Перевод с литовского
Одобренный
Распоряжением генерального директора Airhotel № DS26 от 02.05.2018
AIRHOTEL UAB
ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
1. ОПРЕДЕЛЕНИЕ ТЕРМИНОВ
1.1. Политика конфиденциальности — данные правила обработки ерсональных данных, а также информации об использовании файлов куки, опубликованной на веб-сайте
https://www.airhotel.lt.
1.2. Веб-сайт — веб-сайт по адресу https://www.airhotel.lt, на котором гости Airhotel UAB могут забронировать гостиничный номер / номера для проживания и дать согласие на обработку своих персональных данных для целей прямого маркетинга.
1.3. Контролер данных — юридическое или физическое лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. В данной Политике конфиденциальности обработчик данных — Airhotel UAB, код юридического лица: 302598948, юридический адрес офиса: Oro uosto g. 2, 54460, Кармелава, Каунасский район, контактные данные: эл. п. info@airhotel.lt, тел. № +370 691 70775.
1.4. Субъект данных — гость отеля, персональные данные которого обрабатываются Контроллером данных для электронной торговли и прямого маркетинга.
1.5. Обработчик данных — юридическое или физическое лицо, обрабатывающее персональные данные от имени Контролера данных в соответствии с полномочиями,
предоставленными ему в целях реализации поставленных целей.
1.6. Персональные данные —любая информация, относящаяся к физическому лицу (Субъекту данных), который может быть идентифицирован такими данными, как: имя, фамилия, адрес электронной почты, номер телефона и т. д..
1.7. Обработка данных — любая операция, выполняемая с персональными данными: сбор, запись, накопление, хранение, изменение (дополнение или исправление), предоставление, использование или любое другое действие, набор действий.
1.8. Прямой маркетинг — деятельность, предназначенная для предложения товаров или услуг физическим лицам по почте, телефону или любым другим прямым способом и / или для получения их мнения о предлагаемых товарах или услугах.
1.9. Согласие — означает добровольное указание Субъекта данных, указывающее на его согласие на обработку его Персональных данных для известных ему целей. Его согласие в
отношении особых категорий Персональных данных должно быть четко выражено в письменной или эквивалентной форме или в любой другой форме, дающей однозначное подтверждение свободной воли Субъекта данных.
1.10. Третьи лица — юридическое или физическое лицо, государственный орган, агентство или другое учреждение, которые не являются субъектом данных, контроллером данных,
обработчиком данных и лиц, которые уполномочены обрабатывать персональные данные под непосредственным руководством контроллера или процессора данных;
1.11. Файлы куки (англ. cookie) — это небольшой набор данных, которые предоставляются с этого веб-сайта и хранятся на компьютере посетителя или другом устройстве.
1.12. Работник — лицо, заключившее трудовой договор с ЗАО «Air Hotel».
1.13. Надзорный орган — государственная инспекция по защите персональных данных.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. В соответствии с данной Политикой конфиденциальности Контролер данных стремится обеспечить, чтобы Персональные данные Субъекта данных обрабатывались точно, справедливо и законно и собирались для определенных и законных целей, определенных в данной Политике конфиденциальности, а затем не обрабатывались в целях, несовместимых с определенными целями.
2.2. Цель обработки персональных данных — электронная торговля, прямой маркетинг.
2.3. Применяя организационные и технические меры, Контролер данных должен обеспечить надлежащую безопасность Персональных данных, включая защиту от любой другой незаконной или несанкционированной обработки Персональных данных, а также от случайной или незаконной потери, уничтожения или повреждения.
2.4. Целью данной Политики конфиденциальности является установление условий для сбора, накопления и обработки Персональных данных.
2.5. Данная Политика конфиденциальности была подготовлена в соответствии с Законом Литовской Республики о защите персональных данных, Регламентом (ЕС) 2016/679
Европейского парламента и Совета от 27 апреля 2016 года, а также другими правовыми актами, регулирующими защиту. личных данных.
