ПОЛИТИКА

обработки персональных данных посетителей сайта

(Политика конфиденциальности)

 

 

 

1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных посетителей сайта(далее – Политика) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», статьи 152.2. Гражданского кодекса Российской Федерации, приказа Роскомнадзора от 19.06.2025 № 140, а также иных нормативно-правовых актов Российской Федерации определяет цели, содержание и порядок обработки персональных данных, меры, направленные на обеспечение защиты обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в ООО «Грин Солюшион» (ИНН 6501212624, ОГРН 1096501008471), расположенном по адресу: 693020, Сахалинская область, г. Южно-Сахалинск, ул. Детская, д. 4 (далее – Оператор).
1.2. Оператор зарегистрирован в реестре Роскомнадзора с 27.07.2017 (https://pd.rkn.gov.ru).Регистрационный номер: 27-17-003528.
1.3. Настоящая Политика применяется в отношении веб-сайта «Mega Palace Hotel» с доменным именем megapalacehotel.com (далее – Сайт). Сайт может содержать ссылки на другие веб-сайты, предоставленные третьими лицами. Настоящая политика не распространяется на веб-сайты третьих лиц, на которые посетитель сайта может перейти по ссылкам, доступным на Сайте. Оператор не контролирует и не несет ответственности за веб-сайты третьих лиц, а также за защиту и конфиденциальность любой информации, которую предоставляет посетитель сайта как субъект персональных данных. Посетитель сайта должен проявлять разумную осторожность и ознакомиться с соответствующей политикой конфиденциальности веб-сайта, который он посещает.  
1.4. Настоящая Политика определяет основные вопросы, связанные с обработкой персональных данных (далее – ПДн) Оператором с использованием средств автоматизации в информационно-телекоммуникационных сетях или без использования таких средств, если обработка ПДн без использования таких средств соответствует характеру действий, совершаемых с ПДн с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск ПДн, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях ПДн, и (или) доступ к таким ПДн.
1.5. Целью настоящей Политики является реализация требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной.
2. Основные понятия и термины
2.1. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
2.2. Посетитель сайта (категория субъекта ПДн) – физическое лицо, имеющее доступ к Сайту посредством сети Интернет и использующее Сайт для получения информации в отношении оказываемых Оператором услуг.
2.3. Субъект ПДн – физическое лицо, данные которого обрабатываются Оператором.
2.4. Оператор – юридическое лицо (ООО «Грин Солюшион»), ответственное за обработку ПДн, а также определяющее цели обработки ПДн и состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
2.5. Обработка ПДн – любое действие или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
2.6. Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.
2.7. Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
2.8. Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
2.9. Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
2.10. Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
2.11. Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД. Цель обезличивания – защита прав и свобод субъекта ПДн при обработке информации.
2.12. Информационная система персональных данных (далее – ИСПД) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку с помощью информационных технологий и технических средств.
2.13. Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.14. Конфиденциальность ПДн – обязательное для оператора и иных лиц, получивших доступ к ПДн, требование не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
22.15. Конфиденциальная персональная информация (cookie, IP) – информация, которая может обрабатываться при посещении Сайта и которая автоматически передается сервисам Сайта в процессе их использования с помощью установленного на устройстве субъекта ПДн программного обеспечения с использованием файлов cookie (метрических программ). Cookie/IP при комбинации с другими данными субъекта ПДн, если они позволяют идентифицировать посетителя сайта, считаются его ПДн и требуют отдельного информированного согласия (выбора).
2.16. Cookie – небольшие текстовые файлы, которые веб-сайт сохраняет на компьютере посетителя сайта с помощью браузера, чтобы запоминать информацию о нем, делая работу с Сайтом более удобной и персонализированной, а также используемые для анализа трафика.
2.17. IP-адрес – уникальный числовой идентификатор устройства (компьютера, сервера) в компьютерной сети, который позволяет устройствам находить друг друга, обмениваться данными и определять местоположение.
3. Цели обработки персональных данных посетителей сайта
3.1. Установление с посетителями сайта обратной связи при направлении ими вопросов, касающихся оказания услуг Оператором и использования Сайта, обработка этих вопросов.
3.2. Предоставление посетителям сайта эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта.
3.3. Осуществление мониторинга трафика, обработка предпочтений и сбор статистической информации о посещении Сайта.
4. Получение и обработка персональных данных
4.1. Категории обрабатываемых ПДн, разрешённых к обработке в рамках настоящей Политики, которые предоставляются посетителем сайта путём заполнения соответствующей регистрационной формы на Сайте:
— имя;
— адрес электронной почты;
— номер телефона;
