В этой политике конфиденциальности («политика конфиденциальности») мы описываем, как Smart Hotel OÜ («предприятие») обрабатывает персональные данные своих сотрудников, клиентов или людей, которые иным образом сотрудничают с предприятием, и какие меры мы принимаем для защиты личных данных.
Персональные данные обрабатываются в соответствии с Общим регламентом о защите данных (регламент (ЕС) 2016/679) и другими национальными и европейскими законами и положениями о конфиденциальности (в совокупности «Закон о защите данных»). Компания принимает физические, технические и организационные меры для защиты персональных данных от незаконного или несанкционированного уничтожения, потери, изменения, разглашения, приобретения или несанкционированного доступа.
1.ОБЪЕМ
Эта политика конфиденциальности распространяется на все персональные данные, которые мы обрабатываем в качестве ответственного обработчика.
Компания обрабатывает, например, персональные данные сотрудников, временных работников, физических лиц-предпринимателей, кандидатов на должности и должности и работу, контактных лиц поставщиков, клиентов и гостей, а также других партнеров.
2.ЦЕЛЬ
Цель данной политики конфиденциальности — объяснить, какую личную информацию мы обрабатываем, а также как и почему мы это делаем. Кроме того, эта политика конфиденциальности описывает наши обязательства и обязанности по защите данных.
ПОНЯТИЯ
В настоящей политике конфиденциальности применяются следующие определения:
ЕЭП — Европейское экономическое пространство
GDPR — это общий регламент ЕС по защите данных (general data protection regulation, EU 2016/679), применение которого начато 25 мая 2018 года.
Персональные данные — это любые данные и информация, относящиеся к физическому лицу, т.е. человеку, позволяющие установить его личность. Лицо может быть идентифицировано, если его личность может быть идентифицирована в разумных пределах на основе данных без чрезмерных усилий. Идентификация может основываться, например, на имени, личном коде, информации о местоположении, сетевом идентификаторе или физическом, физиологическом, генетическом, психическом, экономическом, культурном или социальном идентификаторе или комбинации таких идентификаторов.
Особые категории персональных данных – это персональные данные, раскрывающие расовое или этническое происхождение человека, политические взгляды, религиозные или философские убеждения или членство в профсоюзе, а также генетические, биометрические данные, используемые для уникальной идентификации, данные о состоянии здоровья или данные о сексуальной жизни и сексуальной ориентации.
Нарушение, связанное с личными данными, означает нарушение безопасности, приводящее к непреднамеренному или незаконному уничтожению, потере, изменению, разглашению или несанкционированному доступу к персональным данным, которые передаются, хранятся или иным образом обрабатываются.
Клиент — это физическое лицо, которому компания предоставляет услуги и / или товары в связи со своей хозяйственной деятельностью.
Третье лицо — физическое или юридическое лицо, государственное учреждение, департамент или орган, отличный от субъекта данных, ответственного или уполномоченного обработчика и лиц, которые могут обрабатывать персональные данные под непосредственным руководством ответственного или уполномоченного обработчика.
Партнер по сотрудничеству — физическое лицо, являющееся сотрудником / представителем / контактным лицом поставщика предприятия или другого партнера по сотрудничеству.
Данные карты посетителя — данные, требуемые Законом о туризме, о госте учреждения размещения: имя, дата рождения, гражданство и адрес; имя, дата рождения и гражданство проживающего с ним супруга и несовершеннолетнего; время предоставления услуги размещения; если это не Эстония, государство-член ЕЭП или гражданин Швейцарии или иностранец, проживающий в Эстонии на основании вида на жительство или права на жительство, то также: тип и номер проездного документа и страны выдачи.
Анализ профиля означает любую автоматизированную обработку персональных данных, включающую использование персональных данных для оценки определенных личных аспектов физического лица, в частности, для анализа или прогнозирования аспектов, касающихся работы, финансового положения, состояния здоровья, личных предпочтений, интересов, надежности, поведения и местоположения данного лица.
Обработка — действие или набор действий, выполняемых с персональными данными, таких как сбор, документирование, организация, структурирование, хранение, применение и изменение, составление запросов, прочтение, использование, разглашение, передача, распространение или иное объединение или агрегирование, ограничение, удаление или уничтожение иным способом. Обработка может быть выполнена вручную или с использованием автоматизированных систем, таких как ИТ-системы.
Подрядчик — это физическое лицо (т.е. не предприятие), с которым компания заключила трудовой договор (договор на оказание услуг), включая членов органов управления компании.
