ПОЛИТИКА
г. Брест
ООО «Евро Отель» в отношении
обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика ООО «Евро Отель» в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон о защите персональных данных) и иными актами законодательства Республики Беларусь, а также Уставом ООО «Евро Отель» в целях обеспечения защиты прав и свобод человека при обработке его персональных данных. Настоящая Политика:
распространяет свое действие на обработку персональных данных субъектов, перечисленных в пункте 1.6. Политики, за исключением гостей, посетителей, пользователей сайта, в отношении которых издана отдельная Политика ООО «Евро Отель» в отношении обработки персональных данных;
разъясняет субъектам персональных данных, каким образом и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
1.2. Политика является локальным правовым актом ООО «Евро Отель» (далее – Оператор, Отель или Предприятие), регламентирующим отношения, связанные с защитой персональных данных при их обработке, осуществляемой: с использованием средств автоматизации; без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
1.3. Предприятие уделяет особое внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных. Обработка персональных данных Предприятием как Оператором осуществляется в соответствии с Законом о защите персональных данных и настоящей Политикой.
1.4. Действие Политики не распространяется на отношения, касающиеся случаев обработки персональных данных: физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью; отнесенных в установленном порядке к государственным секретам.
1.5. В Политике используются основные термины и их определения в значении, определенном статьей 1 Закона о защите персональных данных.
1.6. В Политике также используются следующие понятия в значении:
сайт Оператора – интернет-сайт ООО «Евро-Отель» – Hampton by Hilton Brest по адресу: https://eurohotel.by/;
аккаунты Оператора в социальных сетях – аккаунты Оператора в социальных сетях: Инстаграм (instagram.com/hamptonbyhiltonbrest/); Фейсбук (facebook.com/hamptonbyhiltonbrestofficial);
контрагент – юридическое или физическое лицо, в том числе индивидуальный предприниматель, имеющее намерение заключить, заключающее или заключившее договор с Предприятием;
представитель контрагента – представитель юридического лица или индивидуального предпринимателя, имеющего намерение заключить, заключающего или заключившего договор с Предприятием;
иной представитель юридического лица – физическое лицо, представляющее интересы юридического лица: учредители, акционеры или участники, лица, входящие в органы управления, лица, действующие от имени или в интересах юридического лица или индивидуального предпринимателя (на основании доверенности или без нее), за исключением контрагентов и их представителей;
подрядчик – физическое лицо, имеющее намерение заключить гражданско-правовой договор с Предприятием как заказчиком на определенную работу, услугу, или заключающее, или заключившее и исполняющее договор выполнения работ, оказания услуг, или ранее исполнившее такой договор с Предприятием как заказчиком;
работник – физическое лицо, состоящее в трудовых отношениях с Предприятием на основании заключенного трудового договора (контракта);
бывший работник – физическое лицо, ранее состоявшее с Предприятием в трудовых отношениях;
соискатель на трудоустройство – физическое лицо, имеющее намерение предоставить, или предоставляющее, или предоставившее свои персональные данные (в виде резюме или иным образом) для целей трудоустройства на Предприятие, а равно персональные данные которого собирает и обрабатывает Предприятие в тех же целях;
обучающийся – физическое лицо, проходящее обучение в учреждении образования и направляемое для прохождения практики на Предприятие, или проходящее практику, или проходившее практику на Предприятии;
иное лицо, обратившееся в Предприятие – физическое лицо, направившее Предприятию обращение (заявление, предложение, жалобу), изложенное в письменной, электронной или устной форме, либо обратившееся на личный прием, либо сделавшее запись в Книгу замечаний и предложений, а также обратившееся за осуществлением административной процедуры;
гость – физическое лицо, имеющее намерение заказать (приобрести) и получить услуги Предприятия по проживанию в Отеле и связанные с проживанием услуги Отеля для себя лично, сопровождающих его лиц, либо заказывающее (приобретающее) такие услуги, либо получающее услуги для себя лично, сопровождающих его лиц, либо получившее их ранее, заключающее (заключившее) договор возмездного оказания услуг с Предприятием; под гостем также понимается иное физическое лицо, проживающее в Отеле и получающее связанные с проживанием услуги Отеля;
посетитель – не являющееся гостем физическое лицо, посещающее гостей Отеля, проводимые в Отеле мероприятия, ресторан, бар, получающее иные услуги Отеля, за исключением проживания в Отеле и связанных с проживанием услуг, иные посетители;
субъекты персональных данных, персональные данные которых обрабатываются в соответствии с настоящей Политикой: контрагенты (физические лица, в том числе индивидуальные предприниматели), представители контрагентов, иные представители юридических лиц, подрядчики, работники, бывшие работники, члены семей и родственники работников, соискатели на трудоустройство, члены семей и родственники соискателей на трудоустройство, обучающиеся, иные лица, обратившиеся на Предприятие.
