Конфиденциальность данных клиентов

Цель политики конфиденциальности Mogotel Hotel Group AS – предоставить физическому лицу (субъекту данных) информацию о целях обработки персональных данных, их объеме, защите, сроке обработки и правах субъекта данных во время получения и обработки данных, а также при передаче данных государственным учреждениям или другому администратору данных.

1.    Администратор и его контактная информация

1.1.    Администратором обработки персональных данных является Mogotel Hotel Group AS (далее в тексте – Администратор), единый регистрационный номер: 40103376919, юридический адрес: Latgales iela, 240–3, Рига, LV-1063, Латвия, телефон: +371 67259918, интернет-страница: https://www.mogotel.com/.
1.2.    Контактная информация специалиста Администратора по защите данных для решения вопросов, связанных с обработкой персональных данных: dpo@mogotel.com. 

2.    Применимые нормативно-правовые акты

2.1.    Регламент Европейского парламента и Совета № 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных (далее в тексте – Регула);
2.2.    закон «Об обработке данных физических лиц» (провозглашен 4 июля 2018 г.).

3.    Цели обработки персональных данных. Категории персональных данных, обрабатываемых контролером

3.1 Предоставление услуг:
3.1.1. для идентификации клиента - обрабатываются данные документа, удостоверяющего личность клиента; 
3.1.2. для подготовки и заключения договора - имя, фамилия, персональный код или дата рождения клиента, адрес для корреспонденции или адрес декларированного места жительства, номер телефона, адрес электронной почты, перечень планируемых услуг, номер банковского счета, телефон, информация электронной связи, запись голоса;
3.1.3. для предоставления, поддержки клиентов по телефону и электронной связи - обрабатываются имя, фамилия, персональный код или дата рождения клиента, номер телефона, адрес электронной почты, перечень полученных или планируемых услуг, телефон, информация об электронной связи между клиентом и работником;
3.1.4. при заселении в отель обрабатываются данные документа, удостоверяющего личность клиента (имя, фамилия, персональный код или дата рождения, гражданство и его тип, страна проживания, тип документа, серия, номер, страна выдачи, дата выдачи, срок действия, дата заезда в отель, дата выезда из отеля), номер телефона, адрес электронной почты, регистрационный номер автомобиля;
3.1.5. для администрирования платежей - обрабатываются имя, фамилия, персональный код или дата рождения клиента, адрес электронной почты, перечень полученных услуг, номер банковского счета, информация об администрировании платежей;
3.1.6. при обработке претензий - имя, фамилия, персональный код или дата рождения клиента, адрес для корреспонденции или адрес заявленного места жительства, номер телефона, адрес электронной почты, список полученных услуг, информация об администрировании платежей, телефон, информация об электронной связи, запись голоса;
3.1.7. для рекламы и распространения услуг или коммерческих целей/ удержания и лояльности клиентов, измерения удовлетворенности - обрабатываются имя, фамилия, адрес электронной почты клиента, список полученных услуг, язык, место нахождение и описание услуги;
3.1.8. для улучшения качества услуг и разработки новых видов услуг - обрабатываются имя, фамилия, номер телефона, адрес электронной почты, должность представителя партнера; 
3.1.9. для обслуживания и улучшения домашней страницы - обрабатываются данные посетителя домашней страницы о посещении домашней страницы (cookies).

3.2 Бизнес-планирование и аналитика:
3.2.1. для изучения рынка и общественного мнения/ измерения эффективности - обрабатывается имя клиента, адрес электронной почты;
3.2.2. для планирования и учета - имя работника, должность.

