Политика обработки персональных данных

1. Общие положения

1.1. Политика определяет порядок и условия обработки персональных данных (ПДн) Оператором, меры по их защите, права субъектов ПДн, а также сведения о видеонаблюдении на территории объекта. Политика размещается на сайте и доступна в общественной зоне. 
1.2. Обработка ПДн осуществляется в соответствии с законодательством РФ (в т.ч. ГК РФ, 152-ФЗ "О персональных данных", 402-ФЗ, 115-ФЗ и иными НПА) и принципами законности, минимизации, ограниченности целями, точности и хранения не дольше, чем требуется. 
1.3. Локализация ПДн: первичный сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение ПДн граждан РФ осуществляются с использованием баз данных, находящихся на территории РФ. Использование сервисов, обеспечивающих первичный сбор/хранение ПДн за пределами РФ, не допускается.

2. Термины и категории данных

2.1. Используются термины законодательства РФ. 
2.2. Категории субъектов: гости, сопровождающие их лица, заказчики, посетители территории, пользователи сайта, контрагенты/их представители, сотрудники/кандидаты (при наличии). 
2.3. Состав ПДн: ФИО, дата рождения, пол, гражданство, реквизиты удостоверяющих личность документов (для детей — сведения из свидетельства о рождении), адрес проживания/регистрации, контакты (телефон, e-mail), сведения о бронировании и проживании, платежная информация (факт, сумма и способ оплаты), переписка с Оператором, подпись, видеозаписи из зон наблюдения, технические данные сайтов (IP-адрес, cookies, user-agent). 
2.4. Специальные категории ПДн (о здоровье, убеждениях и т.п.) не обрабатываются, за исключением случаев, прямо предусмотренных законом. Биометрические ПДн не обрабатываются; видеозаписи не используются для биометрической идентификации.
2.5. Оператор не несет ответственности за достоверность персональных данных, предоставленных субъектом. Предоставление недостоверных персональных данных может повлечь отказ в предоставлении услуг размещения.


3. Цели и основания обработки

3.1. Цели: бронирование услуг размещения; предоставление услуг проживания; исполнение обязанностей по учету и регистрации проживающих лиц в соответствии с законодательством РФ; исполнение требований законодательства РФ; передача сведений в государственные органы (при наличии обязанности); ведение взаиморасчётов и бухгалтерского учёта; обеспечение безопасности людей и имущества (в т.ч. видеонаблюдение); рассмотрение обращений/претензий; связь с гостем; функционирование сайта. 
3.2. Основания: исполнение договора оказания услуг размещения; исполнение обязательных требований закона; законный интерес Оператора (без ущерба правам субъекта) — в т.ч. для безопасности/видеонаблюдения; согласие субъекта — в случаях, когда это необходимо (например, обратная связь, рассылка по заявке).

4. Способы обработки, хранение и сроки

4.1. Обработка ПДн проводится с использованием ИСПДн и/или без автоматизации. 
4.2. Сроки хранения: 
* бухгалтерские документы/расчёты — не менее 5 лет; 
* переписка/данные гостей — до 3 лет (если не требуется дольше по закону/для защиты прав); 
* видеозаписи — 5 дней, затем удаляются путём перезаписи (кроме случаев официальных запросов); 
* cookies/логи — 1 год или до удаления. 
4.3. По достижении целей ПДн уничтожаются или обезличиваются, если иное не предусмотрено законом.

5. Передача и поручение обработки

5.1. ПДн могут передаваться (в необходимом объёме) банкам/платёжным организациям, почтовым/курьерским службам, ИТ-подрядчикам (хостинг, почта, CRM), бухгалтерии/аудиторам, правоохранительным/госорганам — на законных основаниях. 
5.2. Поручённая обработка осуществляется по договорам с требованиями к защите ПДн. Подрядчики обязуются обеспечивать конфиденциальность и безопасность ПДн. 
5.3. Трансграничная передача ПДн: не осуществляется. При необходимости будет осуществляться после направления уведомления в Роскомнадзор и при соблюдении требований законодательства (в т.ч. наличия достаточных гарантий и/или согласия субъекта, если требуется).


