8.2. Режим конфиденциальности снимается только при обезличивании или включении в общедоступные источники (если иное не запрещено законом).

8.3. Сотрудники обязаны соблюдать конфиденциальность даже после увольнения

9. Ответственность за нарушение норм, регулирующих обработку персональных данных Клиентов

9.1. ООО «Руссоль-курорт» несёт ответственность за персональную информацию, которая находится в его распоряжении, и закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.

9.2. Каждый сотрудник, получающий для работы документ, содержащий персональные данные Клиента, несёт единоличную ответственность за сохранность носителя и конфиденциальность информации.

9.3. Любое лицо может обратиться к сотруднику ООО «Руссоль-курорт» с жалобой на нарушение настоящего Положения. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в трёхдневный срок со дня поступления.

9.4. Сотрудники ООО «Руссоль-курорт» обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Клиентов, а также содействовать исполнению требований компетентных органов (Роскомнадзора, прокуратуры, МВД и иных уполномоченных органов).

9.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиентов, несут ответственность в соответствии с законодательством Российской Федерации, а именно:

● дисциплинарную — в порядке, установленном трудовым законодательством (замечание, выговор, увольнение по соответствующим основаниям — ст. 81 ТК РФ);

● административную — в виде штрафов согласно КоАП РФ (в т. ч. ст. 13.11, 13.14 и др.);

● гражданскоправовую — обязанность возместить убытки и компенсировать моральный вред (ст. 15, 151 ГК РФ, ст. 17 ФЗ №152ФЗ);

● уголовную — при наличии состава преступления (в т. ч. по ст. 137 УК РФ за нарушение неприкосновенности частной жизни).

9.6. В случае выявления нарушений в обработке персональных данных Организация обязана:

●незамедлительно принять меры по устранению нарушений;

●уведомить Роскомнадзор (при необходимости) и субъекта персональных данных о выявленных нарушениях и принятых мерах в течение 72 часов с момента выявления;

●провести внутреннее расследование причин нарушения и принять меры по недопущению подобных ситуаций в будущем.