3.3.    Выполнение требований нормативно-правовых актов, ответы на запросы органов государственной власти, защита интересов в государственных и местных органах и учреждениях, представительство в судебных процессах - обрабатываются имя, фамилия, персональный код или дата рождения, адрес для корреспонденции или декларированный адрес места жительства субъекта данных, номер телефона, адрес  электронной почты, а также другая информация, которая находится в распоряжении Администратора в целях выполнения юридического обязательства, возложенного на Администратора, для ответа на запросы государственных органов или которая находится в распоряжении Администратора и которую Администратор имеет право использовать для защиты своих интересов в порядке, установленном нормативными актами. 
3.4. Управление бизнесом, бухгалтерский учет, ведение записей, архивирование данных и внутренние процессы Администратора - имя, фамилия, персональный код или дата рождения, адрес для корреспонденции или адрес декларированного места жительства, номер телефона, адрес электронной почты, должность, номер банковского счета, информация об оплате, перечень полученных и/или планируемых услуг, а также другая информация, которой Администратор располагает и обязан/имеет право обрабатывать/архивировать в соответствии с положениями законов и нормативных актов.
3.5. Трудовые отношения и прием на работу - имя, фамилия, персональный код или дата рождения, пол, адрес для корреспонденции или адрес декларированного места жительства, знание языков, опыт работы, образование (включая курсы и сертификаты), номер телефона, адрес электронной почты, должность, а также другая информация, которую работник или кандидат на вакантную должность предоставил Администратору.
3.6 Заключение и исполнение хозяйственных договоров Администратора - обрабатываются имя, фамилия, номер телефона, адрес электронной почты, должность, номер банковского счета, информация об администрировании платежей делового партнера.
3.7 Обеспечение безопасности клиентов, работников и деловых партнеров Администратора, защита имущества Администратора - обрабатываются записи аудитации устройств контроля доступа и сигнализации, записи аудитации рабочих станций/ рабочей электронной почты/ рабочего Интернета и рабочих телефонов с данными сотрудников, записи камер видеонаблюдения (запись личного изображения/ голоса) с данными клиентов, работников и деловых партнеров.
3.8 Съемка, фотографирование и аудиозапись рабочих мероприятий, организованных Администратором - обработка изображений (фото/ видео) субъекта данных, запись голоса.
3.9. Для других конкретных целей, о которых субъект данных информируется в момент предоставления соответствующих данных Администратору.

4. Правовая основа для обработки персональных данных

4.1 Цель обработки персональных данных - предоставление услуг:
4.1.1. обработка ваших персональных данных может быть основана на согласии субъекта данных - субъект данных дал свое согласие на сбор и обработку данных для одной или нескольких конкретных целей, т.е. реклама и распространение услуг или коммерческие цели/ удержание клиентов и повышение лояльности, измерение удовлетворенности, обработка данных о посещаемости домашней страницы (cookies) (правовая основа - Статья 6(1)(a) Регулы; Закон об услугах информационного общества);
4.1.2. обработка ваших персональных данных необходима до или после заключения договора, т.е. для идентификации клиента, управления отношениями с клиентом (в том числе дистанционно по телефону и электронной связи), обеспечения заключения и исполнения договоров и осуществления сопутствующих процессов, сотрудничества с клиентами и обеспечения сопутствующих процессов, администрирования выставления счетов (правовая основа - статья 6(1)(b) Регулы; Гражданский кодекс);
4.1.3. обработка ваших персональных данных необходима для выполнения юридических обязательств, возложенных на Администратора, т.е. для идентификации субъекта данных, для обеспечения выполнения обязательства по заполнению декларации иностранца (правовая основа - статья 6(1)(c) Регулы; Закон о туризме и Постановление Кабинета министров № 226 от 3 апреля 2007 года "Положение о порядке заполнения, хранения и передачи формы декларации иностранца"); 
4.1.4. обработка ваших персональных данных необходима для обеспечения легитимных интересов Администратора, а именно: осуществление предпринимательской деятельности, предоставление услуг, удержание клиентов, сегментации клиентов для более эффективного предоставления услуг, измерения качества  предоставления услуг (в т.ч. дистанционно, посредством телефонной и электронной связи), продвижения и улучшения имиджа и услуг Администратора, обслуживания и улучшения домашней страницы, администрирования счетов, маркетинговой деятельности (правовая основа - статья 6(1)(f) Регулы, Гражданский закон).

4.2 Цель обработки персональных данных - Бизнес-планирование и аналитика:
4.2.1 обработка ваших персональных данных может быть основана на согласии субъекта данных - субъект данных дал свое согласие на сбор и обработку данных для одной или нескольких конкретных целей, например, для исследования рынка и общественного мнения/ измерения эффективности (правовая основа - статья 6(1)(a) Регулы);
4.2.2. обработка ваших персональных данных необходима для реализации легитимных интересов Администратора, т.е. для планирования развития бизнеса и ведения учета (правовая основа - статья 6(1)(f) Регулы).

