ПОЛОЖЕНИЕ
об обработке, хранении, учёте и защите персональных данных Гостей ресторана «Шерали»
1. ВВЕДЕНИЕ
1.1. Защита персональных данных в ресторане «Шерали»
Ресторан гарантирует, что персональные данные, полученные от Гостя, обрабатываются в соответствии и в целях соблюдения Федерального закона «О персональных данных», Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных.Ресторан несёт ответственность за ненадлежащее конфиденциальное обращение с данными гостя, переданными в частности бронированию через Интернет.
1.2. Передача данных третьим лицам
Передача персональных данных третьим лицам осуществляется на основании установленного законодательства Российской Федерации.
Рестран Шерали, не сохраняет, и не передаёт третьим лицам персональные данные гостей, за исключением случаев, когда предоставление информации является особой обязанностью в соответствии с законом Российской Федерации.
1.3. Право Гостя на получение сведений
В соответствии с законом о защите персональной информации Гостю предоставляется право на получение сведений о его сохранённых данных, а также, при необходимости, право на корректировку, блокирование и удаление этих данных, на обжалование действий или бездействие ресторана, на отзыв согласия на обработку персональных данных.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Настоящее Положение регламентируется Конституцией Российской Федерации, федеральным законом «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006, Федеральным законом «О персональных данных» № 152-ФЗ от 27.07.2006 года.
2.2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛОЖЕНИИ:
ресторан- организация, предоставляющая услуги Гостю;
гость-физическое лицо, потребитель ресторанных услуг, субъект персональных данных;
персональные данные-любая информация, относящаяся к прямо или косвенно определённому, или определяемому лицу (субъекту персональных данных);
оператор- государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующими и (или) осуществляющие обработку персональных данных, а также определяющих цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые персональными данными;
обработка персональных данных-совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
распространение персональных данных- действия, направленные на передачу персональных данных неопределённому кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
блокирование персональных данных - временное прекращение обработки данных, за исключением случаев, когда обработка необходима для уточнения персональных данных;
уничтожение персональных данных - действия, направленные на разрушение физических (бумажных или цифровых) носителей либо безвозвратное удаление с них персональной информации;
обезличивание персональных данных- действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
2.3.Настоящим Положением устанавливается Порядок обработки персональных данных Гостей, для которых ресторан осуществляет весь спектр услуг по обслуживанию посетителей.
2.4. Целью Положения является обеспечение защиты прав и свобод человека и гражданина при обработке персональных данных.
2.5. Персональные данные обрабатываются с целью исполнения договора по предоставлению услуг питания и регистрации в системе лояльности, одной из сторон которого является Гость. Ресторан собирает данные только в объёме необходимом доя достижения цели.
2.6. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
2.7. Настоящее Положение утверждается генеральным директором и является обязательным доя исполнения всеми сотрудниками, имеющими доступ к персональным данным Гостя.
3. СОСТАВ И ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ГОСТЕЙ
3.1 К персональным данным, сбор и обработку которых осуществляет Ресторан относятся:
-анкетные данные (фамилия, имя, отчество (последнее при его наличие), число ,месяц, год рождения;
- номер контактного телефона;
- адрес электронной почты;
3.2. Все персональные данные сотрудники ресторана получают непосредственно от субъекта персональных данных – Гостей.
3.3. Гость принимает решение о предоставлении своих персональных данных и согласие на их обработку своей волей и в своем интересе, подтверждая данный факт своей подписью в анкете владельца дисконтной карты.
4. ИСПОЛЬЗОВАНИЕ САЙТА РЕСТОРАНА, БРОНИРОВАНИЕ СТОЛИКА И РАССЫЛКЕ НОВОСТЕЙ
4.1. Гость может использовать сайт ресторана (https://www.шерали.рф/) без указания каких –либо сведений о своей личности.
4.2. *гость может получать информацию о ценах, описание ресторана и его услуг, просматривать специальные предложения.
4.3. Гость может забронировать столик воспользовавшись официальным сайтом ресторана (https://www.шерали.рф/)
4.4. В этом случае ресторан получает следующие данные о Госте:
-фамилия, имя, отчество (в случае предоставления)
-e-mail-адрес;
- номер контактного телефона;
4.5. При бронировании столика на официальном сайте ресторана обработку персональных данных осуществляет модель бронирования Tilda/
5. ПОЛИТИКА ОБРАБОТКИ ФАЙЛОВ COOKIE
5.1.Сookie файлы- это небольшие текстовые файлы, которые веб-сайт сохраняет на устройстве (компьютере, смартфоне, планшете) при его посещении. Они содержат данные о действиях пользователя: логины, настройки, товары в корзине, предпочитаемый язык.
5.2. Сookie файлы собираются доля предоставления услуг ресторана,улучшения качества работы веб-сайтас учётом предположений пользователя, пользовательского опыта, проведения статистических исследований.
