3. ЦЕЛИ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор осуществляет обработку руководствуясь следующими принципами:
3.1.1. Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации.
3.1.2. Обработка персональных данных осуществляется для достижения конкретных, заранее определенных целей; обработка персональных данных, не оправданная достижением таких целей, не осуществляется.
3.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.1.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
3.1.6. При обработке персональных данных обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
3.1.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
Оператор будет хранить Персональные данные столько времени, сколько это необходимо для достижения цели, для которой она была собрана, или для соблюдения требований законодательства и нормативных актов.
Если иное не требуется по закону или соглашению с Пользователем, Персональные данные, будут храниться до тех пор, пока у него есть учетная запись в Сервисах, но такая информация может быть удалена Пользователем в любое время самостоятельно.
Персональная информация Пользователя будет храниться в Российской Федерации.
Для российских пользователей: Оператор осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Для пользователей из ЕЭЗ, Швейцарии или Израиля: Российская Федерация является юрисдикцией за пределами Европейской экономической зоны, которая не была признана Европейской комиссией как обеспечивающая адекватный уровень защиты персональных данных, поэтому Оператор принял соответствующие меры для обеспечения того, чтобы такая передача осуществлялась в соответствии с действующими правилами защиты данных ЕС.
Если Субъект находится на территории, где для передачи его персональной информации в другую юрисдикцию требуется его согласие, то используя Сайты или Сервисы Оператора, Пользователь дает Оператору свое явное и однозначное согласие на такую передачу или хранение, и/или обработку информации (трансграничная передача персональных данных) в других указанных юрисдикциях, включая Российскую Федерацию.
3.1.8. Обрабатываемые персональные уничтожаются либо обезличиваются по достижению целей обработки или в случае утраты необходимости в достижении этих целей.
3.2. В целях обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами Оператор:
3.2.1. Назначает ответственного за организацию обработки персональных данных.
3.2.2. Утверждает внутренние документы по вопросам обработки персональных данных, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
3.2.3. Применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных.
3.2.4. Осуществляет внутренний контроль соответствия обработки персональных данных требованиям Закона о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора, регулирующих обработку персональных данных.
3.2.5. Проводит оценку вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований законодательства в области персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения своих обязанностей, предусмотренных законодательством в области персональных данных.
3.2.6. Осуществляет своевременное доведение до своих сотрудников, непосредственно осуществляющих обработку персональных данных, положений законодательства Российской Федерации в области ПДн, в том числе требований к защите персональных данных, внутренних нормативных и распорядительных документов Оператора, регулирующих обработку персональных данных.
3.2.7. Публикует настоящую Политику, обеспечивая беспрепятственный доступ к ней неограниченного круга лиц.
3.3. К целям обработки персональных данных Оператора относятся:
3.3.1. Обеспечение работы сервисов.
3.3.2. Предоставление доступа пользователя к сервисам, информации и материалам, содержащимся в них.
3.3.3. Верификация (подтверждение) личности пользователя.
3.3.4. Ведение аналитики, статистика.
3.3.5. Осуществления рекламной деятельности с согласия Субъекта персональных данных.
3.3.6. Соблюдение и исполнение требований действующего трудового законодательства Российской Федерации.
3.3.7. Заключение, исполнение и расторжение гражданско-правовых договоров с третьими лицами.
3.3.8. Сопровождение договоров аренды/найма помещения.
3.3.9. Предупреждение и пресечение нарушения законодательства, Условий использования сервисов и других правил и условий компании, в том числе защита пользователей от мошеннических и иных недобросовестных действий.
3.3.10. Предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием сервисов Оператора.
3.4. Оператор обрабатывает следующие категории субъектов персональных данных:
3.4.1. Работники.
3.4.2. Бывшие работники.
3.4.3. Контрагенты.
3.4.4. Клиенты.
3.4.5. Посетители сайта.
3.5. Для цели 3.3.1 обрабатываются категории субъектов 3.4.1, 3.4.3, 3.4.4, 3.4.5, а также категории персональных данных:
3.5.1 IP-адрес.
3.5.2. Данные о местоположении.
3.5.3. Cookie-файлы.
3.5.4. Информация о мобильном устройстве (модель мобильного устройства, версия операционной системы, уникальные идентификаторы устройства).
3.5.5. Данные о мобильной сети.