4.3 Цель обработки персональных данных - Выполнение требований законодательства, ответы на запросы государственных органов, защита интересов в государственных и органах самоуправления, учреждениях, представительство в судебных процессах:
4.3.1. обработка ваших персональных данных необходима для выполнения юридических обязательств, возложенных на Администратора, т.е. предоставление ответов на запросы государственных органов, основываясь на делегированные государственным органам задачи (правовая основа - статья 6(1)(c) Регулы, национальное законодательные акты);
4.3.2. обработка ваших персональных данных необходима для реализации легитимных интересов Администратора, т.е. для защиты/ представления интересов Администратора в государственных и органах самоуправления/ учреждениях, в судебных процессах (правовое основание - статья 6(1)(f) Регулы, Закон об административной ответственности, Закон об административном процессе, Гражданский закон, Закон об уголовном процессе). 

4.4 Цель обработки персональных данных - управление, учет, ведение документации, архивирование и внутренние процессы Администратора:
4.4.1. обработка ваших персональных данных как работника может основываться на согласии субъекта данных - т.е. предоставление согласия Администратору для внутренних процессов, например, для публикации данных о дне рождения в системе управления электронными ресурсами (Интранет) (правовая основа - статья 6(1)(a) Регулы); 
4.4.2. обработка ваших персональных данных как работника/ клиента/ партнёра необходима для выполнения юридических обязательств, возложенных на Администратора, например, для обеспечения бухгалтерского учета Администратора, создания и функционирования системы оповещения, ответов на запросы субъектов данных (правовая основа - статья 6(1)(c) Регулы, статья 12 Регулы, Трудовой закон, закон о бухгалтерском учете, закон о государственном социальном страховании, закон об оповещении);
4.4.3. обработка ваших персональных данных как работника необходима для реализации легитимных интересов Администратора, т.е. для осуществления управления бизнесом и внутренними процессами Администратора, например, путем обработки ваших персональных данных, касающихся трудовых отношений, в системе управления электронными ресурсами (Интранет) (правовая основа - ст. 6(1)(f) Регулы); в качестве работника/ клиента/ партнера по сотрудничеству обработка персональных данных необходима, например, для целей архивирования документов Администратора, в том числе для создания цифрового архива. Или для реализации бизнес-процессов Администратора, например, для администрирования входящих и/ или исходящей документации (правовая основа - статья 6(1)(f) Регулы, Закон об архивах, Гражданский закон).

4.5 Цель обработки персональных данных - трудовые отношения и процесс приема на работу работника:
4.5.1. обработка ваших персональных данных необходима до или после заключения трудового договора, т.е. для обеспечения проведения конкурса по подбору персонала, заключения трудового договора с кандидатом на вакантную должность, обеспечения исполнения трудового договора и реализации прав работника (правовая основа - статья 6(1)(b) Регулы, Трудовой закон, закон об охране труда);
4.5.2. обработка ваших персональных данных необходима для выполнения юридических обязательств, возложенных на Администратора, например, обеспечения исполнения постановлений судебных приставов, расследования несчастных случаев на рабочем месте, проведения инструктажей по охране труда и пожарной безопасности, прохождения работником обязательных медицинских осмотров (правовое основание - статья 6(1)(c) Регулы, Гражданский процессуальный закон, закон об охране труда, Трудовой закон);
4.5.3. обработка ваших персональных данных необходима для обеспечения легитимных интересов Администратора, т.е. предоставляя Администратору данные в процессе найма на работу, у Администратора появляется легитимный интерес обрабатывать данные работника в обеспечении процесса отбора работников, а также в оценке работника в процессе трудовых отношений (правовое основание - статья 6(1)(f) Регулы). 

4.6 Цель обработки персональных данных - заключение и исполнение договоров для осуществления хозяйственной деятельности Администратора:
4.6.1. обработка ваших персональных данных необходима до или после заключения Договора о сотрудничестве, т.е. обработка данных для заключения и исполнения Договора о сотрудничестве (правовая основа - статья 6(1)(b) Регулы, Гражданский закон, Коммерческий закон);
4.6.2. обработка ваших персональных данных необходима для обеспечения соблюдения легитимных интересов Администратора, т.е. заключая Договор о сотрудничестве с Администратором, Администратор имеет легитимный интерес в обработке ваших данных в качестве партнёра (правовое основание - ст. 6(1)(f) Регулы, Гражданский закон, Коммерческий закон). 