2.6. Контролер данных подтверждает, что при реализации данной Политики конфиденциальности должны строго соблюдаться следующие принципы обработки и защиты
Персональных данных:
2.6.1. должны быть собраны для определенных и законных целей, изложенных в правовых актах, и обрабатоватся в манере, совместимой с этими целями;
2.6.2. при сборе и обработке Персональных данных Субъекта данных должны соблюдаться принципы целенаправленности и соразмерности, не требуя от Субъекта данных
предоставления таких Персональных данных, в которых нет необходимости. Никакие чрезмерные Личные данные не должны накапливаться и обрабатываться;
2.6.3. Персональные данные Субъекта данных должны обрабатываться точно, справедливо и законно;
2.6.4. Персональные данные Субъекта данных должны быть точными и, при необходимости, в отношении обработки Персональных данных, должны постоянно обновляться; неточные или неполные Персональные данные должны быть дополнены, стерты или их дальнейшая обработка должна быть приостановлена;
2.6.5. Персональные данные субъекта данных должны храниться в форме, позволяющей идентифицировать Субъектов данных не дольше, чем это необходимо для целей, для которых данные были собраны и обработаны.
2.7. Данная Политика конфиденциальности доступна, с ней можно ознакомиться в любое время с веб-сайта https://www.airhotel.lt.
3. ПОРЯДОК СБОРА, ХРАНЕНИЯ И ИСПОЛЬЗОВАНИЯ ЛИЧНЫХ ДАННЫХ
3.1. Заказывая номер / номер в отеле, Субъект данных выражает свое согласие на то, что Контролер данных будет управлять следующими Персональными данными:
3.1.1. имя, фамилия,
3.1.2. пол;
3.1.3. пароль и секретный вопрос;
3.1.4. данные кредитной карты;
3.1.5. подлежащая уплате сумма;
3.1.6. продолжительность пребывания в отеле.
3.2. Предоставляя свои Личные данные, Субъект данных подтверждает, что они точны и полны.
3.3. Персональные данные зарегистрированных Субъектов данных, полученные с целью, указанной в пункте 3.1. Политики конфиденциальности, хранятся в течение 5 (пяти) календарных лет с даты бронирования Субъектом данных.
3.4. Субъекту данных сообщается, что для реализации этой цели задействованы Обработчики данных — компания, предоставляющая услуги по надзору за ИТ, и компания, осуществляющая постоянный надзор за программным обеспечением отеля PROTEL.
3.5. Контролер данных должен предоставить Департаменту статистики Литовской Республики следующие данные: количество субъектов данных; состояние, из которого прибыли субъект (-ы) данных, цель прибытия, продолжительность пребывания в отеле.
3.6. Вводя свой адрес электронной почты на веб-сайте, Субъект данных соглашается с тем, что Контролер данных обрабатывает относящиеся к нему Персональные данные, предоставленные ниже, для целей прямого маркетинга:
3.6.1. адрес электронной почты;
3.6.2. имя, фамилия.
3.7. Персональные данные, полученные в целях прямого маркетинга, хранятся в течение 3 (трех) календарных лет с даты предоставления Персональных данных.
3.8. Контролер данных подтверждает, что Персональные данные должны собираться только непосредственно от Субъекта данных и не должны собираться из других источников.
3.9. Контролер данных обязуется не разглашать Персональные данные, обрабатываемые третьим сторонам, за исключением случаев, указанных ниже:
3.9.1. Субъект данных дал свое согласие на передачу своих Личных данных;
3.9.2. передача Персональных данных необходима для заключения или исполнения контракта между Контролером данных и Третьими лицами в интересах Субъекта данных;
3.9.3. правоохранительным органам в соответствии с требованиями правовых актов;
3.9.4. передача необходима для предотвращения или расследования уголовных преступлений.
4. ОСУЩЕСТВЛЕНИЕ ПРАВ СУБЪЕКТА ДАННЫХ
4.1. Считается, что Субъект данных принял к сведению данную Политику конфиденциальности и прочитал ее, когда он / она выразил свое согласие на обработку своих Личных данных.
