Политика конфиденциальности  НАО «Красная поляна»

  1. Общие положения

  1. В целях поддержания деловой репутации и гарантирования выполнения норм федерального законодательства в полном объеме НАО

«Красная поляна» (далее – Оператор/Общество) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.

  1. Настоящая «Политика обработки и защиты персональных данных в НАО «Красная Поляна»» (далее – Политика):
  1. Разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и распространяется на все действия и операции, совершаемые Оператором с персональными данными, как с использованием средств автоматизации, так и без использования таковых;
  2. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки персональных данных, права и обязанности при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке;
  3. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.

  1. Информация об Обществе

Наименование: Непубличное акционерное общество «Красная поляна» ИНН: 2320102816

ОГРН: 1022302937062

Юридический адрес: 354000, Краснодарский край, г. Сочи, ул. Северная, д. 14А

Фактический адрес: 354392, Краснодарский край, г. Сочи, п. Эсто-Садок, ул. Горная, д.11

  1. Правовые основания обработки персональных данных

  1. Политика Оператора в области обработки персональных данных определяется в соответствии с:
  1. Конституцией Российской Федерации;
  2. Трудовым кодексом Российской Федерации;
  3. Гражданским кодексом Российской Федерации;
  4. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  5. Федеральным законом от 29.11.2010 N 326-ФЗ «Об обязательном

медицинском страховании в Российской Федерации»;

  1. Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  2. Приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  3. Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  4. Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
  5. Постановлением Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  6. Приказом Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  7. Договорами, заключаемыми между Оператором и субъектами персональных данных;
  8. Согласиями субъектов персональных данных на обработку персональных данных;
  9. Иными нормативно-правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти.
  1. Во исполнение настоящей Политики Оператором утверждены следующие локальные нормативные правовые акты:
  1. Положение об обработке и защите персональных данных;
  2. Перечень информационных систем персональных данных;
  3. Перечень структурных подразделений, осуществляющих обработку персональных данных;
  4. Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  5. Инструкции при работе с персональными данными;
  6. Иные локальные нормативные акты и документы, регламентирующие в Обществе вопросы обработки персональных данных.

  1. Цели обработки персональных данных

  1. Оператор обрабатывает персональные данные исключительно в

следующих целях:

  1. Исполнение положений нормативных актов, указанных в п. 3.1.;
  2. Принятие решения о трудоустройстве кандидата в Общество;
  3. Заключение и выполнение обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами;
  4. Осуществление пропускного и внутриобъектового режима;
  5. Оказание Обществом платных услуг потребителям (посетителям Курорта Красная Поляна);
  6. Обратная связь с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта (Сайтов);
  7. Контроль и улучшение качества услуг и сервисов Общества, в том числе предложенных на Сайте (Сайтах).

  1. Категории обрабатываемых персональных данных, источники их получения, сроки обработки и хранения

  1. В информационных системах персональных данных Общества обрабатываются следующие категории персональных данных:
  1. Персональные данные сотрудников;
  2. Персональные данные контрагентов (и их представителей);
  3. Персональные данные посетителей курорта;
  4. Персональные данные кандидатов на должность;
  5. Персональные данные посетителей сайтов Общества.
  1. Понятия, содержащиеся в ст. 3 Закона о персональных данных, используются в настоящей Политике с аналогичным значением.

  1. Основные принципы обработки, передачи и хранения персональных данных

  1. Общество в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона 152-ФЗ «О персональных данных».
  2. Общество не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
  3. Общество не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
  4. Обществом созданы источники персональных данных (справочники) для внутреннего пользования. Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, должность, абонентский номер, адрес корпоративной электронной почты), включаются в такие источники только с

письменного согласия субъекта персональных данных.

  1. Порядок и условия обработки персональных данных

  1. Обработка персональных данных осуществляется Оператором при условии получения согласия субъекта персональных данных (далее - Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.
  2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает Согласие свободно, своей волей и в своем интересе.
  3. Согласие дается в любой позволяющей подтвердить факт его получения форме. В предусмотренных законодательством РФ случаях Согласие оформляется в письменной форме.
  4. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия Согласия или отзыв Согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.
  5. Согласие может быть отозвано путем письменного уведомления, направленного в адрес Компании заказным почтовым отправлением.
  6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
  7. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории РФ.

  1. Меры по обеспечению безопасности персональных данных при их обработке

  1. Общество при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
  1. Осуществлением внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152- ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
  2. Ознакомлением   работников   Общества,   непосредственно

осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных сотрудников;

  1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  2. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
  3. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  4. Учетом машинных носителей персональных данных;
  5. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
  6. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  7. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  8. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

  1. Права субъектов персональных данных

  1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Обществом.
  2. Субъект персональных данных вправе требовать от Общества, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  3. Отзывать свое согласие на обработку персональных данных или требовать прекращения обработки своих персональных данных (при этом Общество вправе отказать субъекту в предоставлении услуг или выполнении своих договорных обязательств, если это невозможно без обработки указанных персональных данных).
  4. Изменять (обновлять, дополнять) предоставленные им персональные данные с учетом функционала тех или иных Сервисов, а также связавшись с Оператором способами, предусмотренными соответствующим договором или

соглашением с Оператором, а также через форму обратной связи на Сайте.

  1. Удалять персональные данные, предоставленные им в рамках определенной учетной записи на Сайте или в Сервисе. При этом удаление учетной записи может повлечь невозможность использования соответствующих Сервисов или препятствовать оказанию Услуг.
  2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:
  1. Если обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка;
  2. При условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
  3. Если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  4. Когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
  5. Если обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
  1. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Обществу. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
  2. Субъект персональных данных вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
  3. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

  1. Права Оператора

  1. Оператор имеет право:
  1. Обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;
  2. Требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;
  3. Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).
  4. Осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.
  5. Отказать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации.
  6. Использовать Файлы cookies в рекламных, статистических, исследовательских и других целях, не запрещенных действующим законодательством РФ.
  7. Поручать обработку персональных данных другому лицу с согласия Субъекта персональных данных.
  8. Обрабатывать персональные данные Соискателей в случае, если Оператор формирует кадровый резерв, включающий резюме понравившихся Соискателей, Соискателей, посетивших собеседование, но по каким-то причинам не ставших работниками Общества.

  1. Заключительные положения

  1. Оператор, а также его должностные лица и работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.
  2. Политика является общедоступной и подлежит размещению на официальном Сайте Оператора или иным образом обеспечивается неограниченный доступ к настоящему документу.
  3. Оператор имеет право вносить изменения в настоящую Политику. Положения настоящей Политики подлежат актуализации в случае изменения законодательства Российской Федерации о персональных данных. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики. Действующая редакция

постоянно        доступна        на        Сайте        по адресу: https://krasnayapolyanaresort.ru/assets/upload/files/security_policy.pdf

  1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.