4.7 Цель обработки персональных данных - обеспечение безопасности клиентов, работников и деловых партнеров Администратора, защита имущества Администратора:
4.7.1. обработка ваших персональных данных как работника посредством управления доступом необходима для исполнения трудового договора, стороной которого является работник, а именно для целей контроля рабочего времени (правовая основа - статья 6(1)(b) Регулы, Трудовой закон);
4.7.2. обработка ваших персональных данных как клиента, работника и делового партнера посредством видеонаблюдения необходима для обеспечения легитимных интересов Администратора, т.е. необходима для обеспечения защиты имущества отеля и имущества третьих лиц, находящегося в отеле, для обеспечения безопасности посетителей, для предотвращения возможных правонарушений, для фиксации факта уголовного преступления, для установления личности возможного правонарушителя (обеспечения доказательств), а также для контроля за качеством предоставления услуг (правовая основа - статья 6(1)(f) Регулы);
4.7.3. обработка записи аудитации рабочих станций необходима для обеспечения легитимных интересов Администратора, т.е., производя анализ аудитации устройств, для обеспечения защиты конфиденциальной информации, находящейся у Администратора (правовое основание - статья 6(1)(f) Регулы, Закон об обработке персональных данных);

4.8 Цель обработки персональных данных - киносъемка, фотосъемка и аудиозапись рабочих мероприятий, организуемых Администратором:
4.8.1 обработка ваших персональных данных может быть основана на согласии субъекта данных, т.е. на предоставлении Администратору согласия на проведение фото/ видеосъемки/ голосовой записи Вас и дальнейшее использование Ваших данных для продвижения имиджа Администратора (правовая основа - Статья 6(1)(a) Регулы).

5. Срок хранения данных

5.1.    Персональные данные, собранные на основании согласия субъекта данных, например, для рекламы и распространения услуг или в коммерческих целях/ удержания и повышения лояльности клиентов, измерения удовлетворенности, обработки данных о посещаемости домашней страницы (cookies), исследования рынка и общественного мнения/ измерения эффективности, публикации в системе управления электронными ресурсами (Интранет), фото/ видеосъемки/ записи голоса для продвижения имиджа Администратора, хранятся до тех пор, пока согласие субъекта данных является действительным, но не более пяти лет.
5.2. Персональные данные, полученные на основании необходимости заключения договора с субъектом данных, например договора с клиентом на оказание услуг, трудового договора или договора с деловым партнером, хранятся до момента заключения договора. В случае, если договор не заключен, все данные удаляются, а при заключении договора хранятся до окончания срока действия договора, заключенного с субъектом данных. После расторжения договора личные данные клиента хранятся в течение двух лет, но в случае, если действующим законодательством или нормативным актом предусмотрен иной срок, личные данные хранятся в соответствии с этим сроком. Персональные данные партнёра хранятся в соответствии со сроком давности потенциального иска, предусмотренным действующим нормативным актом, но не более трех лет в случае коммерческой сделки или десяти лет в соответствии с гражданским сроком давности потенциального иска. Личные данные работника, полученные в процессе найма на работу, хранятся не более четырех месяцев. Персональные данные работника, полученные с устройств контроля доступа/ времени, хранятся не более десяти дней. 
5.3 Персональные данные, которые были получены на основании юридического обязательства по обработке персональных данных, относящихся к Администратору, хранятся до тех пор, пока действует обязательство Администратора хранить данные в соответствии с нормативными актами, например, данные документа,  удостоверяющего личность клиента, в соответствии с постановлением Кабинета Министров № 226 от 3 апреля 2007 года "Положение о порядке заполнения, хранения и передачи формы декларации иностранца" Администратор обязан хранить в течение одного года.
5.4 Персональные данные, полученные путем видеонаблюдения, хранятся в течение десяти дней. В случае возникновения конфликтной ситуации или запроса записи видеонаблюдения со стороны правоохранительных органов, данные хранятся до разрешения конфликтной ситуации или предоставления записи видеонаблюдения правоохранительным органам.
5.5 Персональные данные, полученные в ходе общения клиента с работником по телефону, хранятся в течение трех месяцев. В случае возникновения конфликтной ситуации данные хранятся до ее разрешения. Информация, полученная в ходе электронного общения, хранится в течение двух лет. Персональные данные, полученные в ходе процессов развития, осуществляемых Администратором, хранятся не более десяти лет. В системе управления электронными ресурсами (Интранет) персональные данные работника хранятся не более пяти лет, а журналы аудитации рабочих станций - не более одного года.

