1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки и обеспечения конфиденциальности персональных данных (далее — Политика) разработана и применяется Индивидуальным предпринимателем Шестаковым Александром Александровичем, ИНН 420551363068, ОГРНИП 324420500029915 (далее — Оператор), в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», другими федеральными законами и подзаконными нормативными актами, а также международными соглашениями РФ, затрагивающими вопросы защиты персональных данных.

1.2. Политика определяет:
• цели, правовые основания и принципы обработки персональных данных;
• категории субъектов персональных данных и состав обрабатываемых данных;
• права и обязанности субъектов персональных данных и Оператора;
• применяемые Оператором меры по защите персональных данных;
• порядок контроля за соблюдением требований законодательства и настоящей Политики.

1.3. Действие Политики распространяется на все операции с персональными данными, совершаемые Оператором как самостоятельно, так и при взаимодействии с уполномоченными лицами, действующими на основании заключённых с Оператором договоров/инструкций.

1.4. Субъектами персональных данных, чьи данные обрабатываются Оператором, являются:
а) пользователи веб-сайтов, мобильных приложений, социальных сетей и иных цифровых сервисов Оператора, связанных с организацией авторских туров (далее — Сервисы);
б) клиенты, оформившие, бронировавшие либо намеренные оформить туристский продукт/услугу;
в) представители (законные и/или уполномоченные) клиентов;
г) контрагенты — физические лица (в том числе индивидуальные предприниматели);
д) иные лица, персональные данные которых поступают к Оператору в рамках договорных, преддоговорных, маркетинговых или иных фактических отношений.

1.5. Оператор обрабатывает персональные данные исключительно в целях:
• заключения и исполнения договоров об оказании туристских услуг, организации авторских туров и сопутствующих сервисов;
• исполнения обязанностей, возложенных на Оператора законодательством РФ (в том числе миграционным, налоговым, бухгалтерским, валютным, транспортным и иным);
• продвижения товаров, работ и услуг Оператора на рынке путём прямых контактов с потенциальными и (или) существующими клиентами с помощью средств связи;
• улучшения качества Сервисов, разработки новых продуктов и функций;
• статистики, аналитики и проведения маркетинговых исследований при условии обязательного обезличивания данных, если иное не предусмотрено законодательством или согласием субъекта;
• рассмотрения обращений, претензий и защиты прав и законных интересов Оператора, субъектов персональных данных и третьих лиц.

1.6. При обработке персональных данных Оператор руководствуется следующими принципами:
• законность и справедливая основа;
• ограничение обработки достижением конкретных, заранее определённых и законных целей;
• недопустимость обработки персональных данных, несовместимой с целями их сбора;
• соразмерность и минимизация: обработке подлежит только тот объём данных, который необходим для достижения заявленных целей;
• точность, достаточность и актуальность данных;
• хранение данных не дольше, чем этого требуют цели обработки или закон;
• обеспечение конфиденциальности и безопасности персональных данных.

1.7. Политика обязательна для ознакомления и неукоснительного исполнения:
• работников Оператора;
• лиц, состоящих с Оператором в гражданско-правовых отношениях и имеющих доступ к персональным данным;
• аутсорсинговых, агентских, туристских и иных организаций, обрабатывающих персональные данные по поручению Оператора.

1.8. Актуализация Политики осуществляется:
• при изменении законодательства РФ и/или международных обязательств РФ в области защиты персональных данных;
• при выявлении несоответствий, затрагивающих вопросы обработки и (или) защиты персональных данных, в ходе внутренних или внешних проверок;
• по решению Оператора, обусловленному изменениями технологических процессов, организационной структуры, применяемых ИТ-систем, а также при разработке новых продуктов или услуг.

Обновлённая Политика вступает в силу с момента её размещения в общедоступном разделе веб-сайта Оператора, если иной срок не определён в тексте Политики. При этом предыдущая редакция утрачивает силу.

1.9. Вопросы, не урегулированные настоящей Политикой, подлежат разрешению в соответствии с действующим законодательством Российской Федерации.

