个人数据处理政策
1.总则
本个人数据处理政策是根据2006年7月27日第152-FZ号联邦法“关于个人数据”(以下简称“个人数据法”)的要求制定的,并确定了处理个人数据的程序和由股份公司“国家酒店”酒店(以下简称“运营商”)采取的个人数据安全措施。
1.1.运营商将其最重要的目标和条件视为在处理个人数据时遵守个人和公民的权利和自由,包括保护个人隐私权、个人和家庭秘密权利。
1.2.本运营商有关个人数据处理的政策(以下简称“政策”)适用于运营商可能收集的有关https://national.ru/网站访问者的所有信息。
2.政策中使用的主要概念
2.1.自动化个人数据处理是利用计算机技术进行个人数据处理。
2.2.个人数据封锁是暂时停止个人数据处理(除非处理是必要的以澄清个人数据)。
2.3.网站是由图形和信息材料以及计算机程序和数据库组成,以便它们可以通过https://national.ru/网络地址在互联网上访问。
2.4.个人数据信息系统是包含在数据库中的个人数据,并通过信息技术和技术手段确保其处理的系统。
2.5.个人数据去标识化是在不使用额外信息的情况下无法确定个人数据属于特定用户或其他个人数据主体的行动。
2.6.个人数据处理是任何使用自动化工具或无需使用这些工具的个人数据的行为(操作)或一组行为(操作),包括收集、记录、系统化、积累、存储、澄清(更新、更改)、提取、使用、传输(分发、提供、访问)、去标识化、封锁、删除、销毁个人数据。
2.7.运营商是政府机构、地方机构、法人或自然人,独自或与其他人共同组织和(或)实施个人数据处理,并确定个人数据处理目的、应处理的个人数据范围以及对个人数据采取的行动(操作)。
2.8.个人数据是任何直接或间接与网站https://national.ru/的特定或可识别用户相关的信息。
2.9.个人数据主体允许传播的个人数据是个人数据主体允许在《个人数据法》规定的范围内向无限制范围的人群提供个人数据处理许可的个人数据(以下简称允许传播的个人数据)。
2.10.用户是https://national.ru/网站的任何访问者。
2.11.提供个人数据是旨在向特定人或特定人群披露个人数据的行为。
2.12.个人数据传播是任何旨在向不特定人群披露个人数据(个人数据传输)或向无限制的人群披露个人数据并使其能够了解个人数据的行为,包括在大众传媒中公开个人数据,将其放置在信息电信网络中或以其他方式向个人数据提供访问。
2.13.跨境个人数据传输是将个人数据传输至外国政府机构、外国自然人或外国法人的行为。
2.14.销毁个人数据是任何行为,使个人数据无法恢复地在个人数据信息系统中被永久性地销毁,或者销毁个人数据的物理媒介。
3.运营商的主要权利和义务
3.1.运营商有权:
-从个人数据主体那里收集包含个人数据的准确信息和/或文件;
-在个人数据主体撤回对个人数据处理的同意时,运营商有权在个人数据法中规定的情况下,在没有个人数据主体同意的情况下继续处理个人数据;
-自行确定为实现个人数据法规定的义务而需要的措施的范围和清单,这些措施应该是必要和足够的,并且应当符合个人数据法和根据其制定的法规文件,除非个人数据法或其他联邦法律另有规定。
3.2.运营商承诺:
-根据个人数据主体的要求提供有关其个人数据处理的信息;
-组织个人数据处理,符合俄罗斯现行法律的规定
-根据个人数据法要求,回应个人数据主体及其合法代表的询问和请求;
-在授权的个人数据保护机构的要求下,自收到请求之日起30天内向该机构提供所需信息;
-发布或以其他方式确保对个人数据处理政策的无限制访问。
-采取法律、组织和技术措施,保护个人数据免受非法或意外访问、销毁、更改、锁定、复制、提供、传播个人数据,以及其他非法行为的影响;
-在个人数据法规定的情况下,终止个人数据的传输(分发、提供、访问),终止处理并销毁个人数据;
-履行个人数据法规定的其他义务。
4.个人数据主体的基本权利和义务
4.1.个人数据主体享有以下权利:
-在联邦法律规定的情况下,收到有关其个人数据处理的信息。信息以易于获取的形式由运营商提供给个人数据主体,并且不得包含其他个人数据,除非存在披露此类个人数据的合法基础。有关信息的清单和获取方式由个人数据法规定;
-要求运营商澄清其个人数据,将其数据锁定或销毁,如果个人数据不完整,已过时,不准确,非法获取或不是为了申报处理目的所必需,并采取法律规定的保护自己权利的措施;
