ПРАВИЛА ЗА СЪБИРАНЕ И ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ ВЪВ „ФЕСТА ХОТЕЛИ“ АД
Тези правила са разработени в изпълнение на чл. 12 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г.
I. АДМИНИСТРАТИВНИ СВЕДЕНИЯ
„Феста Хотели“ АД, ЕИК 175286794, със седалище и адрес на управление: гр. София, бул. „България“ № 83А, представлявано от Изпълнителния директор Калоян Николов. Длъжностно лице по защита на личните данни: Ралица Спасова. Контакти с дружеството: гр. София, бул. „България“ № 83А, тел. 028189750, e-mail: office@festahotels.com; Контакти с длъжностното лице по защита на личните данни: гр. София, бул. „България“ № 83А, тел. 02 902 37 96, e-mail: gdpr@festahotels.com
II. КАТЕГОРИИ ЛИЧНИ ДАННИ И ЦЕЛИ НА ОБРАБОТВАНЕТО
1. За нуждите на хотелската резервация се събират следните лични данни:
Име, фамилия, телефон и имейл адрес. Целта е лицето, извършило резервацията да бъде разпознато при пристигането си в хотела.
2. За нуждите на регистрацията на гостите в хотел се събират следните лични данни:
От чужденци, които не са граждани на държава членка на Европейския съюз (ЕС) или на държава страна по Споразумението за Европейското икономическо пространство, или на Конфедерация Швейцария, на основание чл. 116, ал. 2 от Закона за туризма и Заповед № Т-РД-04-10/11.06.2019 г. на министъра на туризма се събират следните лични данни: пълното име на лицето, персонален идентификационен код (ако има такъв), дата на раждане, пол, гражданство, номер и серия на документа за самоличност, държава, издала държава, издала документа за самоличност.
От български граждани, граждани на държава членка на Европейския съюз (ЕС) или на държава страна по Споразумението за Европейското икономическо пространство, или на Конфедерация Швейцария на основание чл. 116, ал. 2 от Закона за туризма и Заповед № Т-РД-04-10/11.06.2019 г. на министъра на туризма се събират следните лични данни: пълното име на лицето, ЕГН/ЛНЧ, персонален идентификационен номер (ако има такъв), дата на раждане, пол, гражданство, номер на документ за самоличност, държава, издала документа за самоличност.
Данните, събирани при регистрация на гостите в хотел, се пазят две години, след което се унищожават или изтриват.
3. При кандидатстване за работа се събират следните лични данни:
Име и фамилия, образование, телефон, имейл и професионален опит при предишни работодатели. Срокът за съхранение на личните данни на кандидати и участници в процедури по набиране и подбор на персонала е 6 месеца от датата на приключване на подбора. Предоставянето на тези данни е доброволно и се подразбира с предоставянето им. Това е минимално необходимата информация, за да може работодателя да вземе решение за сключване на трудов договор с определен кандидат. След тази дата документите на кандидатите и участниците се изтриват или унищожават. Ако кандидатът е дал своето съгласие, личните му данни могат да се съхраняват и за срок по-дълъг от 6 месеца. В този случай се посочва целта и крайният срок за съхранение на данните.
4. Видовете лични данни за целите на трудовото правоотношение са определени в Правилника за вътрешния трудов ред на дружеството.
5. От контрагентите на дружеството физическо лице се събират следните лични данни: Имена на контрагента физическо лице, ЕГН, адрес, телефон за контакт. Събират се за нуждите на общественото осигуряване и данъчни цели. Правно основание чл. 7, ал. 6 КСО и чл. 73 ЗДДФЛ. От законните представители и представители по пълномощие на юридическите лица се събират следните лични данни: имена, ЕГН и адрес (в предвидените в закон случаи) и телефон за контакт.
III. СЪБИРАНЕ НА ЛИЧНИ ДАННИ ЧРЕЗ ВИДЕОНАБЛЮДЕНИЕ И ВИДЕОЗАСНЕМАНЕ
Извършва се в общите помещения на хотелите и в зоната около тях, в общите помещения на централния офис, за което се поставят съответните информационни табели. Основание: чл. 5, ал. 2, т. 4 от Наредба № 8121з-1225 от 27 септември 2017 г. за видовете обекти по чл. 23, ал. 1 от Закона за противодействие на тероризма, чиито собственици и ползватели разработват и прилагат мерки за противодействие на тероризма, минималните изисквания към тези мерки и реда за упражняване на контрол, издадена от министъра на вътрешните работи и председателя на ДАНС. При поискване се предоставят на органите на МВР и на ДАНС по съответния ред. Основание за извършване на видеонаблюдение в общите части на хотелите и зоната около тях е и Наредбата за изискванията към местата за настаняване и заведенията за хранене и развлечения и за реда за определяне на категория, отказ, понижаване, спиране на действието и прекратяване на категорията.
