1. Общие положения
Настоящая политика конфиденциальности, условия сбора и обработки персональных данных (далее Политика) составлена в соответствии с Законом Республики Казахстан « О персональных данных и их защите» от 21 мая 2013 года N 94-V. (далее по тексту Закон о персональных данных) и определяет порядок сбора и обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ТОО «Демалыс жайы» (далее Оператор).
1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при сборе и обработке его персональных данных, в том числе реализации прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая политика применяется ко всей информации, которую Оператор может получить о посетителях интернет-ресурса https://hotel-aktobe.kz.
2. Основные понятия, используемые в Политике
2.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных.
2.3. Интернет-ресурс — информация (в текстовом, графическом, аудиовизуальном или ином виде), размещенная на аппаратно-программном комплексе, имеющем уникальный сетевой адрес https://hotel-aktobe.kz и (или) доменное имя и функционирующем в Интернете.
2.4. Накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные.
2.5. Сбор персональных данных – действия, направленные на получение персональных данных.
2.6. Обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно.
2.7. Обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.
2.8. Оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.
2.9. Персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.
2.10. Субъект персональных данных (далее – субъект) – физическое лицо — посетитель интернет-ресурса https://hotel-aktobe.kz, к которому относятся персональные данные.
2.11. Распространение персональных данных – действия, в результате совершения которых происходит передача персональных данных, в том числе посредством масс-медиа, или предоставление доступа к персональным данным каким-либо иным способом.
2.12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранных государств.
2.13. Уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные.
3. Основные права и обязанности Оператора
3.1. Оператор имеет право осуществлять сбор, обработку персональных данных в порядке, установленном Законом о персональных данных и иными нормативными правовыми актами Республики Казахстан.
3.2. Оператор обязан:
3.2.1. Утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых им задач, если иное не предусмотрено законами Республики Казахстан;
3.2.2. Утверждать документы, определяющие политику Оператора в отношении сбора, обработки и защиты персональных данных;
3.2.3. Принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
3.2.4. Соблюдать законодательство Республики Казахстан о персональных данных и их защите;
3.2.5. Предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения Оператором требований настоящего Закона;
3.2.6. Принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных Законом о персональных данных и иными нормативными правовыми актами Республики Казахстан;
3.2.7. Представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;
3.2.8. По обращению субъекта сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством Республики Казахстан;
3.2.9. В случае отказа в предоставлении информации субъекту или его законному представителю представить мотивированный ответ в сроки, предусмотренные законодательством Республики Казахстан;
3.2.10. в течение одного рабочего дня:
— изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
— блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
— уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
— снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных;
— c момента обнаружения нарушения безопасности персональных данных уведомить уполномоченный орган о таком нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии);
3.2.11. Предоставлять безвозмездно субъекту или его законному представителю возможность ознакомления с персональными данными, относящимися к данному субъекту;
3.2.12. Назначить лицо, ответственное за организацию обработки персональных данных в случае, если Оператор является юридическим лицом.
3.3. Лицо, ответственное за организацию обработки персональных данных, обязано:
3.3.1. Осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных;
3.3.2. Доводить до сведения работников Оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных;
3.3.3. Осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.
4. Основные права и обязанности субъектов персональных данных
4.1. Субъект имеет право:
4.1.1. Знать о наличии у Оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
— подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
— перечень персональных данных;
— сроки обработки персональных данных, в том числе сроки их хранения;
4.1.2. Требовать от Оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
4.1.3. Требовать от Оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
4.1.4. Требовать от Оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
4.1.5. Отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 Закона о персональных данных;
4.1.6. Дать согласие (отказать) Оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
4.1.7. На защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
4.2. Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.
5. Принципы сбора, обработки и защиты персональных данных
5.1. Сбор, обработка и защита персональных данных осуществляются в соответствии с принципами:
1) соблюдения конституционных прав и свобод человека и гражданина;
2) законности;
3) конфиденциальности персональных данных ограниченного доступа;
4) равенства прав субъектов, собственников и операторов;
5) обеспечения безопасности личности, общества и государства.
6. Цель сбора и обработки персональных данных, виды персональных данных, правовые основания и виды обработки персональных данных
Цель сбора и обработки: связь при бронировании номеров гостиницы.
Персональные данные: фамилия, имя, отчество, электронный адрес, номера телефонов.
Правовые основания: уставные (учредительные) документы Оператора, договоры или публичные оферты, заключаемые между Оператором и субъектом персональных данных.
Виды обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уничтожение и обезличивание персональных данных.
7. Условия сбора, обработки персональных данных
7.1. Сбор, обработка персональных данных осуществляются Оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных п.5 ст.7 и ст. 9 Закона о персональных данных.
7.2. Сбор, обработка персональных данных умершего (признанного судом безвестно отсутствующим или объявленного умершим) субъекта осуществляются в соответствии с законодательством Республики Казахстан.
7.3. Обработка персональных данных в виде трансграничной передачи персональных данных, за исключением случаев, предусмотренных статьей 16 Закона о персональных данных, распространения персональных данных в общедоступных источниках, а также их передачи третьим лицам осуществляется при условии согласия субъекта.
7.4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
7.5.Не подлежат обработке персональные данные, содержание и объем которых являются избыточными по отношению к целям их обработки.
7.6. Запрещаются сбор, обработка копий документов, удостоверяющих личность, на бумажном носителе, за исключением случаев отсутствия интеграции с объектами информатизации государственных органов и (или) государственных юридических лиц, невозможности идентификации субъекта с использованием технологических средств, а также в иных случаях, предусмотренных законами Республики Казахстан.
8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных
8.1. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных электронным способом, позволяющим подтвердить получение согласия.
8.2. Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.
8.3. Согласие на сбор и обработку персональных данных включает:
1) наименование и БИН Оператора;
2) фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта;
3) срок или период, в течение которого действует согласие на сбор, обработку персональных данных;
4) сведения о возможности Оператора или ее отсутствии передавать персональные данные третьим лицам;
5) сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;
6) сведения о распространении персональных данных в общедоступных источниках;
7) перечень собираемых данных, связанных с субъектом;
8) иные сведения, определяемые собственником и (или) оператором.
9. Перечень действий, производимых Оператором с полученными персональными данными
9.1. Оператор и третье лицо, предоставляющее модуль бронирования, осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), обезличивание, блокирование, удаление и уничтожение персональных данных.
9.2. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
10. Трансграничная передача персональных данных
10.1. Трансграничная передача персональных данных – передача персональных данных на территорию иностранных государств.
10.2. В соответствии с Законом о персональных данных трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.
10.3. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:
10.3.1. наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;
10.3.2. Предусмотренных международными договорами, ратифицированными Республикой Казахстан;
10.3.3. Предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;
10.3.4. Защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.
10.4. Трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена законами Республики Казахстан.
10.5. Особенности трансграничной передачи служебной информации об абонентах и (или) пользователях услуг связи определяются Законом Республики Казахстан «О связи».
11. Конфиденциальность персональных данных
11.1. Операторы, а также третьи лица, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания.
12. Заключительные положения
12.1. Субъект может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты reception@hotel-aktobe.kz.
12.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
12.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://hotel-aktobe.kz.