1.7. Юридическим лицом, которое осуществляет обработку персональных данных, является ООО «Евро Отель» (Отель Hampton by Hilton, Брест), юридический и почтовый адрес, место нахождения: 224003 г. Брест, шоссе Варшавское, 41 (Предприятие / Оператор).
1.8. Политика вступает в силу с момента утверждения и действует в отношении всех персональных данных, которые обрабатывает Предприятие.
1.9. Во исполнение требований пункта 4 статьи 17 Закона о защите персональных данных Политика является общедоступным документом, размещается для свободного доступа на Предприятии, а также в сети Интернет на сайте Предприятия и предусматривает возможность ознакомления с Политикой любых лиц.
1.10. Предприятие как Оператор вправе при необходимости в одностороннем порядке вносить в Политику изменения и дополнения с последующим размещением новой редакции Политики в общедоступном месте на Предприятии и на сайте Предприятия. Субъекты самостоятельно получают на Предприятии и на сайте Предприятия информацию об изменениях Политики.
1.11. Политика распространяет действие на обработку персональных данных субъектов персональных данных, указанных в пункте 1.6. Политики.
1.12. Требования Закона о защите персональных данных и Политики обязательны для исполнения всеми работниками и иными лицами, непосредственно осуществляющими обработку персональных данных.
1.13. Общие требования к обработке персональных данных на Предприятии (принципы обработки):
1.13.1. обработка персональных данных осуществляется в соответствии с Законом о защите персональных данных и иными актами законодательства;
1.13.2. обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
1.13.3. обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами. В случае обработки персональных данных без согласия субъекта персональных данных цели обработки персональных данных устанавливаются Законом о защите персональных данных и иными законодательными актами;
1.13.4. обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
1.13.5. в случае необходимости изменения первоначально заявленных целей обработки персональных данных Оператор обязан получить согласие субъекта персональных данных на обработку его персональных данных (далее – согласие субъекта персональных данных) в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных Законом о защите персональных данных и иными законодательными актами;
1.13.6. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
1.13.7. обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом о защите персональных данных, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
1.13.8. Оператор обязан принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их;
1.13.9. хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
2. ЦЕЛИ, ОБЪЕМ, ПРАВОВЫЕ ОСНОВАНИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Цели обработки персональных данных на Предприятии основываются на требованиях законодательства, осуществляемой Предприятием деятельности, реализуемых процессах, положениях договоров.
2.2. Предприятие осуществляет обработку персональных данных субъектов персональных данных в целях, объеме (перечне), на правовых основаниях и в сроки, определенные в Реестрах обработки персональных данных применительно к каждой категории субъектов персональных данных (приложения 1–5 к настоящей Политике). Названные Реестры являются неотъемлемой частью Политики.