3.6. Для цели 3.3.2 обрабатываются категории субъектов 3.4.1, 3.4.3, 3.4.4, 3.4.5, а также категории персональных данных:
3.6.1. Фамилия, имя, отчество.
3.6.2. Адрес электронной почты.
3.6.3. Данные документа, удостоверяющего личность.
3.6.4. Номер контактного телефона.
3.7. Для цели 3.3.3 обрабатываются категории субъектов 3.4.1, 3.4.3, 3.4.4, 3.4.5, а также категории персональных данных:
3.8. Фотография с разворотом 2 и 3 страницы документа, удостоверяющего личность, у лица.
3.9. Фотография с разворотом 2 и 3 страницы документа, удостоверяющего личность.
3.10. Фотография документа, удостоверяющего личность с пропиской.
3.11. Для цели 3.3.4 обрабатываются категории субъектов 3.4.1, 3.4.3, 3.4.4, 3.4.5, а также категории персональных данных:
3.11.1. Информация о совершаемых операциях на сервисах, в том числе по оплате услуг.
3.11.2. Информация по количеству и адресам бронирования.
3.11.3. Отзывы пользователя.
3.12. Для цели 3.3.5 обрабатываются категории субъектов 3.4.1, 3.4.3, 3.4.4, 3.4.5, а также категории персональных данных:
3.12.1. Адрес электронной почты.
3.13. Для цели 3.3.6 обрабатываются категории субъектов 3.4.1, 3.4.2, а также категории персональных данных:
3.13.1. Фамилия, имя, отчество.
3.13.2. Данные документа, удостоверяющего личность.
3.13.3. Адреса регистрации по месту жительства и адрес фактического проживания.
3.13.4. Контактная информация (номер телефона, адрес электронной почты).
3.13.5 Сведения, содержащиеся в трудовой книжке, сведения о трудовом стаже, предыдущих местах работы.
3.13.6. Банковские реквизиты.
3.13.7. Индивидуальный номер налогоплательщика.
3.13.8. Страховой номер индивидуального лицевого счёта.
3.14. Для цели 3.3.7 обрабатывается категория субъекта 3.4.3, а также категории персональных данных:
3.14.1. Фамилия, имя, отчество.
3.14.2. Данные документа, удостоверяющего личность.
3.14.3. Банковские реквизиты.
3.14.4. Номер регистрации в качестве индивидуального предпринимателя.
3.14.5. Сведения о применении особых режимов налогообложения.
3.14.6. Индивидуальный номер налогоплательщика.
3.15. Для цели 3.3.8 обрабатываются категории субъектов 3.4.3, 3.4.4, а также категории персональных данных:
3.15.1. Фамилия, имя, отчество.
3.15.2. Данные документа, удостоверяющего личность.
3.15.3. Адрес электронной почты.
3.15.4. Номер контактного телефона.
3.15.5. Адрес регистрации по месту жительства.
3.15.6. Для субъектов 3.4.3 дополнительно обрабатывается индивидуальный номер налогоплательщика.
3.16. Для цели 3.3.9 обрабатываются категории субъектов 3.4.4, 3.4.5, а также категории персональных данных:
3.16.1. Фамилия, имя, отчество.
3.16.2. Адрес электронной почты.
3.16.3. Данные документа, удостоверяющего личность.
3.16.4. Номер контактного телефона.
3.16.5. IP-адрес.
3.16.6. Данные о местоположении.
3.16.7. Cookie-файлы.
3.16.8. Информация о мобильном устройстве (модель мобильного устройства, версия операционной системы, уникальные идентификаторы устройства);
3.16.9. Данные о мобильной сети.
3.17. Для цели 3.3.10 обрабатываются категории субъектов 3.4.4, 3.4.5, а также категории персональных данных:
3.17.1. Фамилия, имя, отчество.
3.17.2. Адрес электронной почты.
3.17.3. Номер контактного телефона.
3.18. Оператор не проверяет предоставленную Пользователем персональную информацию за исключением случаев, предусмотренных отдельными Договорами, пользовательским соглашением и т.д., и не может судить о ее достоверности, а также о том, обладает ли Пользователь достаточной правоспособностью для предоставления Оператору своей персональной информации. Тем не менее, Оператор исходит из того, что Пользователь предоставляет достоверную и достаточную персональную информацию, а также своевременно обновляет ее.