4.2. Субъект данных предоставляет Контролеру данных право собирать, контролировать, обрабатывать и хранить Личные данные, касающиеся его или ее, в таком объеме и для таких
целей, как это определено в данной Политике конфиденциальности.
4.3. Субъект данных может в любое время отменить согласие собирать, контролировать, обрабатывать и хранить относящиеся к нему Персональные данные, а данные обрабатываемые для прямого маркетинга Субъект данных может отменить без какого-либо дополнительного подтверждения, обратившись к Контролеру данных в письменной форме одним из следующих способов: 1) получив доступ к учетной записи на сайте; 2) в случае прямого маркетинга — нажав на ссылку «Отменить подписку»; 3) по почте или доставив запрос непосредственно по адресу: Oro uosto g. 2, 54460, Karmėlava, Kauno raj., 4) по электронной почте: info@airhotel.lt с того же адреса электронной почты, который был зарегистрирован в момент регистрации.
4.4. Контролер данных полученив такой запрос от Субъекта данных должен немедленно прекратить обработку Личных данных и уничтожить все Личные данные, касающиеся Субъекта данных. Контролер данных имеет право не удалять Персональные данные с сервера, если у них есть законное основание для их хранения, особенно когда это необходимо для обеспечения безопасности и защиты государства, общественного порядка, предотвращения преступлений, обнаружения или судебного преследования, защищать важные экономические финансовые интересы государства, для защиты прав и свобод других лиц.
4.5. Субъект данных, должним образом себя идентифицировав и представив Контролеру данных документ, удостоверяющий личность, или его копию, надлежащим образом заверенную нотариусом, которая используется только для идентификации и не подлежит хранению, имеет право ознакомиться с его собранными Персональными данными, и включая информацию связанную с управлением ими, но не ограничиваясь: 1) целями обработки Персональных данных; 2) соответствующими категориями Персональных данных; 3) предполагаемыми сроками хранения Персональных данных; 4) когда личные данные собираются не от самого субъекта данных, а от всей доступной информации об их источниках и т. д.
4.6. Субъект данных должен подать запрос об ознакомлении с собственными Персональными данными Контролеру данных одним из следующих способов: 1) по почте или 2) с доставкой непосредственно по адресу Oro uosto g. 2, 54460, Кармелава, Каунасский Район.
4.7. Если другое лицо хочет получить доступ к Персональным данным Субъекта данных, он должен предоставить доверенность, заверенную нотариусом, Персональные данные
предоставляются адвокату только после составления соглашения о представительстве с указанной целью использования Персональных данных.
4.8. Получив запрос от Субъекта данных, Контролер данных должен ответить ему в течение 30 календарных дней с даты запроса субъекта данных. В ответе указывается, обрабатывались ли Персональные данные субъекта данных, и если да, то какие данные и кому они были предоставлены в течение последнего 1 (одного) календарного года. Ответ предоставляется бесплатно.
4.9. Если после ознакомления с Персональными данными Субъекта данных он обнаруживает, что его Персональные данные собираются или получены из незаконных источников или что Персональные данные обрабатываются не для тех целей, для которых было дано Согласие, Субъект данных имеет право обратиться к Контролеру данных по электронной почте — info@airhotel.lt с просьбой приостановить такие действия по обработке Персональных данных и (или) удалить Персональные данные, касающиеся его. Контролер данных должен проверить запрос Субъекта данных и, обнаружив запрос обоснованным, незамедлительно, но не позднее, чем в течение 5 рабочих дней, удовлетворить запрос Субъекта данных и должен сообщить о предпринятых действиях в письменной форме.
4.10. Если Субъект данных после ознакомления с его Персональными данными обнаружит, что его Персональные данные являются неточными или неполными, он имеет право при
надлежащей идентификации себя в письменной форме обратиться к Обработчику данных с просьбой исправлять и / или дополнять Личные данные, касающиеся его. Контролер данных, обнаружив, что запрос обоснован, должен исправить или дополнить Персональные данные незамедлительно, но не позднее, чем в течение 5 рабочих дней, и должен сообщить о предпринятых действиях в письменной форме.