2.3. Обработка персональных данных ограничивается достижением конкретных, заранее определенных в Реестрах обработки персональных данных законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.4. Содержание и объем обрабатываемых персональных данных, а также сроки обработки должны соответствовать заявленным целям обработки, предусмотренным в Реестрах обработки персональных данных. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРОМ
3.1. Обработка персональных данных Оператором: осуществляется в соответствии с требованиями законодательства Республики Беларусь как с использованием средств автоматизации, так и без использования таких средств, с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных на законной и справедливой основе; ограничивается достижением конкретных, заранее определенных и законных целей, установленных в Реестрах обработки персональных данных. При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператором принимаются необходимые меры по удалению или уточнению неполных или неточных персональных данных.
3.2. При обработке персональных данных Оператором не допускаются:
обработка персональных данных, несовместимая с целями сбора персональных данных, установленными в Реестрах обработки персональных данных;
объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
3.3. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных статьями 6 и 8 Закона о защите персональных данных и иными законодательными актами (то есть при наличии иных правовых оснований обработки).
3.4. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных. Согласие предоставляется субъектом в письменной форме путем собственноручного подписания согласия по форме, разрабатываемой Предприятием, при этом цели, объем и срок обработки персональных данных могут быть скорректированы в согласии субъекта персональных данных.
3.5. Субъект персональных данных при даче своего согласия Оператору указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность, за следующим исключением: если цели обработки персональных данных не требуют обработки всей перечисленной информации, эта информация не подлежит обработке Оператором при получении согласия субъекта персональных данных.
3.6. В соответствии со статьей 6 Закона о защите персональных данных согласие субъекта персональных данных на обработку персональных данных, за исключением специальных персональных данных, порядок обработки которых установлен статьей 8 Закона о защите персональных данных, не требуется:
для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов;
в целях осуществления контроля (надзора) в соответствии с законодательными актами;
при реализации норм законодательства в области национальной безопасности, о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
при реализации норм законодательства о выборах, референдуме, об отзыве депутата Палаты представителей, члена Совета Республики Национального собрания Республики Беларусь, депутата местного Совета депутатов;
для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
для осуществления нотариальной деятельности;
при рассмотрении вопросов, связанных с гражданством Республики Беларусь, предоставлением статуса беженца, дополнительной защиты, убежища и временной защиты в Республике Беларусь;
в целях назначения и выплаты пенсий, ежемесячного денежного содержания отдельным категориям государственных служащих, пособий;
для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;
при осуществлении учета, расчета и начисления платы за жилищно-коммунальные услуги, платы за пользование жилым помещением и возмещения расходов на электроэнергию, платы за другие услуги и возмещения налогов, а также при предоставлении льгот и взыскании задолженности по плате за жилищно-коммунальные услуги, плате за пользование жилым помещением и возмещению расходов на электроэнергию;
при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
в целях осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации, организации, осуществляющей издательскую деятельность, направленных на защиту общественного интереса, представляющего собой потребность общества в обнаружении и раскрытии информации об угрозах национальной безопасности, общественному порядку, здоровью населения и окружающей среде, информации, влияющей на выполнение своих обязанностей государственными должностными лицами, занимающими ответственное положение, общественными деятелями, за исключением случаев, предусмотренных гражданским процессуальным, хозяйственным процессуальным, уголовно-процессуальным законодательством, законодательством, определяющим порядок административного процесса;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами;
в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда настоящим Законом и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.
3.7. В соответствии со статьей 8 Закона о защите персональных данных обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением случаев, когда согласие субъекта персональных данных на обработку специальных персональных данных не требуется:
если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
в целях назначения и выплаты пенсий, ежемесячного денежного содержания отдельным категориям государственных служащих;
при обработке общественными объединениями, политическими партиями, профессиональными союзами, религиозными организациями персональных данных их учредителей (членов) для достижения уставных целей при условии, что эти данные не подлежат распространению без согласия субъекта персональных данных;
в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;
для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов, совершения исполнительной надписи, оформления наследственных прав;
для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
в случаях, предусмотренных уголовно-исполнительным законодательством, законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь, о гражданстве, о порядке выезда из Республики Беларусь и въезда в Республику Беларусь, о статусе беженца, дополнительной защите, убежище и временной защите в Республике Беларусь;
в целях обеспечения функционирования единой государственной системы регистрации и учета правонарушений;
в целях ведения криминалистических учетов;
для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
для осуществления административных процедур;
в связи с реализацией международных договоров Республики Беларусь о реадмиссии;
при документировании населения;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда настоящим Законом и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.