6. Видеонаблюдение

6.1. На территории объекта, за исключением номеров и санитарных узлов, может осуществляться видеонаблюдение в целях обеспечения безопасности людей, защиты имущества и предупреждения правонарушений.
6.2. Записи видеонаблюдения хранятся в течение 5 календарных дней и затем удаляются путем перезаписи, если иной срок хранения не требуется в соответствии с законодательством Российской Федерации или в связи с конкретным инцидентом.
6.3. Доступ к записям видеонаблюдения имеют только уполномоченные Собственником лица. Предоставление записей третьим лицам осуществляется только в случаях и порядке, предусмотренных законодательством Российской Федерации. На территории объекта размещаются информационные таблички о ведении видеонаблюдения.

7. Права субъектов ПДн и порядок обращений

7.1. Субъект вправе получать сведения об обработке своих ПДн, требовать их уточнения/исправления/уничтожения при незаконной обработке, отозвать согласие (если обработка основана на согласии), оспаривать действия Оператора. 
7.2. Обращение направляется на e-mail delfin.dzhubga@yandex.ru или почтой на адрес Оператора. Для ответа Оператор вправе запросить данные для идентификации заявителя. 
7.3. Срок ответа — до 30 календарных дней с даты регистрации обращения.

8. Cookies и интернет-сервисы

8.1. На сайте используются cookies и инструменты веб-аналитики для обеспечения работы сайта и улучшения сервиса. Продолжая использование, Пользователь соглашается с передачей cookies. Пользователь вправе ограничить cookies в настройках браузера (это может повлиять на корректность работы функций). 
8.2. Оператор не использует сервисы, обеспечивающие первичный сбор/хранение ПДн граждан РФ за пределами РФ. Перечень сторонних сервисов (при использовании) публикуется на сайте.

9. Инциденты (утечки ПДн)

9.1. При выявлении неправомерного доступа/утечки ПДн Оператор в течение 24 часов направляет первичное уведомление в Роскомнадзор и в течение 72 часов — отчёт о результатах расследования, принятых мерах и последствиях. 
9.2. При высоком риске вреда субъектам Оператор уведомляет субъектов ПДн (если это требуется законом) удобным способом. 
9.3. Оператор ведёт журнал инцидентов и событий информационной безопасности.




10. Меры защиты ПДн

10.1. Назначение ответственного; локальные акты; контроль доступа; учёт и хранение носителей; антивирусная защита и актуализация ПО; резервное копирование; журналирование обращений; обучение сотрудников; обязательства о неразглашении; внутренний контроль/аудит соответствия. 
10.2. Оператор принимает иные необходимые организационные и технические меры, соответствующие требованиям законодательства РФ.

11. Обработка ПДн несовершеннолетних

11.1. ПДн несовершеннолетних до 14 лет обрабатываются с согласия законных представителей, за исключением случаев, предусмотренных законом.

12. Порядок получения согласия

12.1. Согласие на обработку ПДн для целей исполнения договора не требуется (п.2 ч.1 ст.6 152-ФЗ).
12.2. Гость даёт согласие Оператору (ИП Кильян О.Г., ИНН 235500192294) на обработку своих ПДн в целях рассылки, обратной связи при оставлении заявки на сайте https://delfinstay.ru.
12.3. Согласие конкретно, информировано, добровольно (ст.9 152-ФЗ). Действует 3 года или до отзыва (email: delfin.dzhubga@yandex.ru). Отзыв не затрагивает законную обработку до момента отзыва.

13. Актуализация Политики

13.1. Политика вступает в силу с даты утверждения (указана в шапке документа) и действует бессрочно до замены.
13.2. Политика может обновляться; актуальная редакция размещается на сайте и доступна на территории объекта. Дата последней редакции указана в шапке документа.