2. ОСНОВНЫЕ ТЕРМИНЫ

2.1. Персональные данные (далее — ПД) – любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (Субъекту ПД), включая, но не ограничиваясь:
- фамилия, имя, отчество;
- контактный телефон, адрес электронной почты;
- паспортные данные, серия и номер загранпаспорта, дата выдачи, орган, выдавший документ;
- сведения о визах и миграционных документах;
- информация о медицинских противопоказаниях, аллергиях и специальных потребностях при путешествии;
- сведения о страховых полисах;
- платёжные реквизиты (номер банковской карты в формате, допускающем PCI DSS-совместимое хранение, счёт в платёжной системе, иное);
- данные о местоположении (геолокация) при использовании мобильной версии Сервиса;
- файлы Cookie, идентификаторы устройств (Device ID), web-beacons и иные технические данные.

2.2. Субъект персональных данных (Субъект) – физическое лицо, чьи ПД обрабатываются Оператором, в том числе:
а) пользователь, бронирующий авторский тур;
б) участник тура;
в) автор/организатор тура, действующий по агентской или иной модели;
г) лицо, предоставляющее ПД третьего лица (например, при групповом бронировании).

2.3. Оператор самостоятельно или совместно с иными лицами организует и (или) осуществляет обработку ПД, определяет цели такой обработки, состав ПД, подлежащий обработке, а также совершаемые с ПД действия.

2.4. Обработка персональных данных – любое действие (операция) или совокупность действий с ПД, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

2.5. Автоматизированная обработка персональных данных – обработка ПД посредством вычислительной техники, программно-аппаратных комплексов, CRM-систем, платёжных шлюзов, средств веб-аналитики.

2.6. Веб-сайт / Сервис – совокупность связанных между собой интернет-страниц, программ для ЭВМ, баз данных, а также мобильных приложений, размещённых в доменной зоне vmestepoputi.ru и её поддоменах, через которые Оператор оказывает услуги по подбору, бронированию и оплате авторских туров.

2.7. Распространение персональных данных – действия, направленные на раскрытие ПД неопределённому кругу лиц, в том числе путём размещения в сети «Интернет» или предоставления доступа к ПД иным способом.

2.8. Предоставление персональных данных – действия, направленные на раскрытие ПД определённому лицу или определённому кругу лиц (гостинице, авиаперевозчику, туроператору-партнёру, страховщику, платёжной системе и т. д.) в объёме, необходимом для исполнения договора авторского тура.

2.9. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и/или уничтожаются материальные носители ПД.

2.10. Обезличивание персональных данных – действия, в результате которых без использования дополнительной информации становится невозможным определить принадлежность ПД конкретному Субъекту.

2.11. Информационная система персональных данных – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств Оператора и/или уполномоченных им лиц.

2.12. Трансграничная передача персональных данных – передача ПД на территорию иностранного государства органу власти этого государства, иностранному физическому или юридическому лицу. При бронировании туров за рубеж ПД могут передаваться в страны, обеспечивающие или не обеспечивающие адекватную защиту ПД; в последнем случае Оператор запрашивает дополнительное согласие Субъекта и принимает меры по защите ПД (ст. 12 Закона).

2.13. Платёжный агрегатор – российское или иностранное юридическое лицо, оказывающее Оператору услуги по приёму электронных платежей, действующее на основании посреднического договора и лицензионных требований Банка России, PCI DSS.

2.14. Cookies – небольшие фрагменты данных, отправляемые веб-сервером и хранящиеся на устройстве пользователя. Оператор использует их для аутентификации, сохранения пользовательских предпочтений, ведения статистики и показа персонализированной рекламы.

2.15. Прочие термины, не определённые в настоящем разделе, трактуются в соответствии с Законом, ГК РФ, ФЗ «Об информации, информационных технологиях и о защите информации» № 149-ФЗ и общепринятой деловой практикой туристической отрасли РФ.