3.8. Обработка специальных персональных данных допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.
3.9. Субъект персональных данных, в том числе когда обработка персональных данных осуществляется Оператором без его согласия, в соответствии с пунктом 6 статьи 4 Закона о защите персональных данных о том, что обработка персональных данных должна носить прозрачный характер, имеет право знать, как и для каких целей его персональные данные собираются, используются, представляются или иным образом обрабатываются, получать иную информацию, касающуюся обработки его персональных данных.
3.10. Обработка персональных данных на Предприятии осуществляется только работниками, занимающими должности, включенные в перечень должностей работников, непосредственно осуществляющих обработку персональных данных, а также иными лицами, допущенными к обработке персональных данных на Предприятии в установленном порядке.
3.11. Работники Предприятия и иные лица, непосредственно осуществляющие обработку персональных данных, а также получившие доступ к персональным данным, обрабатываемым Предприятием, обязаны выполнять требования законодательства о защите персональных данных и локальных правовых актов Предприятия в сфере обеспечения защиты персональных данных.
3.12. Предприятие вправе поручить обработку персональных данных уполномоченному лицу на основании договора, акта законодательства либо решения государственного органа, при этом: уполномоченное лицо обязано соблюдать требования к обработке персональных данных, предусмотренные Законом о защите персональных данных и иными актами законодательства; ответственность перед субъектом персональных данных за действия уполномоченного лица несет Предприятие как Оператор; уполномоченное лицо несет ответственность перед Предприятием как Оператором.
3.13. Перечень уполномоченных лиц определяется отдельно и доводится до общего сведения субъектов персональных данных на Предприятии.
3.14. Обработка персональных данных Предприятием осуществляется путем:
получения персональных данных в устной или письменной форме непосредственно от субъектов персональных данных;
получения персональных данных от третьих лиц в порядке, установленном законодательством, а также в соответствии с договорами;
получения персональных данных из общедоступных источников;
обработки персональных данных в информационных ресурсах (системах), базах данных, реестрах, журналах и других документах Предприятия;
использования иных предусмотренных законодательством способов обработки персональных данных.
3.15. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
3.16. Передача персональных данных государственным органам и организациям, в том числе правоохранительным органам и судам, а также иным организациям и учреждениям осуществляется в соответствии с требованиями законодательства Республики Беларусь (с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами (при наличии иных правовых оснований обработки)).
3.17. Трансграничная передача персональных данных на территорию иностранного государства может осуществляться Предприятием:
3.17.1 если на территории иностранного государства обеспечивается надлежащий уровень защиты прав субъектов персональных данных – без ограничений при наличии правовых оснований, предусмотренных Законом о защите персональных данных;
3.17.2. если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных – в случаях, предусмотренных статьей 9 Закона о защите персональных данных, когда:
дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
получено соответствующее разрешение Национального центра защиты персональных данных (далее – НЦЗПД).
3.18. Оператор осуществляет обработку, в том числе хранение персональных данных, не дольше, чем этого требуют цели обработки персональных данных, в сроки, установленные Реестрами обработки персональных данных. Определенный срок обработки персональных данных может быть установлен законодательством Республики Беларусь, договором, согласием субъекта персональных данных.
3.19. Обработка персональных данных прекращается при наступлении одного или нескольких из указанных событий (если отсутствуют иные правовые основания для обработки, предусмотренные Законом о защите персональных данных и иными законодательными актами):
поступление от субъекта персональных данных в установленном порядке отзыва согласия на обработку его персональных данных;
поступление от субъекта персональных данных в установленном порядке требования о прекращении обработки его персональных данных и (или) их удалении;
достижение целей обработки персональных данных;
истечение срока действия согласия субъекта персональных данных;
истечение срока хранения персональных данных;
обнаружение неправомерной обработки персональных данных;
по требованию НЦЗПД;
прекращение деятельности Предприятия.