6.    Продолжительность хранения данных

6.1.    до окончания срока хранения данных, предусмотренного действующими нормативными актами; 
6.2.    пока остается в силе договор, заключенный с субъектом данных;
6.3.    пока действует согласие субъекта данных;
6.4.    пока это необходимо для реализации и защиты легитимных интересов Администратора;
6.5.    пока существует юридическая обязанность хранить данные.
6.6.    По окончании любого из вышеуказанных сроков все данные удаляются или обезличиваются согласно порядку, установленному Администратором.

7.    Источники получения персональных данных субъекта данных

7.1.    представленные субъектом данных документы и информация;
7.2.    данные других администраторов, обработчиков и субобработчиков;
7.3.    процесс предоставления услуг;
7.4.    данные видео- и/или фотооборудования Администратора;
7.5.    данные оборудования компьютерной сети Администратора;
7.6.    данные о посещении или просмотре интернет-страницы Администратора https://www.rijahotels.com/.

8.    Процесс обработки данных субъекта данных

8.1.    при идентификации субъекта данных;
8.2.    в ходе коммерческой деятельности; 
8.3.    при заключении хозяйственных договоров и контроле их исполнения; 
8.4.    при отборе работников, установлении и поддержании трудовых правоотношений;
8.5.    при выполнении требований нормативных актов; 
8.6.    при участии в судебных разбирательствах;
8.7.    в ходе предоставления информации государственным и муниципальным учреждениям и должностным лицам, а также при получении информации от них.

9.    Обработка cookie-файлов субъекта данных

9.1.    Cookie-файлы – это небольшие текстовые файлы, которые создаются и сохраняются на устройстве субъекта данных (компьютере, планшете или мобильном телефоне) при посещении интернет-страниц Администратора. Cookie-файлы «запоминают» основную информацию и предпочтения пользователя, тем самым облегчая использование страницы. 
9.2.    Посредством cookie-файлов происходит обработка информации о привычках пользователей и истории использования страницы, диагностируются проблемы и недочеты в работе страницы, осуществляется сбор статистики о привычках пользователей, а также обеспечивается полноценное и удобное использование страницы.
9.3.    Если субъект данных не желает применять cookie-файлы, он может отказаться от их применения в настройках своего интернет-браузера, однако в этом случае использование страницы может быть существенно нарушено и затруднено. Удалить сохраненные cookie-файлы можно в разделе настроек интернет-браузера, удалив историю сохраненных cookie-файлов.

10.    Совместное использование и выдача персональных данных субъекта данных

10.1.    Для оказания услуг и выполнения рабочих заданий Администратор может предоставлять доступ к данным субъекта данных, в том числе в странах Европейского союза и Европейской экономической зоны.
10.2.    С целью гарантировать исполнение функций и задач, а также выполнение собственной работы, Администратор вправе, обеспечивая особую защиту данных, согласно требованиям, Регулы, отправлять данные в третью страну (за пределами Европейской экономической зоны) или международным организациям. 
10.3.    Для выполнения положений нормативных актов Администратор вправе предоставлять доступ к данным субъекта данных государственным и муниципальным учреждениям, правоохранительным органам, судебным или другим учреждениям.
10.4.    Администратор предоставляет данные только в объеме, определенном действующими нормативными актами, включая Регулу и закон «Об обработке данных физических лиц».

