Декларация о конфиденциальности „Гранд отеля Поморие“

Мы в „Гранд отеле Поморие“ стремимся предлагать исключительные продукты, услуги и переживания. Мы высоко ценим свой бизнес, но выше него мы ценим Вашу лояльность. Знаем, что конфиденциальность важна для Вас, поэтому мы составили настоящую декларацию, в которой  разъясняем, как мы поступаем с персональными данными, которые собираем с Вас или о Вас на этом сайте, общаясь с Вами устно или письменно, во время Вашего посещения „Гранд отеля Поморие“, или из других источников, например, от туроператоров.

Настоящая декларация описывает практики, принятые „Гранд отелем Поморие“, в полном соответствии с требованиями Регламента (ЕС) 679/2016 о защите персональных данных.

Какие персональные данные мы собираем?

При любом событии с участием наших гостей или в ходе подготовки к такому событию, возможно, понадобится сбор персональных данных, как имена, номера телефонов, электронные адреса и пр. Данные собираются исключительно для конкретной цели в минимальном необходимом количестве.

Лотереи или маркетинговое исследование мнения гостей и клиентов о качестве продуктов и услуг, предлагаемых нами, часть списка таких событий, с помощью которых обеспечиваем предложение самых удачных для Вас высококачественных продуктов и услуг.

Персональные данные,  собираемые в момент регистрации гостей, регламентированы законом. Прописываясь в гостинице, вы получаете от дежурных администраторов информацию о том, как защищаются Ваши персональные данные.

Другая информация, собираемая в гостинице

  1. Социальные сети. Если Вы участвуете в социальных сетях, Вам хорошо знать, что мы поощряем распространение информации о Вашем пребывании в нашем отеле по вашим контактам, как например посты Ваших фотографий, комментариев к ним, участия в конкурсах на лучшую фотографию, если она снята во время Вашего пребывания у нас. В случае если на фотографии присутствуют и другие лица, Вам необходимо их согласие.
  2. Сбор информации в объектах „Гранд отеля Поморие“. Закон о туризме обязывает нас при прописке гостей в отеле собирать минимальные персональные данные, необходимые согласно этому закону. С целью обеспечения Вашей безопасности возможна видеозапись гостей и посетителей в общественных местах на территории комплекса на условиях, регламентированных законом о частной охранной деятельности.
  3. Договор аренды автомобиля требует дополнительных, установленных законом персональных данных, как например номер водительского  удостоверения и прочие данные, связанные с арендой и предлагаемыми страховыми услугами.
  4. Организация мероприятий. Технические детали организованных Вами мероприятий могут включать такие данные, как день и час, число гостей, информация о номерах для гостей и минимальные необходимые данные о мероприятии и дополнительная информация, связанная с ним. Если Вы посещаете нас в составе группы, мы будем располагать персональными данными, предоставленными нам группой, чтобы мы могли, в зависимости от Ваших предпочтений, давать Вам информацию о мероприятиях, организованных для Вашей группы.  Если Вы сами организатор мероприятия, то Вы можете дать свое согласие, чтобы мы поделились сведениями о Вашем мероприятии с третьими лицами – поставщиками услуг, необходимых для реализации Вашего мероприятия.
  5. Возможности для бизнес-партнерства или карьерыНепременно свяжитесь с нами за дополнительной информацией, которая позволила бы нам оценить Ваши способности к хорошему партнерству или развитию Вашей карьеры у нас. В таком случае, возможно, нам понадобится сопоставить предоставленную Вами информацию с другой, публично доступной.

Персональные данные, полученные от третьих лиц

Ежедневно в наших с Вами взаимоотношениях присутствуют третьи лица, как например туроператор, с помощью которого Вы забронировали и оплатили свое проживание у нас, или организаторы событий. У них с Вами договоры об обработке персональных данных, заключенные через совместных администраторов или администратора, работающего с персональными данными, так что в данном случае защита Ваших личностных данных защищена в соответствии с Регламентом (ЕС) 679/2016, согласно которому обе стороны принимают обязанность перед Вами.