— информация о том, откуда посетитель сайта пришел на Сайт (метка).
4.2. Правовое основание обработки ПДн:
— на основании информированного согласия посетителя сайта, выраженного в том числе проставлением специальной отметки (галочки) в соответствующем поле регистрационной формы на Сайте;
— в случаях, когда обработка ПДн необходима Оператору для осуществления и выполнения возложенных на него законодательством Российской Федерации функций, полномочий и обязанностей по передаче информации в уполномоченные органы государственной власти Российской Федерации.
4.3. Решение о предоставлении ПДн с согласием на их обработку посетитель сайта дает свободно, своей волей и в своем интересе. Согласие на обработку ПДн является конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПДн дается посетителем сайта отдельно от иной информации.
4.4. Согласие на обработку ПДн действует в течение срока достижения целей их обработки, но не более трех лет и может быть отозвано посетителем сайта путем направления соответствующего заявления на электронный адрес Оператора office@megapalacehotel.ru. Срок обработки Оператором отзыва согласия – 3 рабочих дня.
4.5. В случае отзыва согласия на обработку ПДн Оператор вправе продолжить обработку ПДн данных без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ.
4.6. Перечень действий с ПДн посетителей сайта: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
4.7. Способы обработки ПДн посетителей сайта: смешанная, с передачей полученной информации по внутренней сети Оператора, с передачей по сети Интернет.
4.8. Обработка предпочтений и статистика посещения Сайта.
4.8.1. Конфиденциальная персональная информация собирается автоматически в связи с активностью на Сайте посетителя сайта. При посещении Сайта фиксируются все входы в аккаунт.
4.8.2. Обработка обезличенных данных посетителей сайта осуществляется с использованием метрических программ Яндекс.Метрика и VK Pixel (файлы «cookie»). Использование указанных сервисов необходимо Оператору для оперативного анализа посещений Сайта, внутренней и внешней посещаемости Сайта, глубины просмотров, активности посетителей сайта. 
4.8.3. Если посетитель сайта в силу каких-либо причин не желает, чтобы установленные на Сайте сервисы получали доступ к его персональной информации, посетитель сайта может по собственному желанию выйти из своего аккаунта, очистить cookie через свой браузер. Отключение cookie может повлечь невозможность доступа к частям Сайта, требующим авторизации.
4.9. Оператор не вправе передавать информацию, которая относится к ПДн посетителя сайта, третьим лицам без письменного согласия субъекта ПДн, за исключением случаев, когда такие сведения передаются по запросу уполномоченных органов государственной власти Российской Федерации в соответствии с законодательством Российской Федерации.
4.10. Оператор не осуществляет трансграничную передачу ПДн посетителей сайта, полученных на Сайте.
4.11. Хранение ПДн посетителей сайта осуществляется в форме, позволяющей определить субъекта ПД, в течение срока достижения целей их обработки, но не более трех лет. Срок хранения ПДн, внесенных в ИСПД, соответствует сроку хранения бумажных оригиналов.
4.12. Обработка ПДн посетителей сайта прекращается Оператором:
— при выявлении факта неправомерной обработки ПДн (срок прекращения обработки – 3 рабочих дня с даты выявления такого факта);
— при достижении целей их обработки (за исключением случаев, предусмотренных законодательством Российской Федерации);
— по истечении срока обработки ПДн (трех лет);
— при обращении посетителя сайта к Оператору с требованием о прекращении обработки ПД отзыв посетителем сайта согласия на обработку его ПД (за исключением случаев, предусмотренных законодательством Российской Федерации).
4.13. Обезличивание ПДн применяется, чтобы:
— защитить ПДн от несанкционированного доступа, возможных злоупотреблений;
— сделать возможным использование больших наборов данных для государственных нужд и развития технологий без риска раскрытия личности;
— обеспечить прозрачность и контроль за обработкой таких данных в рамках закона.
4.14. Методы, которые могут быть использованы в процессе обезличивания ПДн:
— метод введения идентификаторов – замена части сведений (значений ПДН) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным ПДН;
— метод изменения состава или семантики – изменение состава или семантики ПДн, в том числе путем замены результатами статистической обработки или удаления части сведений (значений ПДн);
— метод декомпозиции – разбиение массива ПДн на несколько частей с последующим раздельным их хранением;
— метод перемешивания – перестановка отдельных записей, а также групп записей в массиве ПДН;
— метод декомпозиции ПДн, подлежащих обезличиванию, реализуется путем разделения массива ПДн, подлежащих обезличиванию, на заданное Оператором количество частей с последующим раздельным их хранением.
4.15. ПДн, полученные в результате обезличивания, могут обрабатываться с использованием и без использования средств автоматизации, не подлежат разглашению и предоставлению третьим лицам, осуществляющим обработку ПДн с использованием дополнительной информации, позволяющей прямо или косвенно определить конкретное физическое лицо.
4.16. При обработке ПДн, полученных в результате обезличивания, в ИСПД Оператором обеспечивается соблюдение парольной защиты ИСПД, антивирусной политики, правил работы со съемными носителями (в случае их использования), правил резервного копирования, правил доступа в помещения, где расположены элементы ИСПД.
