Декларация за поверителност на „Гранд хотел Поморие“

Ние в „Гранд хотел Поморие“ се стремим да предлагаме изключителни продукти, услуги и изживявания. Ценим високо нашия бизнес, но по-високо от това ценим Вашата лоялност. Ние знаем, че поверителността е важна за Вас и изготвихме тази декларация, за да разясним нашите практики относно личните данни, които събираме от или за Вас, на този сайт, чрез устна или писменна комуникация с нас, когато посещавате „Гранд хотел Поморие“ или чрез други източници, един такъв пример са туроператорите.

Настоящата декларация описва практиките приети в „Гранд хотел Поморие“, поставени в пълно съответствие с изискванията на Регламент (ЕС) 679/2016 относно защита на личните данни.

Какви лични данни събираме?

При всяко събитие с участие на наши гости или при подготовката за такова може да се наложи събиране на лични данни, като имена,телефони, мейли, адреси и т.н., като при това те винаги се събират само за конкретната цел и са възможно най-минималният набор такива данни необходими за постигане на целта.

Лотарии или маркетингово проучване за мнението на гостите и клиентите ни за качеството на продуктите и услугите, които предлагаме са част от списъка с такива събития, целящи да предлагаме само най-удачните за вас висококачествени продукти и услуги.

Личните данни събирани при регистрация на гостите са законово изисквани и регламентирани. При регистрация в хотела Ви се дава възможност да се запознаете с предоставената от администраторите на рецепция информация относно защитата на личните данни.

Друга събирана в хотела информация

  1. Заявката за наемане на автомобил изисква допълнителни законоустановени лични данни свързани с тази дейност, като номер на свидетелство за правоуправление на автомобил и други данни свързани с наемането и предлаганите застрахователни услуги.
  2. Събиране на информация в обектите на „Гранд хотел Поморие“. Законът за туризма ни задължава при регистрацията на гости в хотела да събираме минимално необходимите лични данни изисквани от този закон. С цел осигуряване на Вашата сигурност е възможно да извършваме видеозаписи на гости и посетители на обществени места в комплекса, при условията регламентирани в закона за частната охранителна дейност.
  3. Организиране на мероприятия. Технически детайли за организирани от Вас мероприятия могат да включват данни като дата и час, брой гости, информация относно стаите за гости и минимално необходимите лични данни за тях. При корпоративни мероприятия може да са необходими данни за предприятието и допълнителна информация във връзка с това. Когато ни посещавате като част от група ще разполагаме с предоставените ни от групата лични данни, за да можете да получавате предложения от нас за посещение на организираните за групата мероприятия, в зависимост от личните Ви предпочитания. Ако сте организатор на мероприятие, можете да се съгласите да споделим данни за мероприятието Ви с трети лица – доставчици на услуги, които да Ви предоставят услугите си за мероприятия.
  4. Социални мрежи. Ако участвате в социални мрежи е добре да знаете, че ние насърчаваме споделянето с контактите Ви на информация за престоя Ви при нас с текстов и/или снимков материал, както и участия в конкурси за снимки, например със заснети по време на престоя Ви при нас. В случай че в снимковия материал присъстват и други лица, тяхното съгласие в случая Ви е необходимо.
  5. Възможности за бизнеспартньорство или кариераНепременно се свържете с нас за допълнителна информация, която би ни позволила да оценим способностите Ви за едно добро партньорство или развитие на кариерата Ви при нас. В тези случаи е възможно да се наложи да съпоставим предоставената ни от Вас информация с друга публично достъпна.

Лични данни получени от трети лица

Ежедневна практика е в отношенията Ви с нас да присъстват трети лица, като например туроператорът, чрез който сте резервирали и заплатили престоя си и допълнителни услуги, или организатори на събития. Те имат договори с нас за обработка на лични данни като съвместни администратори или като администратор и обработващ лични данни, така че защитата на личните ви данни и в тези случаи е съгласно Регламент (ЕС) 679/2016 като законов ангажимент и на двете страни спрямо Вас.

Споделяне на лични данни

Стремейки се да Ви предложим най-доброто изживяване и най-качествените продукти и услуги в „Гранд хотел Поморие“ е възможно да се наложи да споделим информация при припокриващи се цели или с изричното Ви съгласие, с доставчици на услуги и наши търговски партньори, с които във всички случаи имаме договореност съгласно Регламент (ЕС) 679/2016 за защита на личните данни. Например при планирането на групово мероприятие или среща е събрана информация, която е възможно да се сподели с организаторите и/или наши търговски партньори, чийто продукти или услуги биха подобрили изживяването Ви в нашия комплекс.

