Мы в „Gardenia Beach Palace“ стремимся предлагать исключительные продукты, услуги и переживания. Мы высоко ценим свой бизнес, но выше него мы ценим Вашу лояльность. Знаем, что конфиденциальность важна для Вас, поэтому мы составили настоящую декларацию, в которой разъясняем, как мы поступаем с персональными данными, которые собираем с Вас или о Вас на этом сайте, общаясь с Вами устно или письменно, во время Вашего посещения „Gardenia Beach Palace“, или из других источников, например, от туроператоров.
Настоящая декларация описывает практики, принятые „Gardenia Beach Palace“, в полном соответствии с требованиями РЕГЛАМЕНТА (ЕС) 679/2016 о защите персональных данных.
Какие персональные данные мы собираем?
При любом событии с участием наших гостей или в ходе подготовки к такому событию, возможно, понадобится сбор персональных данных, как имена, номера телефонов, электронные адреса и пр. Данные собираются исключительно для конкретной цели в минимальном необходимом количестве.
Лотереи или маркетинговое исследование мнения гостей и клиентов о качестве продуктов и услуг, предлагаемых нами, часть списка таких событий, с помощью которых обеспечиваем предложение самых удачных для Вас высококачественных продуктов и услуг.
Персональные данные, собираемые в момент регистрации гостей, регламентированы законом. Прописываясь в гостинице, вы получаете от дежурных администраторов информацию о том, как защищаются Ваши персональные данные.
ДРУГАЯ ИНФОРМАЦИЯ, СОБИРАЕМАЯ В ГОСТИНИЦЕ
- Социальные сети. Если Вы участвуете в социальных сетях, Вам хорошо знать, что мы поощряем распространение информации о Вашем пребывании в нашем отеле по вашим контактам, как например посты Ваших фотографий, комментариев к ним, участия в конкурсах на лучшую фотографию, если она снята во время Вашего пребывания у нас. В случае если на фотографии присутствуют и другие лица, Вам необходимо их согласие.
- Сбор информации в объектах „Gardenia Beach Palace“. Закон о туризме обязывает нас при прописке гостей в отеле собирать минимальные персональные данные, необходимые согласно этому закону. С целью обеспечения Вашей безопасности возможна видеозапись гостей и посетителей в общественных местах на территории комплекса на условиях, регламентированных законом о частной охранной деятельности.
- Договор аренды автомобиля требует дополнительных, установленных законом персональных данных, как например номер водительского удостоверения и прочие данные, связанные с арендой и предлагаемыми страховыми услугами.
- Организация мероприятий. Технические детали организованных Вами мероприятий могут включать такие данные, как день и час, число гостей, информация о номерах для гостей и минимальные необходимые данные о мероприятии и дополнительная информация, связанная с ним. Если Вы посещаете нас в составе группы, мы будем располагать персональными данными, предоставленными нам группой, чтобы мы могли, в зависимости от Ваших предпочтений, давать Вам информацию о мероприятиях, организованных для Вашей группы. Если Вы сами организатор мероприятия, то Вы можете дать свое согласие, чтобы мы поделились сведениями о Вашем мероприятии с третьими лицами – поставщиками услуг, необходимых для реализации Вашего мероприятия.
- Возможности для бизнес-партнерства или карьеры. Непременно свяжитесь с нами за дополнительной информацией, которая позволила бы нам оценить Ваши способности к хорошему партнерству или развитию Вашей карьеры у нас. В таком случае, возможно, нам понадобится сопоставить предоставленную Вами информацию с другой, публично доступной.
Персональные данные, полученные от третьих лиц
Ежедневно в наших с Вами взаимоотношениях присутствуют третьи лица, как например туроператор, с помощью которого Вы забронировали и оплатили свое проживание у нас, или организаторы событий. У них с Вами договоры об обработке персональных данных, заключенные через совместных администраторов или администратора, работающего с персональными данными, так что в данном случае защита Ваших личностных данных защищена в соответствии с РЕГЛАМЕНТОМ (ЕС) 679/2016, согласно которому обе стороны принимают обязанность перед Вами.