4.17. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн либо по запросу субъекта ПДн Оператор осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.
4.18. В случае выявления неточных ПДн при обращении субъекта ПДн либо по запросу субъекта ПДн Оператор осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
4.19. В случае подтверждения факта неточности ПДн Оператор на основании сведений, представленных субъектом ПДн, обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
4.20. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн или обеспечивает прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора.
4.21. В случае если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор уведомляет субъекта ПДн, а в случае, если обращение субъекта ПДн либо запрос уполномоченного органа по защите прав субъекта ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также уведомляет указанный орган.
4.22. При достижении целей обработки ПДн или в случае утраты необходимости в достижении этих целей ПДн Оператор прекращает обработку ПДн или обеспечивает её прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами, либо обезличивает ПДн, если иное не предусмотрено действующим законодательством Российской Федерации.
4.23. Работники Оператора, виновные в нарушении требований Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации.
5. Права субъекта персональных данных
5.1. Субъект ПДн данных имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
— подтверждение факта обработки ПДн Оператором;
— правовые основания и цели обработки ПДн;
— цели и применяемые Оператором способы обработки ПДн;
— наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
— обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки ПДн, в том числе сроки их хранения;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные Федеральным законом «О персональных данных».
5.2. Субъект ПДн вправе требовать от Оператора уточнения ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6. Защита персональных данных
6.1. При обработке ПДн Оператор принимает необходимые правовые, организационные и технические меры для защиты ПДн от случайного или неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПДн.
6.2. Основными мерами защиты ПДн, используемыми Оператором, являются:
— назначение лица, ответственного за организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением требований к защите ПДн (не реже одного раза в год);
— идентификация и аутентификация данных (пользователей, являющихся работниками Оператора, внешних пользователей, не являющихся работниками Оператора), управление идентификаторами и средствами аутентификации);
— определение актуальных угроз безопасности ПДн при их обработке в ИСПД и разработка мер и мероприятий по защите ПДн;
— установление правил доступа к ПДн, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПД;
— установление индивидуальных паролей доступа работников Оператора в ИСПД в соответствии с их должностными обязанностями;
— применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
— сертифицированное антивирусное программное обеспечение на рабочих станциях и серверах с регулярно обновляемыми базами;
— соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ;
— обнаружение фактов несанкционированного доступа к ПДн и принятие соответствующих мер;
— восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— обучение работников Оператора положениям законодательства Российской Федерации о ПДн, в том числе требованиям к защите ПДн, ознакомление с документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;
— сканирование сервисов и приложений на наличие уязвимостей с использованием комбинации статического анализа исходного кода и динамического тестирования для обеспечения безопасности программного обеспечения;
— шифрование всех данных при транспортировке с использованием TLS/SSL;
— управление конфигурацией информационной системы и системы защиты ПДн;
— проведение на ежегодной основе независимого тестирования Сайта на проникновение;
— защита технических средств, контроль и управление физическим доступом к техническим средствам, средствам защиты, средствам обеспечения функционирования;
— контроль (анализ) защищенности ПДн с проведением регулярных проверок безопасности (не реже одного раза в год);
— работа с обращениями субъектов ПДн.
6.3. Модели угроз безопасности ПДн предусмотрены в законодательных актах Российской Федерации, методических документах государственных органов (ФСТЭК/РКН) и стандартах (ГОСТ).
6.4. Для ПНд, полученных Оператором на Сайте, применяется уровень защиты УЗ-3 (когда обрабатываются данные от 1 000 до 100 000 субъектов ПДн, имеются угрозы 3-го типа (отдельные злоумышленники), отсутствуют специальные и биометрические категории ПДн).
7. Заключительные положения
7.1. Настоящая Политика подлежит размещению на Сайте megapalacehotel.com и к ней обеспечивается неограниченный доступ.
7.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите ПД, но не реже одного раза в год.
7.3. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки ПД, назначенным Оператором.
7.4. Ответственность должностных лиц Оператора, имеющих доступ к ПД, за невыполнение требований норм, регулирующих обработку и защиту ПД, определяется в соответствии с законодательством Российской Федерации и внутренними нормативными документами Оператора.

Редакция от 22.01.2026