Споделянето на информация с нашия СПА комплекс, ресторантьорски услуги или други случаи като „консиерж“ или доставчици на външни услуги също е само при припокриващи се цели или с ваше съглание и е според принципите на Регламент (ЕС) 679/2016

Споделянето на информация във всички други случаи е само законоворегламентирано и на съответните длъжностни лица, като например съгласно изискванията на Закона за Туризма.

Данни за здравословното състояние или медицинска информация

Картоните за терапия и други медицински документи не се съхраняват от нас и са само и еднствено във ваше притежание и контрол. Провеждащите терапията само се информират от тези документи за вида и продължителността на терапията и незабавно Ви връщат документите. В „Гранд хотел Поморие“ никога и под никакъв предлог нямаме достъп до тези документи извън рамките на текущия терапевтичен сеанс или преглед.

„Гранд хотел Поморие“ не предоставя лични данни извън страната.

Защита на личните данни

Дефиниции

Според чл.4 от Регламент 679/2016 :

1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

3) „ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

4) „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

5) „псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

6) „регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

8) „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

9) „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

10) „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

11) „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

12) „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

13) „генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;

14) „биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

15) „данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

Принципи

Според чл.5 от Регламент 679/2016 принципите са спазени когато:

Параграф 1.

Личните данни са:

a) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);

в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г) точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).

Параграф 2.

Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“).

Права на субектите

  1. Субектите на данни имат следните права по отношение на обработването на данни, както и на данните, които се записват за тях:

Да отправя искания за потвърждаване дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните, както и информация кои са получателите на тези данни.

Да поиска копие от своите лични данни от АДМИНИСТРАТОРА;

Да иска от АДМИНИСТРАТОРА коригиране на лични данни когато те са неточни, както и когато не са вече актуални;

Да изиска от АДМИНИСТРАТОРА изтриване на лични данни събрани на основата на съгласие (право „да бъдеш забравен”);

Да иска от АДМИНИСТРАТОРА ограничаване на обработването на лични данни когато е основетелно мотивирано, като в този случай данните ще бъдат само съхранявани, но не и обработвани;

Да направи мотивирано възражение срещу обработване на негови лични данни;

Да се обърне с жалба до надзорния орган (Комисията за защита на личните данни), ако смята, че някоя от разпоредбите на Регламент (ЕС) 679/2016 е нарушена;

Да поиска и да му бъдат предоставени личните данни в структуриран, широко използван и пригоден за машинно четене формат, когато начина и форматите за това бъдат регламентирано във вътрешната ни нормативна база;

При обработка на лични данни на основата на дадено съгласие, да оттегли съгласието си  за обработката на личните данни по всяко време с отделно искане, отправено до администратора;

Да не е обект на автоматизирано взети решения, които да го засягат в значителна степен, без възможност за човешка намеса;

Да се противопостави на автоматизирано профилиране, което се случва без негово съгласие.

  1. АДМИНИСТРАТОРЪТ осигурява условия, които да гарантират упражняването на  тези права от субекта на данни:

Субектите на данни могат да направят искания за достъп до данни, като АДМИНИСТРАТОРЪТ  гарантира, че отговора на искането на субекта на данни отговаря на изискванията на Общия регламент.

Субектите на данни имат право да подават жалби до АДМИНИСТРАТОРА, свързани с обработването на личните им данни.

Отговорност

Според чл.24 от Регламент 679/2016

Отговорност на администратора „Гранд хотел Поморие“

Параграф 1.   

Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират.

Параграф 2.

Когато това е пропорционално на дейностите по обработване, посочените в параграф 1 мерки включват прилагане от страна на администратора на подходящи политики за защита на данните.

Параграф 3.

Придържането към одобрени кодекси за поведение или одобрени механизми за сертифициране може да се използва като елемент за доказване на спазването на задълженията на администратора.

Този параграф  ще бъде приложен от „Гранд хотел Поморие“ веднага щом бъдат утвърдени секторни политики и/или сертифициране в бранша хотелиерство и ресторантьорство!

Съвместна обработка

За осигуряване на максималната сигурност и комфорт  на гостите ни, при работа с туроператори и/или други партньори имащи отношение към обслужването и предоставяне на информация и/или услуги от тях, „Гранд хотел Поморие“ винаги  сключва договори/споразумения за обработка на лични данни съгласно Регламент 679/2016

Данни за връзка

Град хотел Поморие(Поморие тур инвест ЕАД)

reservation@grandhotelpomorie.com

+359885882010

office@gdprconsulting-bg.com

+359888206819