4.11. Субъект данных имеет право требовать, чтобы Контролер данных «забыл» его, а именно удалил все относящиеся к нему Персональные данные, если эти Персональные данные не нужны для цели, для которой они были собраны и обработаны. или если Субъект данных отзывает данное Согласие, или если Персональные данные обрабатываются с нарушением требований правовых актов. Контроллер данных должен удовлетворить такой запрос незамедлительно, но не позднее, чем в течение 5 рабочих дней, и информирует о предпринятых действиях в письменной форме.
4.12. Субъект данных имеет право получать относящиеся к нему Персональные данные, которые он предоставил Контроллеру данных, в структурированном, широко используемом и
машиночитаемом формате и имеет право передавать эти данные другому Контроллеру данных без помех со стороны Контроллера данных, которому были предоставлены Персональные данные.
4.13. Запрос Субъекта данных относительно производства структурированных Персональных данных должен быть представлен Контролеру данных в письменном виде одним из следующих способов: 1) по почте или 2) доставкой непосредственно по адресу Oro uosto g. 2, 54460, Кармелава, Каунасский Район. Получив запрос от Субъекта данных, Контролер данных должен ответить ему в течение 30 календарных дней с даты запроса Субъекта данных. Субъект данных имеет право попросить, чтобы Контроллер данных передал Персональные данные непосредственно другому Контроллеру данных, но только в том случае, если это технически возможно.
4.14. Если Субъект данных считает, что его законные интересы были нарушены при обработке его Персональных данных, он имеет право обратиться в контролирующий орган.
5. ФАКТОРЫ РИСКА НАРУШЕНИЯ ЗАЩИТЫ ЛИЧНЫХ ДАННЫХ И ИХ РЕШЕНИЯ
5.1. Контроллер данных, стремясь обеспечить надлежащую защиту Персональных данных, должен принять следующие организационные и технические меры для защиты Персональных данных:
5.1.1. Организационное:
5.1.1.1. Контролер данных должен организовать рабочую процедуру таким образом, чтобы обеспечить безопасную передачу компьютерных данных и / или управление и передачу документов и архивов;
5.1.1.2. доступ к Персональным данным Субъекта данных предоставляется только тем Сотрудникам, которые в них нуждаются для выполнения своих рабочих обязательств, и только тем, кто подписал соглашения о конфиденциальности и приняли к сведению другие внутренние правила процедуры обработки Персональных данных.
5.1.2. Технические:
5.1.2.1. Обработчики данных (поставщики услуг), назначенные Контроллером данных, действуют только в пределах полномочий, предоставленных Контроллером данных.
5.1.2.2. Персональные данные должны быть защищены от потери, несанкционированного использования и изменений. Интернет-соединение должно быть зашифровано, и веб-сайт должен работать через https: // протокол.
5.1.2.3. должна быть обеспечена защита компьютерного оборудования от вредоносных программ (например, установка, обновление антивирусных программ), а интрасеть должна быть защищена брандмауэром.
6. ИСПОЛЬЗОВАНИЕ КУКИ
6.1. Файлы куки используются на веб-сайте в статистических целях для оценки потока кликов и популярности отдельного контента. Такая обработка Персональных данных не позволяет прямо или косвенно выяснить личность пользователя сайта.
6.2. На веб-сайте могут использоваться куки следующего типа:
6.2.1. сессионные куки — они создаются, когда пользователь начинает сеанс просмотра на веб-сайте или в браузере, и удаляются при закрытии браузера;
6.2.2. постоянные куки — куки хранятся на устройстве, используемом пользователем. После закрытия браузера или веб-сайта куки не удаляются. Эти куки действительны в течение определенного времени, в зависимости от самого куки;
6.2.3. собственные куки — куки, которые используются или создаются веб-сайтом, который посещает пользователь. Эти куки используются для адаптации к потребностям
пользователя веб-сайта;
6.2.4. сторонние куки — куки других веб-сайтов, размещаемые на веб-сайте, который посещает пользователь. Куки этого типа чаще всего используются для анализа данных. В Facebook и Google сторонние куки встречаются чаще всего.