Ответственный обработчик — это лицо, которое решает, почему и как (т.е. для каких целей и каким образом) обрабатываются персональные данные. Ответы на следующие вопросы могут быть полезны при назначения ответственного обработчика.
— Кто решает, какие личные данные сохраняются?
— Кто решает, для каких целей используются личные данные?
— Кто решает, как обрабатываются личные данные?
Если человек сам принимает решение об обработке персональных данных, находящихся в его распоряжении, и несет ответственность за них, он является ответственным обработчиком.
Уполномоченный обработчик — это лицо, которое обрабатывает персональные данные от имени ответственного обработчика. Если личные данные находятся во владении или обработке лица, но он не имеет полномочий принимать решение об их обработке, то есть он обрабатывает их в соответствии с инструкциями ответственного обработчика, это лицо является уполномоченным обработчиком. Уполномоченным обработчиком может быть, например, поставщик услуг (например, поставщик услуг по расчету заработной платы).
3.КАТЕГОРИИ ЛИЧНЫХ ДАННЫХ
3.1 Работники и подрядчики
Компания обрабатывает персональные данные своих сотрудников, кандидатов на должности и работу (например, членов правления) и подрядчиков, а также бывших сотрудников и бывших подрядчиков.
Эти персональные данные включают в себя следующее:
- личные данные, такие как имя, дата рождения, реквизиты банковского счета, данные визы / паспорта / ИД-карты или копии соответствующего документа;
- контактные данные, такие как адрес и номер телефона, адрес электронной почты;
- данные личного дела, в том числе: условия трудовых отношений, данные об обучении, служебные аттестации / оценки, продвижения по службе, планы личного развития, поведенческие и дисциплинарные данные, место работы, данные о зарплате, данные банковского счета, а также номер налогоплательщика и личный код;
- данные об истории занятости / заявке на работу, такие как образование и предыдущая история трудовых отношений;
- данные о членах семьи, такие как даты рождения и имена детей (они важны, например, если человек подает заявление на отпуск по уходу за ребенком);
- данные о производительности, такие как ежегодные обзоры заработной платы сотрудников и т. д.
- специальные виды персональных данных: медицинские справки и больничные листы;
3.2 Клиенты
Предприятие обрабатывает персональные данные своих клиентов. Эти персональные данные могут включать в себя:
- личные данные, такие как имя, дата рождения / личный код;
- контактные данные, такие как адрес и номер телефона, адрес электронной почты;
- данные карты гостя;
- данные кредитной карты, такие как номер, срок действия, CVV;
- записи с камер наблюдения в зонах, охваченных видеонаблюдением.
Мы используем на нашем сайте куки. Вы можете прочитать о политике куки здесь.
3.3 Партнеры по сотрудничеству
Предприятие обрабатывает персональные данные своих партнеров. Эти персональные данные могут включать в себя:
- Личные данные представителей и контактных лиц партнеров, такие как имя, название должности, должность, профессиональные идентификационные номера, отдел, бизнес-единица (включая контактные данные, собранные для обучения / проверки);
- контактная информация, такая как адрес электронной почты, номера телефонов и место работы;
- ЦЕЛИ ОБРАБОТКИ ЛИЧНЫХ ДАННЫХ
Предприятие обрабатывает персональные данные для тех целей, для которых они были собраны.
Мы обрабатываем персональные данные сотрудников, например, в следующих целях:
- выполнение обязательств работодателя, предусмотренных Законом о трудовых договорах для предприятий;
- расчет заработной платы и пособий;
- управление кадровой деятельностью, производительностью и навыками;
- внутренние аудиты;
Мы обрабатываем личные данные клиентов и партнеров, например, по следующим причинам:
- выполнение обязательств учреждения по размещению, предусмотренных Законом о туризме (например, заполнение гостевых карт и сохранение их в течение 2 лет);
- подготовка договора, заключенного с клиентом / партнером по сотрудничеству, и его выполнение;
- маркетинг и связи с общественностью;
- улучшение товаров и услуг предприятия;
- разработка бизнес-стратегии;
- обеспечение защиты и безопасности имущества предприятия, наших клиентов и сотрудников, включая предотвращение и обнаружение незаконного и / или преступного поведения по отношению к предприятию или нашим клиентам и сотрудникам.
5. ПРАВА СУБЪЕКТА ДАННЫХ
На основании Закона о защите личных данных у людей есть определенные права в отношении своих персональных данных.
5.1. Право на ознакомление с данными — Вы имеете право знать, какие Ваши хранятся и как они обрабатываются.