Передача персональных данных
В своем стремлении предложить Вам лучшее переживание и самые качественные услуги в „Gardenia Beach Palace“, возможно нам понадобится передать информацию о Вас третьим лицам, если у них такие же цели, или по четко выраженному Вашему согласию. Такие третьи лица – это наши коммерческие партнеры, с которыми в любом случае у нас договор согласно Регламенту (ЕС) 679/2016 о защите персональных данных. Например, при организации группового мероприятия или встречи была собрана информация, которой можно поделиться с организаторами и/или нашими коммерческими партнерами, чьи продукты и услуги сделали бы Ваше пребывание в нашем комплексе более интересным и эмоциональным.
Передача информации нашему СПА комплексу, ресторанам или консьерж-центру, или поставщикам сторонних услуг происходит, если их цели совпадают с нашими и исключительно с Вашего согласия в соответствии с принципами Регламента (ЕС) 679/2016.
Во всех остальных случаях информация передается соответствующим должностным лицам в соответствии с требованиями закона, например Закона о туризме.
Данные о состоянии здоровья и прочая медицинская информация
Карточки с назначенными процедурами и прочие медицинские документы не хранятся у нас. Они находятся исключительно в Вашем распоряжении и под Вашим контролем. Те, кто проводит терапию, интересуются видом и продолжительностью процедуры, и после справки немедленно возвращают Вам документ. В „Gardenia Beach Palace“ никогда и ни по какому поводу нет доступа к этим документам за исключением момента проведения терапевтического сеанса и медицинского осмотра.
„Gardenia Beach Palace“ не выносит персональные данные за рубеж.
Защита персональных данных
Oпределения
Согласно ст.4 Регламенту 679/2016:
1) „персональные данные“ – это любая информация, связанная с идентифицированным физическим лицом или физическим лицом, которое можно идентифицировать („субъект данных“); физическое лицо, которое можно идентифицировать, это лицо, которое можно идентифицировать напрямую или косвенно такими идентификаторами, как имя, идентификационный номер, данные о местонахождении, онлайн идентификатор или по одному или более признакам, присущим физической, физиологической, генетической, психической, умственной, экономической, культурной или социальной идентичности этого физического лица;
2) „обработка“ означает любая операция или совокупность операций, производимая с персональными данными или набором персональных данных автоматизированными или другими средствами, как сбор, запись, организация, структурирование, сохранение, адаптация или изменение, извлечение, консультация, употребление, раскрытие путем передачи, распространения или другим способом, в результате которого данные становятся доступными, систематизирование или комбинирование, ограничение, стирание или уничтожение;
3) „ограничение обработки“ означает отметить сохраняемые персональные данные с целью ограничения их обработки в будущем;
4) „профилирование“ означает любая форма автоматизированной обработки персональных данных в виде использования персональных данных для оценки определенных сторон физического лица, в частности для анализа или прогноза исполнения профессиональных обязанностей, экономического состояния, здоровья, личных предпочтений, интересов, надежности, поведения, местоположения и передвижения физического лица;
5) „псевдонимизация“ означает обработка персональных данных таким образом, чтобы их невозможно было связать с конкретным субъектом данных без использования дополнительной информации, при условии, что она хранится отдельно, и в отношении ее предприняты технические и организационные меры с целью гарантировать, что персональные данные не связаны с определенным физическим лицом, которое можно идентифицировать;
6) „реестр персональных данных“ означает любой структурированный набор персональных данных, доступ к которому осуществляется в соответствии с определенными критериями, независимо от того это централизованный, нецентрализованный или распределенный по функциональному или географическому принципу реестр;
7) „администратор“ означает физическое или юридическое лицо, публичный орган, агентство или другая структура, которая сама или совместно с другими определяет цели и средства обработки персональных данных; в случаях когда цели и средства такой обработки регламентированы правом Евросоюза или государства-члена, администратор или специальные критерии определения администратора могут быть установлены в самом праве Евросоюза или государства-члена;