Точность Персональной информации, её достаточность и актуальность по отношению к целям обработки, обеспечиваются при необходимости защиты законных интересов Оператора. В данном случае при обнаружении неточной или неполной Персональной информации может производиться её уточнение и актуализация.
3.19. Получение согласия Субъекта на обработку Персональной информации.
3.19.1. Согласие может быть выражено Субъектом в форме совершения конклюдентных действий, например:
- проставления отметок, заполнения соответствующих полей в формах, бланках как при использовании Сервисов или/и Сайта, так при заполнении соответствующих полей в формах, бланках на бумажных носителях;
- поддержания электронной переписки, в которой говорится об обработке персональных данных;
- прохода на офисную территорию Компании после ознакомления с предупреждающими табличками и знаками;
- иных действий, совершаемых Субъектом, по которым можно судить о его волеизъявлении.
4. ПОРЯДОК ПОЛУЧЕНИЯ, ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
4.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
4.3. Оператор получает все обрабатываемые персональные данные, в любой позволяющей подтвердить факт его получения форме, непосредственно от субъекта персональных данных и только с его согласия и на срок, на который было дано согласие на обработку персональных данных.
В случае, если активность Пользователя в Сервисе/Сервисах была прекращена, срок обработки персональных данных составляет - 3 (три) года с момента последней активности пользователя в Сервисе/Сервисах, если больший срок не закреплен законодательством или договором.
Обработка персональных данных Пользователя прекращается в следующих случаях:
- достижение целей обработки или утрата необходимости в их достижении.
- по истечении срока согласия или при отзыве согласия (если нет других оснований для обработки, предусмотренных законодательством).
- при выявлении неправомерной обработки, если обеспечить правомерность невозможно;
- при ликвидации Компании.
По истечении установленных сроков, Оператор удаляет данные из информационных систем. Если данные обрабатываются без использования средств автоматической обработки (например, бумажные обращения) — Оператор уничтожает такие материальные носители.
4.4. Оператор предоставляет своим сотрудникам доступ к минимальному объёму персональных данных, необходимому им для выполнения своих служебных обязанностей.
4.5. Сотрудники Оператора допускаются к обработке персональных данных только после ознакомления с требованиями действующего законодательства и внутренних нормативных и распорядительных документов Оператора, регулирующих обработку и защиту персональных данных, и подписания обязательства о неразглашении.
4.6. При определении объема и содержания, обрабатываемых персональных данных Оператор руководствуется Конституцией Российской Федерации, Законом о персональных данных и иными федеральными законами в области защиты персональных данных, а также принципом соответствия объема и содержания обрабатываемых персональных данных заявленным целям их обработки.
4.7. Общество вправе поручить обработку персональных данных другому лицу на основании заключаемых с ними договоров. Это означает, что Общество делегирует часть своих функций определенному им лицу, которое при этом действует от имени или в интересах Общества.
4.8. Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязан получать согласие субъекта персональных данных на обработку его персональных данных. Если для обработки персональных данных по поручению Общества необходимо получение согласия субъекта персональных данных, такое согласие получает непосредственно Общество.
4.9. Телефонные звонки и альтернативные способы связи.
4.9.1. Информация описанная выше и далее по тексту может также быть собрана при телефонном звонке/разговоре с одним из представителей Оператора.
4.9.2. В случае если Пользователь не согласен с каким-либо условием настоящей Политики, либо со всеми условиями настоящей Политики, Пользователь должен отказаться от предоставления Оператору персональных данных или специфической информации посредством телефонного звонка, и/или альтернативного способа связи (например посредством мессенджеров, электронной почты и др.).
4.9.3. Для того чтобы соответствовать нормам действующего законодательства, Оператор обязан сохранять записи телефонных звонков между Оператором и Субъектами персональных данных (в т.ч. Пользователями), которые несут исключительную ответственность за то, какую информацию они раскрывают и предоставляют при таком разговоре с представителем Оператора.
4.9.4. Оператор, а также его сотрудники, руководство, партнёры, агенты не несут ответственность прямо или косвенно за какую-либо информацию предоставленную Субъектом персональных данных посредством какой-либо коммуникации за пределами Сайта, Сервисов Оператора и т.д. и/или за какой-либо материальный ущерб в случае такой коммуникации (например: прямая коммуникация между Арендатором и Арендодателем и/или его представителями).
4.9.5. Предоставление какой-либо информации за пределами Компании и ее представителями предполагает, что Субъект персональных данных несёт полную ответственность за такое действие.
5. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор при обработке персональных данных граждан обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Обеспечение безопасности персональных данных достигается, в частности:
5.1.1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
5.1.2. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
5.1.3. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
5.1.4. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
5.1.5. Учетом машинных носителей персональных данных.
5.1.6. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
5.1.7. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
5.1.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
5.1.9. Контролем принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
5.2. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 № 18.
5.3. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти, организации и судебные органы осуществляется в соответствии с требованиями законодательства Российской Федерации.
6. ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Персональные данные обрабатываются с соблюдением требований действующего законодательства о защите персональных данных.
6.2. Обработка персональных данных в ООО «Апарт Шеринг» осуществляется смешанным путем:
- Неавтоматизированным способом обработки персональных данных;
- Автоматизированным способом обработки персональных данных (с использованием сервисов и программных продуктов ООО «Апарт Шеринг»).
6.3. Персональные данные хранятся на бумажных носителях и в электронном виде.
6.4. Документами содержащими персональные данные на бумажных носителях, являются трудовые договора, договора авторского заказа и другие договора гражданского-правового характера.
6.5. Документы, содержащие персональные данные, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
6.6. Возможна передача персональных данных во внутренней сети Оператора и по сети Интернет, с использованием организационных мер, а также программных и технических средств защиты информации, с доступом работников оператора, допущенных к работе с персональными данными и только в объеме необходимом для выполнения своих должностных обязанностей.
6.7 Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
6.8 Доступ к персональным данным имеют работники Оператора, допущенные к работе с персональными данными. В трудовой договор работников включается пункт о обязанности сохранения информации, являющейся конфиденциальной, а также подписывается обязательство о неразглашении.
6.9. Оператор прекращает обработку персональных данных в следующих случаях:
6.9.1. выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;
6.9.2. достигнута цель их обработки;
6.9.3. истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
6.10. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
6.10.1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
6.10.2. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
6.10.3. иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
6.11. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
6.12. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Оператор передает находящиеся в его распоряжении персональных данных третьим лицам в следующих случаях:
7.1.1. При наличии согласия субъекта персональных данных на передачу его персональных данных третьему лицу, включающего наименование или фамилию, имя, отчество и адрес третьего лица, цели, сроки и способы обработки третьим лицом персональных данных.
7.1.2. В случае если передача персональных данных третьему лицу необходима для выполнения обязательств Оператора перед субъектом персональных данных.
7.1.3. В случае если обязанность по передаче персональных данных третьему лицу возложена на Оператора действующим законодательством.
7.1.4. Пользователь (арендатор) подтверждает достоверность своих персональных данных, а также персональных данных третьих лиц, предоставляемых Компании и Сервисам в процессе Бронирования/или Заселения и принимает на себя всю ответственность за их точность, полноту и достоверность.
7.1.5. Пользователь принимает на себя все возможные риски, связанные с допущенными Пользователем ошибками и неточностями в предоставленных персональных данных.
7.1.6. Пользователь подтверждает своё согласие с тем, что персональная информация, которую Пользователь предоставляет Оператору при использовании Сервисов, может быть использована Оператором, в том числе в целях Бронирования ОБ, а также может быть передана, включая трансграничную передачу, Компанией партнёру (партнёрам) и (или) иным исполнителям для тех же целей и для целей исполнения Договора с Пользователем, или Договора с Принимающей стороной, и (или) в пользу Пользователя, и (или) в пользу указанных Пользователем третьих лиц (гостей).
7.1.7. При осуществлении Бронирования объекта бронирования, Пользователь даёт своё согласие на передачу его персональных данных, либо персональных данных третьих лиц (гостей) Принимающей стороне в целях заключения Предварительного и Основного договора аренды ОБ. Указанное согласие Пользователя и (или) согласие третьих лиц на передачу Персональных данных совершается в том объёме, который необходим для совершения подобного рода сделок. Без передачи таких сведений Принимающей стороне, заключение указанных договоров не представляется возможным.
7.1.8. В случаях обработки Персональной информации, полученной не от Субъекта напрямую, а от других лиц на основании договора или поручения на обработку, обязанность получения согласия Субъекта возлагается на лицо, от которого получена Персональная информация.
7.1.9. Оператор обеспечивает сохранность и безопасность персональных данных Пользователя и третьих лиц, для которых/от имени которых Пользователь совершает Бронирование, при их обработке в соответствии с применимым законодательством.