3.20. Хранение персональных данных осуществляется Оператором в соответствии с требованиями законодательства о защите персональных данных до достижения целей обработки персональных данных в сроки, установленные Реестрами обработки персональных данных, а при даче субъектом согласия на обработку персональных данных – в сроки, указанные в данном согласии. При этом:
документы на бумажных и иных материальных носителях, содержащие персональные данные, хранятся в помещениях и местах, позволяющих исключить к ним доступ посторонних лиц;
документы в электронной форме, содержащие персональные данные, хранятся в информационной системе Предприятия с обязательным использованием паролей доступа и разграничением доступа.
3.21. Документы на бумажных и иных материальных носителях, содержащие персональные данные, а также персональные данные в электронной форме после прекращения обработки персональных данных уничтожаются / удаляются (блокируются) в соответствии с требованиями законодательства о защите персональных данных, иными актами законодательства и локальными правовыми актами Предприятия.
4. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЯЗАННОСТИ ОПЕРАТОРА ПО ИХ РЕАЛИЗАЦИИ
4.1. Субъект персональных данных имеет право:
4.1.1. в любое время без объяснения причин отозвать свое согласие на обработку персональных данных;
4.1.2. требовать бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки, предусмотренных Законом о защите персональных данных и иными законодательными актами;
4.1.3. получать информацию, касающуюся обработки своих персональных данных (при этом не должен обосновывать свой интерес к запрашиваемой информации), содержащую:
наименование и место нахождения Предприятия;
подтверждение факта обработки персональных данных Предприятием (уполномоченным им лицом);
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие;
наименование и место нахождения уполномоченного лица, которое является государственным органом, иной организацией, если обработка персональных данных поручена такому лицу;
иную информацию, предусмотренную законодательством;
4.1.4. требовать внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными (с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные);
4.1.5. получать информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом о защите персональных данных и иными законодательными актами.
4.2. Субъект персональных данных также имеет право обжаловать действия (бездействие) и принятые Предприятием решения, нарушающие его права при обработке персональных данных, в НЦЗПД как уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц; принятое НЦЗПД по защите прав субъектов персональных данных решение может быть обжаловано субъектом персональных данных в суд в порядке, установленном законодательством.
4.3. Субъект персональных данных для реализации прав, предусмотренных статьями 10–13 Закона о защите персональных данных и пунктом 4.1. Политики, подает на Предприятие заявление в письменной форме, оформленное в соответствии со статьей 14 Закона о защите персональных данных, на почтовый адрес: 224003 г. Брест, шоссе Варшавское, 41, ООО «Евро Отель». Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления Оператору в письменной форме.
4.4. Заявление субъекта персональных данных о реализации его прав должно содержать: его персональные данные – фамилию, собственное имя, отчество (если таковое имеется), адрес его места жительства (места пребывания), дату рождения, идентификационный номер (при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных); изложение сути его требований; его личную подпись либо электронную цифровую подпись.
4.5. За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных на Предприятии, в том числе направив сообщение на электронный адрес: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. или обратившись по тел.: +375 (162) 27-82-00.
4.6. Ответ на заявление субъекта персональных данных о реализации его прав, предусмотренных пунктом 4.1. Политики, направляется субъекту персональных данных в форме, соответствующей форме подачи заявления (в письменной форме либо в виде электронного документа), если в самом заявлении не указано иное.
4.7. Работники Предприятия, непосредственно осуществляющие обработку персональных данных, обязаны на основании поданного субъектом персональных данных:
4.7.1. заявления об отзыве своего согласия на обработку персональных данных в пятнадцатидневный срок после получения заявления:
в соответствии с содержанием заявления прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом о защите персональных данных и иными законодательными актами;
при отсутствии технической возможности удаления персональных данных принять меры по недопущению их дальнейшей обработки, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.