Передача персональных данных

В своем стремлении предложить Вам лучшее переживание и самые качественные услуги в „Гранд отеле Поморие“, возможно нам понадобится передать информацию о Вас третьим лицам, если у них такие же цели, или по четко выраженному Вашему согласию. Такие третьи лица – это наши коммерческие партнеры, с которыми в любом случае у нас договор согласно Регламенту (ЕС) 679/2016 о защите персональных данных. Например, при организации группового мероприятия или встречи была собрана информация, которой можно поделиться с организаторами и/или нашими коммерческими партнерами, чьи продукты и услуги сделали бы Ваше пребывание в нашем комплексе более интересным и эмоциональным.

Передача информации нашему СПА комплексу, ресторанам или консьерж-центру, или поставщикам сторонних услуг происходит, если их цели совпадают с нашими и исключительно с Вашего согласия в соответствии с принципами Регламента (ЕС) 679/2016.

Во всех остальных случаях информация передается соответствующим должностным лицам в соответствии с требованиями закона, например Закона о туризме.

Данные о состоянии здоровья и прочая медицинская информация

Карточки с назначенными процедурами и прочие медицинские документы не хранятся у нас. Они находятся исключительно в Вашем распоряжении и под Вашим контролем. Те, кто проводит терапию, интересуются видом и продолжительностью процедуры, и после справки немедленно возвращают Вам документ. В „Гранд отеле  Поморие“ никогда и ни по какому поводу нет доступа к этим документам за исключением момента проведения терапевтического сеанса и медицинского осмотра.

„Гранд отель  Поморие“ не выносит персональные данные за рубеж.

Защита персональных данных

Oпределения

Согласно ст.4 Регламенту 679/2016:

1) „персональные данные“ – это любая информация, связанная с идентифицированным физическим лицом или физическим лицом, которое можно идентифицировать („субъект данных“); физическое лицо, которое можно идентифицировать, это лицо, которое можно идентифицировать напрямую или косвенно такими идентификаторами, как имя, идентификационный номер, данные о местонахождении, онлайн идентификатор или по одному или более признакам, присущим физической, физиологической, генетической, психической, умственной, экономической, культурной или социальной идентичности этого физического лица;

2) „обработка“ означает любая операция или совокупность операций, производимая с персональными данными или набором персональных данных автоматизированными или другими средствами, как сбор, запись, организация, структурирование, сохранение, адаптация или изменение, извлечение, консультация, употребление, раскрытие путем передачи, распространения или другим способом, в результате которого данные становятся доступными, систематизирование или комбинирование, ограничение, стирание или уничтожение;

3) „ограничение обработки“ означает отметить сохраняемые персональные данные с целью ограничения их обработки в будущем;

4) „профилирование“ означает любая форма автоматизированной обработки персональных данных в виде использования персональных данных для оценки определенных сторон физического лица, в частности для анализа или прогноза исполнения профессиональных обязанностей, экономического состояния, здоровья, личных предпочтений, интересов, надежности, поведения, местоположения и передвижения физического лица;

5) „псевдонимизация“ означает обработка персональных данных таким образом, чтобы их невозможно было связать с конкретным субъектом данных без использования дополнительной информации, при условии, что она хранится отдельно, и в отношении ее предприняты технические и организационные меры с целью гарантировать, что персональные данные не связаны с определенным физическим лицом, которое можно идентифицировать;

6) „реестр персональных данных“ означает любой структурированный набор персональных данных, доступ к которому осуществляется в соответствии с определенными критериями, независимо от того это централизованный, нецентрализованный или распределенный по функциональному или географическому принципу реестр;