8) „обрабатывающий персональные данные “ означает физическое или юридическое лицо, публичный орган, агентство или другая структура, которая обрабатывает персональные данные от имени администратора;
9) „получатель“ означает физическое или юридическое лицо, публичный орган, агентство или другая структура, перед которой раскрываются персональные данные, независимо от того это третья сторона или нет. Вместе с тем публичные органы, которые могут получать персональные данные в пределах конкретного расследования в соответствии с правом Евросоюза или государства-члена, не считаются „получателями“; обработка таких данных указанными публичными органами отвечает положениям применимых правил защиты данных в зависимости от цели обработки;
10) „третья сторона“ означает физическое или юридическое лицо, публичный орган, агентство или другой орган, отличный от субъекта данных, администратора, обрабатывающего персональные данные, и лиц, имеющих право на обработку персональных данных под прямым руководством администратора или обрабатывающего персональные данные;
11) „согласие субъекта данных“ означает любое свободно выраженное, конкретное, информированное и недвусмысленное указание воли субъекта данных, выраженное посредством изъявления или ясного действия, подтверждающего его согласие, чтобы связанные с ним данные обрабатывались;
12) „нарушение безопасности персональных данных“ означает нарушение безопасности, влекущее случайное или неправомерное уничтожение, потерю, изменение, неразрешенное раскрытие или доступ к персональным данным, которые передаются, сохраняются или обрабатываются каким-либо другим способом;
13) „генетические данные“ означает персональные данные, связанные с унаследованными или приобретенными генетическими признаками конкретного физического лица, дающие уникальную информацию об отличительных чертах или здоровье этого физического лица, и которые были получены в частности в результате анализа биологической пробы, взятой с вопросного физического лица;
14) „биометрические данные“ означает персональные данные, полученные в результате специфической технической обработки, связанные с физическими, физиологическими или поведенческими характеристиками конкретного физического лица, позволяющие провести или подтверждающие уникальную идентификацию этого физического лица, как например изображения лица или дактилоскопические данные;
15) „данные о состоянии здоровья“ означает персональные данные, связанные с физическим или психическим здоровьем физического лица, включая факт предоставления медицинских услуг, дающих информацию об его состоянии здоровья;
Принципы
Согласно ст.5 Регламент а679/2016 принципы соблюдены, если:
Параграф 1.
Персональные данные:
a) обрабатывались законосообразно, добросовестно, прозрачным для субъекта данных способом („ЗАКОНОСООБРАЗНОСТЬ, ДОБРОСОВЕСТНОСТЬ И ПРОЗРАЧНОСТЬ“);
б) собирались в конкретных, ясно указанных и легитимных целях и в дальнейшем не обрабатывались способом, несовместимым с этими целями; дальнейшая обработка в целях архивирования в интересах общества, для научных или исторических исследований или статистики не считается согласно статье 89, параграфу 1, несовместимыми с первоначальными целями („ОГРАНИЧЕНИЕ ЦЕЛЕЙ“);
в) их количество было сведено до минимального, необходимого для достижения целей, в связи с которыми они обрабатывались („СВЕДЕНИЕ ДАННЫХ ДО МИНИМУМА“);
г) были точными и при необходимости их можно поддерживать в актуальном виде; следует предпринять все разумные меры, чтобы гарантировать своевременное стирание или коррекцию неточных персональных данных с учетом целей, ради которых они обрабатываются („ТОЧНОСТЬ“);
д) сохраняются в форме, позволяющей идентификацию субъекта данных на период не дольше необходимого для достижения целей, ради которых они обрабатываются; персональные данные можно сохранять и на более длительный срок при условии, что они будут обрабатываться исключительно в целях архивирования в интересах общества, для научных или исторических исследований или в целях статистики в соответствии со статьей 89, параграфом 1, и при условии, что будут предприняты подходящие технические и организационные меры, предусмотренные в настоящем регламенте с целью гарантировать права и свободы субъекта данных („ОГРАНИЧЕНИЕ В СОХРАНЕНИИ“);
е) обрабатываются способом, гарантирующим подходящий уровень безопасности персональных данных, включительно защиту от неразрешенной или незаконной обработки и от случайной потери, уничтожения или повреждения, с применением подходящих технических или организационных мер („ЦЕЛОСТНОСТЬ И КОНФИДЕНЦИАЛЬНОСТЬ“).