11.    Защита персональных данных субъекта данных

11.1.    Администратор обеспечивает защиту данных субъекта данных от несанкционированного доступа, случайной утери, разглашения или уничтожения. Для этого Администратор применяет современные технологические возможности с учетом существующих рисков конфиденциальности и организационных требований, в том числе используя брандмауэры, программное обеспечение для выявления взлома и анализа, а также шифрование по стандарту SSL и анонимизацию.
11.2.    Администратор тщательно проверяет всех обработчиков и субоработчиков, которые от его имени обрабатывают данные субъекта данных; Администратор оценивает использование соответствующих мер безопасности, соответствие осуществляемой обработки делегированному Администратором, действующим нормативным актам, а также требованиям и стандартам по защите данных. 
11.3.    Обработчики и субобработчики не имеют права обрабатывать данные Администратора в своих целях. 
11.4.    Администратор не несет ответственности за любой несанкционированный доступ к данным субъекта данных или их утерю, если это не входит в компетенцию Администратора, например по вине или халатности субъекта данных.

12.    Логика профилирования

12.1.    Администратор вправе принимать по отношению к субъекту данных автоматизированные решения, а также осуществлять профилирование персональных данных. О таких действиях Администратора субъект данных уведомляется отдельно согласно положениям действующих нормативных актов. Субъект данных вправе возразить против автоматизированного принятия решений согласно положениям действующих нормативных актов. 

13.    Права субъекта данных

Согласно действующим нормативным актам, субъект данных в связи с обработкой своих персональных данных имеет следующие права:
13.1.    право доступа – субъект данных вправе потребовать от Администратора подтвердить обработку персональных данных субъекта данных, а также получить сведения обо всех обработанных персональных данных;
13.2.    право исправления – если субъект данных считает, что информация о нем является неверной или неполной, он вправе потребовать от Администратора ее исправить; 
13.3.    возражение против обработки на основании легитимных интересов – субъект данных вправе возразить против обработки персональных данных, осуществляемой на основании легитимных интересов Администратора, за исключением случаев, когда такая обработка предусмотрена нормативными актами;
13.4.    удаление – при определенных обстоятельствах субъект данных вправе потребовать удалить свои персональные данные, за исключением случаев, когда срок хранения этих данных установлен нормативными актами;
13.5.    ограничение обработки – при определенных обстоятельствах субъект данных вправе ограничить обработку своих персональных данных, за исключением случаев, когда объем обработки этих данных установлен нормативными актами;
13.6.    перенос данных – субъект данных вправе получить или передать свои персональные данные другому администратору данных. Это право относится только к персональным данным, предоставленным Администратору с согласия субъекта данных, на основании договора или в случае, когда обработка данных осуществляется автоматически. Этим правом субъект данных может воспользоваться только в отношении данных, обрабатываемых Администратором не для исполнения обязанностей или задач, возложенных действующими нормативными актами; 
13.7.    отзыв согласия – субъект данных вправе в любой момент отозвать свое согласие на обработку данных тем же способом, каким оно было дано, или отправив соответствующее уведомление на адрес электронной почты: dpo@mogotel.com. В этом случае обработка данных на основании ранее предоставленного согласия для достижения конкретной цели прекращается. Отзыв согласия не влияет на обработку данных, выполненную в период, когда согласие субъекта данных имело силу. Отзыв согласия не прекращает обработку данных, осуществляемую Администратором на других законных основаниях.

Чтобы воспользоваться вышеуказанным правом, просим подать письменное заявление Администратору или специалисту по защите данных по электронной почте: dpo@mogotel.com.

14.    Прочее

14.1.    На интернет-страницах Администратора могут размещаться ссылки на интернет-страницы третьих лиц, где действуют собственные условия использования и защиты персональных данных, за которые Администратор не несет ответственности. 

15.    Связь

15.1.    В случае возникновения вопросов и неясностей субъект данных может обращаться к Администратору по следующим каналам: 
лично в офисе (Latgales iela, 240–3, Рига, LV-1063, Латвия), лично в отеле, а также к специалисту по защите персональных данных по электронной почте: dpo@mogotel.com.
15.2.    Администратор связывается с субъектом данных, используя указанную субъектом данных контактную информацию (номер телефона, адрес электронной почты, адрес для корреспонденции).

Если субъект данных не удовлетворён полученным ответом, он вправе подать жалобу в Государственную инспекцию данных (в Латвии - www.dvi.gov.lv, в Эстонии -  https://www.aki.ee/et).
Администратор вправе регулярно вносить изменения или дополнять положения Политики конфиденциальности. Администратор проинформирует субъекта данных о любых изменениях путем публикации актуальной версии политики на странице https://www.rijahotels.com/.

Предыдущую версию Политики конфиденциальности можно посмотреть здесь.