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРОМ

3.1. Цель обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы и сроки обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

3.1.1. Цель: аутентификация субъекта персональных данных для заключения согласия на рассылку.

• Категории и перечень обрабатываемых данных: фамилия, имя, телефон, электронная почта, аккаунты в программах обмена сообщениями и социальных сетях.
• Категории субъектов, персональные данные которых обрабатываются: субъекты персональных данных - Пользователи Сайта и/или физические лица, направившие соответствующее сообщение Оператору в мессенджере.
• Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.
• Срок обработки и хранения: до получения от субъекта персональных данных требования о прекращении обработки/отзыва согласия.
• Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит стирание данных методом перезаписи (замена всех единиц хранения информации на «0») с составлением акта об уничтожении персональных данных.

3.1.2. Цель: связь с Пользователем, направление Пользователю сообщений, уведомлений, запросов, ответов, документов, сообщений рекламного или информационного характера.

• Категории и перечень обрабатываемых данных: имя, фамилия, телефон, электронная почта, аккаунты в программах обмена сообщениями и социальных сетях.
• Категории субъектов, персональные данные которых обрабатываются: субъекты персональных данных - Пользователи Сайта и/или физические лица, направившие соответствующее сообщение Оператору в мессенджере.
• Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных.
• Срок обработки и хранения: до получения от субъекта персональных данных требования о прекращении обработки/отзыва согласия.
• Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит стирание данных методом перезаписи (замена всех единиц хранения информации на «0») с составлением акта об уничтожении персональных данных.

3.1.3. Цель: обработка обращений, жалоб, запросов, сообщений, направляемых Оператором и Пользователем друг другу.

• Категории и перечень обрабатываемых данных: фамилия, имя, телефон, электронная почта, текст сообщения (если текст сообщения содержит персональные данные), аккаунты в программах обмена сообщениями и социальных сетях.
• Категории субъектов, персональные данные которых обрабатываются: субъекты персональных данных - Пользователи Сайта и/или физические лица, направившие соответствующее сообщение Оператору в мессенджере.
• Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, передача (доступ, предоставление) блокирование, удаление, уничтожение персональных данных.
• Срок обработки и хранения: до получения от субъекта персональных данных требования о прекращении обработки/отзыва согласия.
• Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит стирание данных методом перезаписи (замена всех единиц хранения информации на «0») с составлением акта об уничтожении персональных данных.

3.1.4. Цель: аутентификация субъекта персональных данных для заключения договора оказания информационно-консультационных услуг.

• Категории и перечень обрабатываемых данных: фамилия, имя, телефон, электронная почта, текст сообщения (если текст сообщения содержит персональные данные), аккаунты в программах обмена сообщениями и социальных сетях.
• Категории субъектов, персональные данные которых обрабатываются: субъекты персональных данных - Пользователи Сайта, изъявившие желание приобрести услуги Оператора, и/или физические лица, направившие соответствующее сообщение Оператору в мессенджере.
• Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, передача (доступ, предоставление) блокирование, удаление, уничтожение персональных данных.
• Срок обработки и хранения: до получения от субъекта персональных данных требования о прекращении обработки/отзыва согласия.
• Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит стирание данных методом перезаписи (замена всех единиц хранения информации на «0») с составлением акта об уничтожении персональных данных.

3.1.5. Обработка персональных данных будет ограничиваться достижением этих конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целью обработки.

3.1.6. Оператор не осуществляет обработку биометрических Персональных данных.

3.1.7. Сроки обработки персональных данных определены с учетом:
1. установленных целей обработки персональных данных;
2. сроков действия договоров с субъектами персональных данных и/или согласий субъектов персональных данных на обработку их персональных данных;
3. сроков, определенных нормативно - правовыми актами Российской Федерации.

3.2. Принципы и условия Обработки Персональных данных Оператором.

3.2.1. Оператор осуществляет Обработку Персональных данных на законной и справедливой основе.