Параграф 2.
Администратор несет ответственность и в состоянии доказать соблюдение параграфа 1 („ОТЧЕТНОСТЬ“).
Права субъектов
- Субъекты данных имеют следующие права в отношении обработки и информации, которая записывается о них:
Требовать подтверждение обработки персональных данных, связанных с ним, и если такая имеет место быть – получить доступ к данным, а также информацию о том, кто получатель этих данных.
Потребовать копию своих персональных данных от АДМИНИСТРАТОРА;
Требовать от АДМИНИСТРАТОРА коррекцию персональных данных, если они неточны или уже неактуальны;
Потребовать от АДМИНИСТРАТОРА стереть ПЕРСОНАЛЬНЫЕ ДАННЫЕ, СОБРАННЫЕ НА ОСНОВАНИИ СОГЛАСИЯ (право „быть забытым”);
Требовать от АДМИНИСТРАТОРА ограничения обработки персональных данных, если на это есть основание. В данном случае данные будут только храниться, но не и обрабатываться;
Мотивированно возразить против обработки его персональных данных;
Обратиться с жалобой в надзорный орган (Комиссию по защите персональных данных), если считает, что было нарушено какое-либо из положений Регламента (ЕС) 679/2016;
Потребовать, чтобы ему предоставили персональные данные в структурированном, широко применимом и пригодном для машинного чтения формате, если способ и форматы будут регламентированы в нашей внутренней нормативной базе;
При обработке персональных данных на основании согласия – отменить свое согласие на обработку персональных данных в любое время в виде специального заявления администратору;
Не быть объектом решений, принятых автоматизировано, затрагивающих его в значительной степени, без возможности для вмешательства человека
Противопоставиться автоматизированному профилированию, производимому без его согласия.
- АДМИНИСТРАТОР обеспечивает условия, гарантирующие реализацию этих прав субъекта данных:
Субъекты данных могут потребовать доступа к данным, если АДМИНИСТРАТОР гарантирует, что ответ на требование субъекта отвечает положениям Общего регламента.
Субъекты данных имеют право подавать жалобы АДМИНИСТРАТОРУ, связанные с обработкой их персональных данных.
Ответственность
Согласно ст.24 Регламента 679/2016
Ответственность администратора „Gardenia Beach Palace“
Параграф 1.
Учитывая естество, сферу охвата, контекст и цели обработки, а также риски разной вероятности и тяжести для прав и свобод физических лиц, администратор предпринимает подходящие технические и организационные мерки, чтобы гарантировать и быть в состоянии доказать, что обработка производится в соответствии с настоящим регламентом. В случае необходимости эти меры пересматриваются и актуализируются.
Параграф 2.
Обрабатывая персональные данные в соответствии с параграфом 1, администратор предпринимает также меры по их защите.
Параграф 3.
Соблюдение одобренных кодексов поведения или одобренных механизмов сертификации может использоваться в качестве доказательства, что администратор выполняет свои обязанности.
Настоящий параграф будет применяться „Gardenia Beach Palace“ сразу после того, как будут утверждены политики туристического сектора и/или политики сертификации в гостиничном и ресторанном деле!
Съвместна обработка
Для обеспечения максимальной безопасности и удобства своих гостей, в своей работе с туроператорами и/или прочими партнерами, имеющими отношение к обслуживанию и предоставлению информации и/или услуг, „Gardenia Beach Palace“ всегда заключает договоры/соглашения об обработке персональных данных в соответствии с Регламентом 679/2016.
Контактные данные
ГРАД ОТЕЛЬ ПОМОРИЕ (БАЛНЕОХОТЕЛ ПОМОРИЕ АД)
reservations@grandhotelpomorie.com
+359885882010