5.3.Ресторан использует следующие сookie-файлы:
- сессионные (временные) сookie-файлы, которые хранятся только в течение текущей сессии браузера и автоматически удаляются, когда пользователь закрывает браузер или вкладку;
- постоянные (долговременные) сookie-файлы, которые сохраняются на устройстве пользователя в течение определённого периода времени, заданного веб-сервером. Это позволяет запоминать данные о предпочтениях, настройках, действиях пользователя между сеансами;
-статистические сookie-файлы, которые помогают понять, как пользователь взаимодействует с сайтом ресторана.
5.4. Помимо сookie-файлов на сайте ресторана используются технологии трекинга, такие как теги и скрипты, для сбора и хранения информации о пользователе. Когда пользователь работает с сайтом ресторана, то ему становится доступной следующая информация: IP-адрес, местоположение (страна), тип и версия операционной системы устройства пользователя, тип и версия браузера на устройстве пользователя, источник трафика пользователя, данные о действиях в интернете, страница перехода.
6. Обработка и хранения персональных данных Гостя.
6.1. Обработка персональных данных в интересах Клиентов заключается в получении, систематизации, накоплении, хранении, использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов.
6.2. Согласие на обработку персональных данных требуется, поскольку обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных —Клиент. Если договор не заключён –в целях исполнения обязанностей ресторана–оказания услуг питания.
6.3. Обработка персональных данных Клиентов ведётся методом смешанной обработки.
6.4. К обработке персональных данных Гостя могут иметь доступ только сотрудники ресторана, допущенные к работе с персональными данными Клиентов.
6.5. Перечень сотрудников, имеющих доступ к персональным данных Клиентов, определяется приказом генерального директора.
6.6. Персональные данные Гостей на бумажных носителях не хранятся, после внесения данных гостей в систему лояльности бумажный носитель уничтожается
6.7. Персональные данные Гостей в электронном виде хранятся в cсистеме автоматизации для ресторанного бизнеса iiko в компьютере сотрудников, имеющих учётную запись в системе и допущенных к обработке персональных данных Гостей.
6.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством, настоящим Положением
6.9. Уничтожение носителей, содержащих персональные данные, осуществляются в следующем порядке:
-персональные данные на бумажном носителе уничтожаются на шредере;
-персональные данные, размещённые в памяти персональных компьютеров, уничтожаются путём удаления их из памяти персональных компьютеров;
7. ПРАВИЛА И ОСОБЕННОСТИ НЕАВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ГОСТЕЙ
7.1. В ресторане к персональным данным Гостей, сбор и обработка которых осуществляется без использования средств автоматизации, относятся: фамилия, имя, отчество, пол, дата, месяц, год рождения, номер контактного телефона, адрес электронной почты.
7.2. Лица осуществляющие обработку персональных данных без использования средств автоматизации, проинформированные о факте обработки ими персональных данных, обработка которых осуществляется операторам без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличие).
7.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, соблюдаются следующие условия:
а) типовая форма содержит сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации: имя (наименование)и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своём согласии на обработку персональных данным;
в) типовая форма составлена таким образом, что каждый из субъектов персональных данных, содержащихся в документе, имеет возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма исключает объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
7.4. Уничтожение или обезличивание персональных данных гостей осуществляется на шредере.
7.8. Обработка персональных данных Гостей, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
8. ИСПОЛЬЗОВАНИЕ И ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ГОСТЕЙ
8.1. Использование персональных данных гостей используется рестораном исключительно для достижения целей, определённых договором между Гостем и рестораном.
8.2. При передаче персональных данных Гостей ресторан должен соблюдать следующие требования:
- предупредить лиц, получающих персональные данные Гостей о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные Гостей обязаны соблюдать режим конфиденциальности. Данное положение не распространятся в случае обезличивания персональных данных и в отношении общедоступных данных;
- разрешать доступ к персональным данным Гостей только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
- ресторан не осуществляет трансграничную передачу персональных данных Гостей;
8.3. Не допускается отвечать на вопросы, связанные с передачей информации, содержащей персональные данные, по телефону, факсу.
8.4. Ресторан вправе предоставлять или передавать персональные данные Гостей третьим лицам в следующих случаях:
- если раскрытие этой информации требуется для соблюдения закона, выполнения судебного акта;
- для оказания содействия расследований, осуществляемых правоохранительными или иными государственными органами;
-для защиты прав Клиента и Ресторана.
9. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
9.1. Ресторан обязан при обработке персональных данных принимать все необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения персональных данных, а также от иных неправомерных действий.
9.2. Для эффективной защиты персональных данных Гостей необходимо:
-соблюдать порядок получения, учёта, хранения персональных данных Гостей;
- применять технические средства охраны, сигнализации;
-заключить со всеми сотрудниками, связанным с получением, обработкой и защитой персональных данных Гостей, Соглашение о неразглашении персональных данных гостя;
- привлекать к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных Гостя.