3.2.2. При Обработке Персональных данных обеспечиваются их точность, достаточность, актуальность по отношению к целям Обработки Персональных данных.

3.2.3. Оператор осуществляет Обработку Персональных данных с использованием средств автоматизации и без их использования. При этом Оператор выполняет требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Законом и принятыми в соответствии с ним нормативными правовыми актами.

3.2.4. Оператор не раскрывает третьим лицам и не распространяет Персональные данные, за исключением следующих случаев:
1. Субъект ПД заблаговременно выразил свое согласие на такое раскрытие.
2. Передача необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект Персональных данных, а также для заключения договора по инициативе субъекта Персональных данных или договора, по которому он будет являться выгодоприобретателем или поручителем.
3. Передача необходима для защиты прав и законных интересов Оператора или третьих лиц;
4. Передача инициирована субъектом Персональных данных.
5. Передача необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве либо иных предусмотренных действующим законодательством РФ случаях.

3.2.5. Оператор вправе использовать технологию «cookies». «Cookies» не содержат конфиденциальную информацию. Субъект персональных данных дает согласие на сбор, анализ и использование cookies, в том числе третьими лицами для целей формирования статистики и оптимизации рекламных сообщений.

3.3. Условия и ограничения обработки персональных данных, разрешенных субъектом для распространения.

3.3.1. Оператор, на основании отдельного согласия субъекта Персональных данных, осуществляет обработку некоторых категорий Персональных данных, разрешенных субъектом для распространения и предоставления доступа неограниченному кругу лиц посредством их размещения на сайте, в том числе в презентациях, статьях; в фото, аудио и иных произведениях; в рекламе в сети Интернет; в социальных сетях - в официальных группах или аккаунтах.

3.3.2. Персональные данные размещаются с целью (1) увеличения лояльности пользователей Сайтов и продуктов Оператора; (2) формирования позитивного отношения пользователей к продуктам Оператора; (3) продвижение продуктов Оператора, (4) а также любых связанных с указанными продуктами товаров, работ и услуг.

• 3.3.3. Перечень ПД и наличие/отсутствие ограничений или запретов в их отношении:

Фамилия - Не установлено

Имя - Не установлено

Отчество - Не установлено

Адрес электронной почты - Не установлено

Контактный номер телефона - Не установлено

3.3.4. Обработка осуществляется в течение срока действия согласия субъекта Персональных данных, разрешенных для распространения.

3.4. Права субъектов Персональных данных.

3.4.1. Субъект персональных данных вправе:
1. Получать от Оператора сведения об обработке своих персональных данных (состав, источники получения, цели, правовые основания, сроки хранения и др.).
  Для реализации данного права субъект направляет письменный запрос на электронную почту support@vmestepoputi.ru.
2. Требовать уточнения, блокировки либо уничтожения персональных данных, если они являются неполными, устаревшими, неточными, полученными незаконным способом либо избыточными для заявленной цели обработки.
  Запрос оформляется в письменной форме и направляется на электронную почту support@vmestepoputi.ru.
3. Отозвать ранее данное согласие на обработку персональных данных.
  Для этого субъект направляет уведомление на адрес support@vmestepoputi.ru с пометкой «Отзыв согласия на обработку персональных данных». Оператор прекращает обработку в течение 10 (десяти) рабочих дней с момента получения уведомления. Отзыв согласия может повлечь невозможность дальнейшего использования продуктов и сервисов Оператора.

3.4.2. Для исполнения положений в подпунктах 1 и 3 пункта 3.4.1. Политики Оператора может потребоваться подтвердить личность субъекта Персональных данных, потребовав предоставления такого подтверждения в любой не противоречащей закону форме.

3.5. Исполнение обязанностей оператора Оператором.