7) „администратор“ означает физическое или юридическое лицо, публичный орган, агентство или другая структура, которая сама или совместно с другими определяет цели и средства обработки персональных данных; в случаях когда цели и средства такой обработки регламентированы правом Евросоюза или государства-члена, администратор или специальные критерии определения администратора могут быть установлены в самом праве Евросоюза или государства-члена;

8) „обрабатывающий персональные данные “ означает физическое или юридическое лицо, публичный орган, агентство или другая структура, которая обрабатывает персональные данные от имени администратора;

9) „получатель“ означает физическое или юридическое лицо, публичный орган, агентство или другая структура, перед которой раскрываются персональные данные, независимо от того это третья сторона или нет.  Вместе с тем публичные органы, которые могут получать персональные данные в пределах конкретного расследования в соответствии с правом Евросоюза или государства-члена, не считаются „получателями“; обработка таких  данных указанными публичными органами отвечает положениям применимых правил защиты данных в зависимости от цели обработки;

10) „третья сторона“ означает физическое или юридическое лицо, публичный орган, агентство или другой орган, отличный от субъекта данных, администратора, обрабатывающего персональные данные, и лиц, имеющих право на обработку персональных данных под прямым руководством администратора или обрабатывающего персональные данные;

11) „согласие субъекта данных“ означает любое свободно выраженное, конкретное, информированное и недвусмысленное указание воли субъекта данных, выраженное посредством изъявления или ясного действия, подтверждающего его согласие, чтобы связанные с ним данные обрабатывались;

12) „нарушение безопасности персональных данных“ означает нарушение безопасности, влекущее случайное или неправомерное уничтожение, потерю, изменение, неразрешенное раскрытие или доступ к персональным данным, которые передаются, сохраняются или обрабатываются каким-либо другим способом;

13) „генетические данные“ означает персональные данные, связанные с унаследованными или приобретенными генетическими признаками конкретного физического лица, дающие уникальную информацию об отличительных чертах или здоровье этого физического лица, и которые были получены в частности в результате анализа биологической пробы, взятой с вопросного физического лица;

14) „биометрические данные“ означает персональные данные, полученные в результате специфической технической обработки, связанные с физическими, физиологическими или поведенческими характеристиками конкретного физического лица, позволяющие провести или подтверждающие уникальную идентификацию этого физического лица, как например изображения лица или дактилоскопические данные;

15) „данные о состоянии здоровья“ означает персональные данные, связанные с физическим или психическим здоровьем физического лица, включая факт предоставления медицинских услуг, дающих информацию об его состоянии здоровья;

Принципы

Согласно ст.5 Регламент а679/2016 принципы соблюдены, если:

Параграф 1.

Персональные данные:

a) обрабатывались законосообразно, добросовестно, прозрачным для субъекта данных способом („законосообразность, добросовестность и прозрачность“);

б) собирались в конкретных, ясно указанных и легитимных целях и в дальнейшем не обрабатывались способом, несовместимым с этими целями; дальнейшая обработка в целях архивирования в интересах общества, для научных или исторических исследований или статистики не считается согласно статье 89, параграфу 1, несовместимыми с первоначальными целями („ограничение целей“);

в) их количество было сведено до минимального, необходимого для достижения целей, в связи с которыми они обрабатывались („сведение данных до минимума“);

г) были точными и при необходимости их можно поддерживать в актуальном виде; следует предпринять все разумные меры, чтобы гарантировать своевременное стирание или коррекцию неточных персональных данных с учетом целей, ради которых они обрабатываются („точность“);

д) сохраняются в форме, позволяющей идентификацию субъекта данных на период не дольше необходимого для достижения целей, ради которых они обрабатываются; персональные данные можно сохранять и на более длительный срок при условии, что они будут обрабатываться исключительно в целях архивирования в интересах общества, для научных или исторических исследований или в целях статистики в соответствии со статьей 89, параграфом 1, и при условии, что будут предприняты подходящие технические и организационные меры, предусмотренные в настоящем регламенте с целью гарантировать права и свободы субъекта данных („ограничение в сохранении“);

е) обрабатываются способом, гарантирующим подходящий уровень безопасности персональных данных, включительно защиту от неразрешенной или незаконной обработки и от случайной потери, уничтожения или повреждения, с применением подходящих технических или организационных мер („целостность и конфиденциальность“).