5.2. Право на исправление данных — Вы имеете право запросить исправление Ваших личных данных, если они неверны.
5.3. Право на удаление данных («право быть забытым») — в определенных случаях Вы имеете право потребовать, чтобы мы удалили Ваши персональные данные (например, если они нам больше не нужны, Вы можете отозвать свое согласие на их обработку и т. д.).
5.4. Право ограничивать обработку — В некоторых случаях вы имеете право запретить или ограничить обработку ваших персональных данных в течение определенного периода времени (например, если вы возражали против обработки).
5.5. Право на предоставление возражения — в зависимости от конкретной ситуации Вы имеете право предоставить возражение против обработки Ваших персональных данных, если это отвечает нашим законным интересам или общественным интересам. Возражения против обработки персональных данных в целях прямого маркетинга могут быть выдвинуты в любое время.
5.6. Право на передачу данных — если обработка персональных данных основана на согласии лица или заключенном с предприятием договоре, и данные обрабатываются автоматически, то лицо имеет право получать касающиеся его персональные данные, которые он предоставил ответственному обработчику, в структурированном, общедоступном формате и в машинно-читаемой форме, а также предоставить эти данные другому ответственному обработчику. Он также имеет право требовать от предприятия передачи данных непосредственно другому ответственному обработчику, если это технически осуществимо.
6. ПУБЛИКАЦИЯ ЛИЧНЫХ ДАННЫХ
Предприятие может время от времени разглашать персональные данные третьим лицам или иметь доступ к персональным данным, обрабатываемым ими в компании (например, если правоохранительный орган или Инспекция по защите личных данных подают действующее требование на получение доступа к персональным данным).
Компания также может делиться личными данными: (a) с лицом, принадлежащим к тому же концерну, что и предприятие (например, материнская компания и дочерние предприятия, конечный бенефициар группы и ее дочерние компании); (б) с определенными другими сторонами, включая деловых партнеров, поставщиков и подрядчиков; (c) с другими сторонами, когда мы продаем или покупаем другие предприятия или имущество (то есть при осуществлении сделок), или (d) когда у предприятия есть юридическое обязательство разглашать персональные данные (это включает обмен информацией с другими предприятиями и организациями для предотвращения мошенничества).
Если предприятие заключает договора с другими сторонами на обработку персональных данных от имени компании, оно должно обеспечить наличие соответствующих договорных гарантий для защиты персональных данных.
7.СОХРАНЕНИЕ ЛИЧНЫХ ДАННЫХ
Компания обязана хранить персональные данные только до тех пор, пока это считается необходимым для целей, для которых они были собраны. Персональные данные хранятся в соответствии с действующим законодательством и политикой компании.
При хранении персональных данных компания придерживается следующих критериев:
- сколько времени необходимо хранить персональные данные для предоставления собственных услуг
- если у лица есть учетная запись или карта клиента, мы храним личные данные на протяжении всего периода действия учетной записи / карты или до тех пор, пока они необходимы для оказания услуг
- если компания имеет юридическое, договорное или иное аналогичное обязательство хранить персональные данные, то до тех пор, пока это необходимо для выполнения такого обязательства
- после прекращения договорных отношений мы сохраняем определенные данные до тех пор, пока лицо (субъект данных) или само предприятие имеет право по договору предоставить требование против другой стороны
Некоторые примеры:
- В соответствии с требованиями Закона о туризме мы храним данные карты посетителя в течение 2 лет с момента ее заполнения.
- В соответствии с требованиями Закона о трудовом договоре мы храним письменные документы о трудовом договоре в течение 10 лет после прекращения трудового договора.
- Мы храним данные кредитной карты до выполнения договора между нами об услугах размещения.
8.ОТВЕТСТВЕННОСТЬ
Предприятие несет ответственность за обработку персональных данных. Общая ответственность за соблюдение этой политики конфиденциальности внутри предприятия лежит на руководстве, которое определяет основной контакт, касающийся (i) обработки персональных данных сотрудников и служащих; (ii) обработка персональных данных клиентов и партнеров и (iii) безопасность персональных данных, обрабатываемых на предприятии.
Все сотрудники предприятия, которые соприкасаются с обработкой персональных данных, обязаны соблюдать самую последнюю опубликованную версию настоящей политики конфиденциальности.
Если у Вас возникнут какие-либо вопросы относительно информации, изложенной в настоящей политике конфиденциальности, или Вы хотите подать заявку на осуществление прав субъекта данных, свяжитесь с нами по адресу .
Дата: 05.05.2020