-在市场推广商品、工作和服务的处理个人数据时提出预先同意的条件;
-撤销对个人数据处理的同意;
-就运营商在处理其个人数据时的非法行为或不作为向授权机构申诉或通过法院程序;
-行使其他由俄罗斯法律规定的权利。
4.2.个人数据的主体承诺:
-向运营商提供真实的个人数据;
-在个人数据需要澄清(更新、更改)时通知运营商。
4.3.向运营商提供虚假信息或未经其他个人数据主体同意提供其他个人数据的个人应依据俄罗斯法律承担责任。
5.运营商可以处理用户的以下个人数据:
5.1.姓,名,中间名。
5.2.电子邮箱。
5.3.电话号码。
5.4.此外,网站还使用互联网统计服务(Yandex Metrics、Google分析等)收集和处理有关访问者的匿名数据(包括小甜饼)。
5.5.上述数据在本政策文本中统称为“个人数据”。
5.6.运营商不会处理涉及种族、民族、政治观点、宗教或哲学信仰、私生活等特殊类别的个人数据。
5.7.如果“个人数据法”第10条第1部分规定的禁止和条件得到遵守,则允许在“个人数据法”第10条第1部分规定的特殊个人数据类别中处理允许传播的个人数据。
5.8.用户对允许传播的个人数据的处理同意单独确认,而不是其他个人数据的处理同意。同时遵守“个人数据法”第10.1条等规定的条件。这种同意的内容要求由权威机构负责保护个人数据权利来确定。
5.8.1 用户直接向运营商提供对于被允许传播的个人数据的处理同意。
5.8.2 运营商在收到用户同意后的三个工作日内,应发布关于处理条件以及对被允许传播的个人数据的处理禁止和条件的信息。
5.8.3 在任何时候,用户都可以要求停止传输(分发、提供、访问)被允许传播的个人数据。该要求应包括个人数据主体的姓、名、父名(如果有的话)、联系信息(电话号码、电子邮件地址或邮寄地址),以及需要停止处理的个人数据清单。在这项要求中指定的个人数据只能由接收方运营商进行处理。
5.8.4 对于被允许传播的个人数据的处理同意,在运营商收到本政策5.8.3条规定的要求时失效。
6.个人数据处理原则
6.1.个人数据的处理是在合法和公正的基础上进行的。
6.2.个人数据处理仅限于实现具体、预先确定的合法目的。不得处理与个人数据收集目的不兼容的个人数据。
6.3.不得合并包含个人数据的数据库,这些数据的处理目的不相容。
6.4.只有符合其处理目的的个人数据才能被处理。
6.5.处理的个人数据的内容和范围必须符合已声明的处理目的。不得处理超出其声明处理目的的个人数据量。
6.6.在处理个人数据时,必须确保其准确性、充分性,并在必要时与个人数据处理目的相一致。操作员应采取必要的措施和/或确保采取这些措施来删除或更正不完整或不准确的数据。
6.7.个人数据的存储形式应允许确定个人数据主体,并且不得超过个人数据处理的目的所要求的时间,除非个人数据的存储期限由联邦法律、该法律下个人数据主体的合同方、受益方或委托人规定。在达到个人数据处理目的或不再需要达到这些目的的情况下,可以销毁或匿名化处理的个人数据,除非联邦法律另有规定。
7.个人数据处理目的
7.1.用户个人数据处理目的:
-通过发送电子邮件向用户提供信息;
-缔结、执行和终止民事法律关系;
-向用户提供访问位于网站 https://national.ru/ 上的服务、信息和/或资料;
-为用户提供有关酒店服务的信息。
7.2.此外,运营商有权向用户发送有关新产品和服务、特别优惠以及各种活动的通知。用户随时可以通过发送电子邮件至 sales@marriott-moscow.ru,并在主题中标注“拒收关于新产品和服务以及特别优惠的通知”来拒绝接收信息通知。
7.3.通过网络统计服务收集的用户匿名数据用于收集有关用户在网站上的活动、提高网站质量和内容。
8.个人数据处理的法律基础
8.1.操作员处理个人数据的法律基础包括:
-客人登记卡;
-运营商章程文件;
-运营商与个人数据主体签订的合同;
-有关个人数据保护领域的联邦法律和其他法律法规;
-用户同意处理其个人数据,同意处理允许传播的个人数据。
8.2.只有用户通过位于 https://national.ru/ 网站上的特殊表格或通过电子邮件向运营商发送的表格填写或发送的个人数据,运营商才会处理用户的个人数据。用户填写相关表格和/或向运营商发送其个人数据时,即表示用户同意本政策。