Съгласно изискванията за обслужване в хотелите от всички категории хотелиерът има задължение да осигури безопасността и сигурността на туристите чрез наета или собствена охрана и технически средства. Видеонаблюдението е едно от тези технически средства. Предоставят се на органите на МВР при поискване по съответния ред. Записите от извършеното видеонаблюдение се пазят 2 месеца след изготвянето им (чл. 56, ал. 4 от Закона за частната охранителна дейност).
IV. ПРАВА НА ЛИЦАТА, ПРЕДОСТАВИЛИ ЛИЧНИ ДАННИ НА „ФЕСТА ХОТЕЛИ“ АД
1. Достъп до лични данни. Всеки има право на достъп до собствените си лични данни. Подава се заявление. В 7-дневен срок от подаване на заявлението „Феста Хотели“ АД предоставя исканата информация или съобщава на лицето, че данните са изтрити или носителите, на които се съдържат, са унищожени.
2. Коригиране на лични данни. Всеки има право да иска коригиране на личните му данни, ако данните са неточни. Подава се заявление. В 7-дневен срок от подаване на заявлението „Феста Хотели“ АД извършва корекцията и съобщава на лицето, че данните му са коригирани или същите са били изтрити или носителите, на които се съдържат, са унищожени.
3. Ограничаване на обработването на лични данни. Всеки има право да иска да бъде ограничено обработването от страна на администратора или обработващия лични данни. Подава се заявление. в 7-дневен срок от подаване на заявлението „Феста Хотели“ АД извършва исканото ограничаване на обработването и съобщава на лицето, че обработването на личните му данни е ограничено или същите са били изтрити или носителите, на които се съдържат, са унищожени. В случай, че обработването на лични данни не може да бъде ограничено, се посочва правното основание за това.
4. Упражняване на правото „да бъдеш забравен“. Всеки, който е предоставил лични данни на „Феста Хотели“ АД, може да упражни правото си „да бъде забравен“ и неговите лични данни да бъдат изтрити, като подаде заявление.
5. Заявлението за достъп, ограничаване на обработването, коригиране и изтриване на личните данни се подава лично от лицето или от негов пълномощник с пълномощно с нотариална заверка на подписите или от адвокат с изрично пълномощно и съдържа: 1. име, адрес, единен граждански номер или личен номер на чужденец или друг аналогичен идентификатор, или други идентификационни данни на физическото лице, определени от администратора, във връзка с извършваната от него дейност, описание на искането; предпочитана форма за получаване на информация при упражняване на правата по чл. 15 – 22 от Регламент (ЕС) 2016/679, подпис, дата на подаване на заявлението и адрес за кореспонденция. Заявлението се подава по пощата, по куриер или на адреса на управление на дружеството. При подаването на заявление от упълномощено лице към заявлението се прилага и пълномощното.
В 14-дневен срок от подаване на заявлението „Феста Хотели“ АД съобщава на лицето, че:
– Неговото искане е удовлетворено.
– Неговото искане не е удовлетворено и се посочва правното основание за това. Посочва се кога отпада задължението на „Феста Хотели“ АД да съхранява, обработва данните.
6. Посочените по-горе срокове относно достъп, коригиране, ограничаване на обработването и упражняване на правото да бъдеш забравен не текат през дните на официалните празници по чл. 154 от Кодекса на труда.
7. Преносимост на данните. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на „Феста Хотели“ АД, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор при условията на чл. 20 от Регламент 2016/679.
8. Право на възражение. Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него при условията на чл. 21 от Регламент 2016/679.
9. Автоматизирано вземане на индивидуални решения, включително профилиране. Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен при прилагане на чл. 22 от Регламент 2016/679.
V. СЪОБЩАВАНЕ НА СУБЕКТА НА ДАННИТЕ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
Ако има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, „Феста Хотели“ АД без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни при условията на чл. 34 от Регламент 2016/679.
VI. ПОДАВАНЕ НА ЖАЛБА ПРИ НАРУШЕНИ ПРАВА ПРИ ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ
Всеки може да подаде жалба, ако счита че при обработването на личните му данни „Феста Хотели“ АД е допуснато нарушение за Закона за защита на личните данни и на Регламент 2016/679. Жалбата се подава до Комисия за защита на личните данни в шестмесечен от узнаване на нарушението, но не по-късно от две години от извършването му.
VII. ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ЛИЦА ИЗВЪН ДРУЖЕСТВОТО
На основание чл. 116 от Закона за туризма, Наредбата за организацията на Единната система за туристическа информация и Заповед № Т-РД-04-10/11.06.2019 г. на Министъра на туризма се предоставят лични данни на службата за административен контрол на чужденците или в районното управление на Министерството на вътрешните работи по местонахождението на хотела.
Версия октомври 2019