3.5.1. Оператором для обеспечения выполнения обязанностей, предусмотренных Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:
1. назначено лицо, ответственное за организацию обработки персональных данных;
2. изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений: Политика конфиденциальности и обработки персональных данных; другие локальные акты по вопросам обработки и обеспечения безопасности персональных данных;
3. применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;
4. осуществляется внутренний контроль соответствия обработки персональных данных требованиям Закона и принятых в соответствии с ним нормативных правовых актов, Политики, локальных актов Оператора;
5. проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований федерального законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Закона принятых в соответствии с ним нормативных правовых актов;
6. подрядчики Оператора, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями Закона и принятых в соответствии с ним нормативных правовых актов, Политики и локальных актов Оператора по вопросам обработки персональных данных.

3.5.2. Оператором реализуются следующие меры по обеспечению конфиденциальности и безопасности при Обработке Персональных данных:
1. Организован режим обеспечения безопасности помещений, в которых размещены информационные системы, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
2. Оператором утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими договорных обязательств перед Оператором;
3. Используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации;
4. Реализованы требования, установленные Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

3.6. Порядок прекращения Обработки Персональных данных.

3.6.1. Оператор прекращает обработку персональных данных:
1. по истечении установленных сроков;
2. по достижении целей их обработки либо в случае утраты необходимости в достижении этих целей;
3. по требованию субъекта Персональных данных (в отношении Персональных данных, которые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки), если обеспечить правомерность обработки Персональных данных невозможно;
4. в случае отзыва субъектом персональных данных согласия на обработку его Персональных данных (в отношении Персональных данных, обрабатываемых на основании согласия субъекта);
5. в случае прекращения деятельности Оператора.

3.6.2. Порядок уничтожения Персональных данных. Уничтожение персональных данных производится в случаях:
1. неправомерная обработка ПД;
2. ПД являются избыточными для заявленной цели;
3. отзыв согласия на обработку ПД;
4. достижения цели обработки ПД или утраты необходимости в достижении этих целей;
5. истечения сроков хранения ПД, установленных нормативно-правовыми актами Российской Федерации
6. признания недостоверности персональных данных или получения их незаконным путем по требованию уполномоченного органа по защите прав субъектов персональных данных;
7. признания недостоверности ПД по требованию Регулятора.

3.6.3. Способы уничтожения:
Уничтожение персональных данных из информационных систем производится встроенными средствами информационной системы и производится Оператором.
Уничтожение бумажных носителей, содержащих ПД, осуществляется путем измельчения бумаг посредством шредера.

3.6.4. По завершению уничтожения Персональных данных Оператором составляется Акт об уничтожении Персональных данных.

4. ПРАВИЛА ХРАНЕНИЯ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ГРАЖДАН РФ

4.1. Оператор осуществляет обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

4.1.1. Принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных Организацией не производится. Оператор хранит персональную информацию пользователей в соответствии с внутренним регламентом.

5. РАССЫЛКИ НА ЭЛЕКТРОННУЮ ПОЧТУ И АНТИСПАМ ПОЛИТИКА

5.1. Являясь Пользователем сайта Оператора, вы можете получать периодические рассылки (информационные, праздничные и другие) на зарегистрированный адрес электронной почты, а также автоматическое подтверждение ваших заказов и сервисные уведомления.

5.2. Рассылки на электронную почту проводятся с определенной периодичностью.

5.3. Оператор уважает личную свободу пользователя на получение только тех электронных писем, которые он хочет. Каждый Пользователь добровольно выбирает, получать ему рассылку от нас или нет.

5.4. Оператор гарантирует, что ваш адрес вашей электронной почты не будет использоваться для рассылки спама. Оператор гарантирует организационные и технические меры для защиты персональной информации пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

5.5. В отношении персональной информации пользователя сохраняется конфиденциальность, кроме случаев добровольного предоставления пользователем информации о себе для общего доступа неограниченному кругу лиц. В данном случае пользователь соглашается с тем, что определенная часть его персональной информации становится общедоступной.

6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

6.1. Политика может быть изменена Оператором в одностороннем порядке путем размещения ее новой редакции на сайте Оператора его поддоменах и/или путем направления ее новой редакции непосредственно Пользователю.