Параграф 2.

  Администратор несет ответственность и в состоянии доказать соблюдение параграфа 1 („отчетность“).

Права субъектов

  1. Субъекты данных имеют следующие права в отношении обработки и информации, которая записывается о них:

Требовать подтверждение обработки персональных данных, связанных с ним, и если такая имеет место быть – получить доступ к данным, а также информацию о том, кто получатель этих данных.

Потребовать копию своих персональных данных от АДМИНИСТРАТОРА;

Требовать от АДМИНИСТРАТОРА коррекцию персональных данных, если они неточны или уже неактуальны;

Потребовать от АДМИНИСТРАТОРА стереть персональные данные, собранные на основании согласия (право „быть забытым”);

Требовать от АДМИНИСТРАТОРА ограничения обработки персональных данных, если на это есть основание. В данном случае данные будут только храниться, но не и обрабатываться;

Мотивированно возразить против обработки его персональных данных;

Обратиться с жалобой в надзорный орган (Комиссию по защите персональных данных), если считает, что было нарушено какое-либо из положений Регламента (ЕС) 679/2016;

Потребовать, чтобы ему предоставили персональные данные в структурированном, широко применимом и пригодном для машинного чтения формате, если способ и форматы будут регламентированы в нашей внутренней нормативной базе;

При обработке персональных данных на основании согласия – отменить свое согласие на обработку персональных данных в любое время в виде специального заявления администратору;

Не быть объектом решений, принятых автоматизировано, затрагивающих его в значительной степени, без возможности для вмешательства человека;

Противопоставиться  автоматизированному профилированию, производимому без его согласия.

  1. АДМИНИСТРАТОР обеспечивает условия, гарантирующие реализацию этих прав субъекта данных:

Субъекты данных могут потребовать доступа к данным, если АДМИНИСТРАТОР  гарантирует, что ответ на требование субъекта отвечает положениям Общего регламента.

Субъекты данных имеют право подавать жалобы АДМИНИСТРАТОРУ, связанные с обработкой их персональных данных.

Ответственность

Согласно ст.24 Регламента 679/2016

Ответственность администратора „Гранд отеля  Поморие“

Параграф 1.   

Учитывая естество, сферу охвата, контекст и цели обработки, а также риски разной вероятности и тяжести для прав и свобод физических лиц, администратор предпринимает подходящие технические и организационные мерки, чтобы гарантировать и быть в состоянии доказать, что обработка производится в соответствии с настоящим регламентом. В случае необходимости эти меры пересматриваются и актуализируются.

Параграф 2.

Обрабатывая персональные данные в соответствии с параграфом 1, администратор предпринимает также меры по их защите.

Параграф 3.

Соблюдение одобренных кодексов поведения или одобренных механизмов сертификации может использоваться в качестве доказательства, что администратор выполняет свои обязанности.

Настоящий параграф  будет применяться „Гранд отелем  Поморие“ сразу после того, как будут утверждены политики туристического сектора и/или политики сертификации в  гостиничном и ресторанном деле!

Совместная обработка

Для обеспечения максимальной безопасности и удобства своих гостей, в своей работе с туроператорами и/или прочими партнерами, имеющими отношение к обслуживанию и предоставлению информации и/или услуг, „Гранд отель  Поморие“ всегда заключает договоры/соглашения об обработке персональных данных в соответствии с Регламентом 679/2016.

Контактные данные

Град отель  Поморие (Поморие тур инвест ЕАД)

reservation@grandhotelpomorie.com

+359885882010

office@gdprconsulting-bg.com

+359888206819