4.7.2. заявления, содержащего требования о бесплатном прекращении обработки своих персональных данных, включая их удаление, в пятнадцатидневный срок после получения заявления:
прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных;
при отсутствии технической возможности удаления персональных данных принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок;
Оператор вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок;
4.7.3. заявления о получении информации, касающейся обработки персональных данных, в течение пяти рабочих дней после его получения, если иной срок не установлен законодательными актами, предоставить субъекту персональных данных в доступной форме эту информацию, либо уведомить его о причинах отказа в ее предоставлении; информация, указанная в подпункте 4.1.3. Политики, не предоставляется субъекту персональных данных в случаях, предусмотренных частью 3 статьи 11 Закона о защите персональных данных;
4.7.4. заявления, содержащего требования о внесении изменений в свои персональные данные, в пятнадцатидневный срок после его получения внести соответствующие изменения в персональные данные и уведомить об этом субъекта персональных данных либо уведомить его о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами;
4.7.5. заявления о получении информации о предоставлении своих персональных данных третьим лицам в пятнадцатидневный срок после его получения предоставить субъекту персональных данных информацию о том, какие его персональные данные и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении; указанная информация может не предоставляться в случаях, предусмотренных пунктом 3 статьи 11 Закона о защите персональных данных, а также если обработка персональных данных осуществляется в соответствии с законодательством об исполнительном производстве, при осуществлении правосудия и организации деятельности судов общей юрисдикции.
5. ОБЯЗАННОСТИ ОПЕРАТОРА И МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор обязан:
5.1.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
5.1.2. получать согласие субъекта персональных данных на их обработку, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами (при наличии иных правовых оснований обработки);
5.1.3. до получения согласия субъекта персональных данных в письменной либо электронной форме, соответствующей форме выражения такого согласия, предоставить субъекту персональных данных информацию, содержащую: наименование и место нахождения Оператора, получающего согласие субъекта персональных данных; цели обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; срок, на который дается согласие субъекта персональных данных; информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами; перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых Оператором способов обработки персональных данных; иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных;
5.1.4. до получения согласия субъекта персональных данных простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия; эта информация должна быть предоставлена Оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации;
5.1.5. обеспечивать защиту персональных данных в процессе их обработки;
5.1.6. в случае необходимости изменения первоначально заявленных целей обработки персональных данных получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных Законом о защите персональных данных и иными законодательными актами.
5.1.7. принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их;
5.1.8. предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
5.1.9. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
5.1.10. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
5.1.11. принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.1.12. обеспечить неограниченный доступ, в том числе с использованием сети Интернет, к Политике до начала обработки персональных данных;
5.1.13. уведомлять НЦЗПД о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных НЦЗПД;
5.1.14. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию НЦЗПД, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
5.1.15. исполнять иные требования НЦЗПД об устранении нарушений законодательства о персональных данных;
5.1.16. предоставлять НЦЗПД информацию, необходимую для определения законности действий Операторов (уполномоченных лиц);
5.1.17. выполнять иные обязанности, предусмотренные Законом о защите персональных данных и иными законодательными актами.
5.2. Оператор определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований Закона о защите персональных данных и иных актов законодательства.
5.3. Обязательными мерами по обеспечению защиты персональных данных являются:
5.3.1. назначение Оператором лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
5.3.2. издание Оператором настоящей Политики;
5.3.3. ознакомление работников Предприятия как Оператора и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, настоящей Политикой и иными локальными правовыми актами Предприятия, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
5.3.4. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
5.3.5. осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
6. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Лица, виновные в нарушении положений законодательства о защите персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность, предусмотренную законодательными актами.
6.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных Законом о защите персональных данных, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.