9.3. Доступ к персональным данным Гостя, не имеющих надлежащим образом оформленного доступа, запрещается.
9.4. Документы содержащие персональные данные Гостей на бумажных носителях не хранятся, а уничтожаются после внесения данных Гостя в систему лояльности.
9.5 Защита доступа к электронным базам данных, содержащим персональные данные Гостей, обеспечивается:
-использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональных данных Гостей;
- системой паролей. Пароли устанавливаются системным администратором и сообщается индивидуально сотрудникам, имеющим доступ к персональным данным Гостей.
9.6. Копировать и делать выписки персональных данных Гостей разрешается исключительно в служебных целях с письменного разрешения генерального директора.
9.7. Сотрудникам запрещается выносить вышеуказанную информацию за пределы ресторана на бумажных, машиночитаемых и иных носителях, за исключением случаев, когда это необходимо в силу производственной необходимости для выполнения сотрудниками своих должностных обязанностей.
9.8 при работе с персональными данными Гостей сотрудники ресторана обязаны соблюдать следующие меры, предупреждающие и ограничивающие доступ к указанной информации не уполномоченных на ее получение лиц, в том числе:
- не передавать свои пароль от входа в систему управления третьим лицам;
-по окончанию работы в системе завершить сеанс пользователя;
-не допускать в открытом доступе анкет владельца дисконтной карты;
-после истечения установленного нормативно-правовыми актами Российской Федерации срока хранения документы уничтожаются на шредере, и составляется соответствующий акт.
.9. Нарушение данных обязанностей считается совершенным, когда сведения содержащие персональные данные и другую конфиденциальную информацию, стали известны лицам, которые не должны располагать такой информацией.
9.10. Ресторан обязан обеспечить хранение и защиту персональных данных Клиента от неправомерного их использования или утраты.
9.11. В случае выявления недостоверных персональных данных или неправомерных действий с ними ресторан при обращении или запросу субъекта персональных данных ресторан обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
9.12.В случае подтверждения факта недостоверности персональных данных ресторан на основании документов, предоставляемых субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
9.13. В случае выявления неправомерных действий с персональными данными ресторан в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, ресторан обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных ресторан обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
10. ОБЯЗАННОСТИ РЕСТОРАНА
10.1. Ресторан обязан:
- осуществить обработку персональных данных исключительно в целях оказания законных услуг Гостям;
- получать персональные данные непосредственно у Гостя.
-обеспечить хранение и защиту персональных данных Гостя от неправомерного их использования или утраты.
-в случаях выявления недостоверных персональных данных или неправомерных действий с ними ресторан при обращении или запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных ресторан обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
-в случае подтверждения факта недостоверности персональных данных ресторана основании документов, предоставляемых субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
- в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, ресторан обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных ресторан обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
11. ПРАВА ГОСТЯ
11.1. Гость имеет право на:
-доступ к информации о самом себе, в том числе содержащей информацию подтверждения факта обработки персональных данных, а также цель такой обработки;
- способы обработки персональных данных, применяемые рестораном;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть представлен такой доступ;
-перечень обрабатываемых персональных данных и источник их получения, сроки обработки персональных данных, в том числе сроки хранения, сведения о том. Какие юридические последствия доля Гостя может повлечь за собой обработка его персональных данных;
-определение форм и способов обработки его персональных данных;
-ограничение способов и форм обработки персональных данных;
- запрет на распространение персональных данных без его согласия;
-изменение, уточнение, уничтожение информации о самом себе;
- обжалование неправомерных действий или бездействий по обработке персональных данных и соответствующую компенсацию в судебном порядке.
12. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ ГОСТЕЙ
12.1. Сведения о персональных данных Гостей являются конфиденциальными.
12.2. Ресторан обеспечивает конфиденциальность персональных данных и обязан не допускать их распространения третьим лицам без согласия Гостей либо наличия иного законного основания.
12.4. Лица, имеющие доступ к персональным данным Гостей, обязаны соблюдать режим конфиденциальности, информация персонального характера должна предусматривать соответствующие меры безопасности доя защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.
12.5. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Гостей распространяются на все носители информации, как бумажные, так и автоматизированные.
12.6. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
13.ОТВЕТСВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ГОСТЕЙ
13.1. ресторан несёт ответственность за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.
13.2. Каждый сотрудник, получающий для работы документ, содержащий персональные данные Гостя, несёт единоличную ответственность за сохранность носителя и конфиденциальность информации.
13.3. Любое лицо может обратиться к сотруднику ресторана с жалобой на нарушение данного Положения. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в трёхдневный срок со дня поступления.
13.4. Сотрудники ресторана обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Гостей, а также содействовать исполнению требований компетентных органов.
13.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Гостей, несут дисциплинарную ответственность в соответствии с федеральными законами.