6.3. Пользователь сайта может удалить куки со своего компьютера или заблокировать их в своем интернет-браузере; однако блокирование файлов cookie может нарушить доступ пользователя к определенным функциям веб-сайта или их работе, что в результате может сделать просмотр неэффективным или невозможным.
7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Данная политика конфиденциальности должна пересматриваться каждые 2 (два) года и при необходимости обновляться.
7.2. Данная политика конфиденциальности регулируется правовыми актами, директивами и правилами, принятыми Литовской Республикой и Европейским Союзом.
7.3. Данная политика конфиденциальности вступает в силу со 2 мая 2018 года и будет опубликована на веб-сайте.
СПИСОК МЕР ДЛЯ ЗАЩИТЫ ЛИЧНЫХ ДАННЫХ
1. Незаконный физический доступ к компьютерному оборудованию:
1.1. помещения запираются;
1.2. в помещениях установлена сигнализация;
1.3. обеспечен контроль доступа людей в помещения (физический или электронный).
2. Незаконные пользователи программного обеспечения:
2.1. установлен порядок вход пользователя;
2.2. контролируется право пользователей на использование программного обеспечения.
3. Незаконный вход пользователя в сеть:
3.1. внутренняя сеть интрасети защищена межсетевыми экранами;
3.2. контролируется вход сотрудников во внутреннюю сеть;
3.3. контролируется присоединение для третих лиц.
4. Кража:
4.1. физический доступ к серверам ограничен;
4.2. ограничен программный доступ к данным.
5. Программные ошибки:
5.1. используется сертифицированное программное обеспечение;
5.2. используемое программное обеспечение обновляется в установленном порядке.
6. Вредоносные программы:
6.1. на серверах установлено антивирусное программное обеспечение;
6.2. на рабочих станциях установлено антивирусное программное обеспечение;
6.3. сотрудники ознакомлены с порядком действий в случае атаки вредоносной программы.
7. Использование неавторизованного программного обеспечения:
7.1. используется только законное программное обеспечение;
7.2. контроль используемого программного обеспечения постоянно осуществляется на рабочих станциях;
7.3. сотрудникам не предоставлено право самостоятельно устанавливать программное обеспечение.
8. Ошибки пользователей:
8.1. сотрудники обучены работе с программным обеспечением.
9. Сбои передачи данных сетевого оборудования:
9.1. оборудование обслуживается в соответствии с рекомендациями производителя;
9.2. техническое обслуживание и устранение неисправностей выполняется
квалифицированными специалистами;
9.3. состояние сети передачи данных контролируется.
10. Неисправность компьютерной техники:
10.1. оборудование обслуживается в соответствии с рекомендациями производителя;
10.2. техническое обслуживание и устранение неисправностей выполняется
квалифицированными специалистами;
10.3. резервное копирование самого важного программного обеспечения;
10.4. постоянно контролируется техническое состояние самого важного компьютерного оборудования.
11. Наводнение:
11.1. соответствующим образом спроектированы и установлены помещения для хранения
самого важного компьютерного оборудования.
12. Огонь:
12.1. в помещениях находятся огнетушители;
12.2. детекторы дыма и тепла установлены в помещениях здания.
13. Колебания температуры и влажности:
13.1. система кондиционирования установлена в помещениях, где расположены сервера;
13.2. постоянно контролируются колебания температуры и влажности;
13.3. система кондиционирования поддерживается в соответствии с требованиями производителя.
14. Стихийное бедствие:
14.1. подготовлен план по восстановлению деятельности.
15. Перебои в электроснабжении:
15.1. источники бесперебойного питания (ИБП) доступны для самого важного компьютерного оборудования;
15.2. состояние блока питания контролируется.
16. Сбои в коммуникациях и питании:
16.1. кабели в изоляционных оболочках;
16.2. кабели данных и электричества надежно разделены.