8.3.只有在用户的浏览器设置允许(启用小甜饼保存和JavaScript技术)的情况下,运营商才会处理用户的匿名数据。
8.4.个人数据主体自主决定提供其个人数据,并自愿、自主地、出于自身利益同意。
9.个人数据处理条件
9.1.个人数据处理需要个人数据主体的同意。
9.2.个人数据处理必要用于实现俄罗斯联邦国际协议或法律规定的目的,以履行俄罗斯联邦法律授予操作员的职能、权限和责任。
9.3.个人数据处理必要用于实现司法目的,执行法院裁决,其他机构或官员的行为,根据俄罗斯联邦执行程序法律规定的执行。
9.4.个人数据处理必要用于履行合同,其一方或有利人或委托人是个人数据主体,并且由个人数据主体发起或个人数据主体将成为受益人或委托人的合同。
9.5.个人数据处理是为了执行操作者或第三方的权利和合法利益,或者实现公共利益,前提是不侵犯个人数据主体的权利和自由。
9.6.处理个人数据,个人数据主体或根据其要求向其提供无限制访问的个人数据(以下简称为“公开个人数据”)。
9.7.根据联邦法律,进行个人数据处理,这些数据需要公开或强制披露。
10.个人数据的收集、存储、传输和其他处理方式
操作员处理的个人数据的安全性是通过实施法律、组织和技术措施来确保的,这些措施是为了全面履行当前个人数据保护法律的要求。
10.1.操作员确保个人数据的安全,并采取一切可能的措施,防止未经授权的人员访问个人数据。
10.2.用户的个人数据永远不会在任何情况下被转让给第三方,除非涉及执行现行法律或在用户明确同意的情况下,为了履行民事合同义务而将数据转让给第三方。
10.3.如果发现个人数据有错误,用户可以通过发送电子邮件通知操作员来自行更新,电子邮件地址为sales@marriott-moscow.ru,标题为“个人数据更新”。
10.4.个人数据的处理期限由个人数据收集的目的确定,除非合同或现行法律另有规定。
用户可以随时通过发送电子邮件通知操作员撤销对个人数据的处理同意,电子邮件地址为sales@marriott-moscow.ru,标题为“撤销个人数据处理同意”。
10.5.所有由第三方服务收集的信息,包括支付系统、通信工具和其他服务提供商,都由这些方(运营商)根据其用户协议和隐私政策存储和处理。个人数据主体和/或用户有责任自行及时查看这些文件。运营商不对第三方的行为承担责任,包括本节提到的服务提供商。
10.6.
个人数据主体对于他们的个人数据的传输(除了提供访问权限)以及对于可以分发的个人数据的处理或处理条件(除了获得访问权限)所设定的禁止,在俄罗斯法律规定的国家、社会和其他公共利益的情况下不适用。
10.7.在处理个人数据时,运营商确保个人数据的保密性。
10.8.运营商将个人数据以能够识别个人数据主体的形式保存,时间不超过个人数据处理的目的所需时间,除非个人数据的保存期限由联邦法律、个人数据主体签订的合同、个人数据主体作为受益人或担保人的一方所规定。
10.9.停止处理个人数据的条件可能包括实现个人数据处理目标、个人数据主体同意的有效期届满或个人数据主体撤回同意,以及发现个人数据的非法处理。
11.运营商对获取的个人数据进行的操作包括
11.1.运营商执行个人数据的收集、记录、系统化、积累、存储、更新(修改、变更)、提取、使用、传输(分发、提供、访问)、匿名化、阻止、删除和销毁。
11.2.运营商通过信息和通信网络或其他方式进行自动化处理个人数据,并获取和/或传输相关信息。
12.跨境个人数据传输
12.1.在进行跨境个人数据传输之前,运营商必须确保目的地国家或地区能够提供对个人数据主体权利的可靠保护。
12.2.在不符合上述要求的外国国家或地区境内进行跨境个人数据传输,只能在个人数据主体书面同意或执行个人数据主体作为合同一方的情况下进行。
13.个人数据保密性
运营商和其他获得个人数据访问权的个人必须在未经个人数据主体同意的情况下,不得向第三方披露或传播个人数据,除非有联邦法律规定。
14.最后规定
14.1.用户可以通过发送电子邮件至sales@marriott-moscow.ru与运营商联系以获取有关其个人数据处理的任何解释。
14.2.本文件将记录运营商对个人数据处理政策的任何更改。该政策长期有效,直至被新版本替换。
14.3.最新版本的政策可在https://national.ru/policy上免费获取。