Политика конфиденциальности

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее — Политика) подготовлена в соответствии с требованиями Конституции Российской Федерации, Гражданского кодекса РФ, Трудового кодекса РФ, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федерального закона № 132-ФЗ «Об основах туристской деятельности в Российской Федерации», иных нормативно-правовых актов Российской Федерации и определяет позицию Общества с ограниченной ответственностью «Туристическая Компания «ТриАтур», ИНН 7718230099 (далее — Общество, Оператор, Турагентство) в области обработки и защиты персональных данных.

1.2. Данная Политика распространяется на персональные данные, получаемые Обществом:

— через офисы продаж, расположенные по адресам: г. Москва, ул. Пятницкая, д. 41, стр. 2; г. Москва, ул. Большая Якиманка, д. 58/2;

— через партнёров Общества;

— через систему чатов и виджеты на сайте;

— через веб-сайт: https://triatur.ru (далее — Сайт).

1.3. Целью настоящей Политики является обеспечение защиты прав и свобод Пользователей и иных субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.4. Политика устанавливает обязательства Общества по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые субъект персональных данных предоставляет при использовании Сайта, при обращении в офисы продаж, при заключении договоров и в иных случаях взаимодействия с Обществом.

1.5. Настоящая Политика исполняется всеми работниками Общества, имеющими доступ к персональным данным.

1.6. Использование Сайта Общества, заполнение форм на Сайте, подписание договора с Обществом означает, что субъект персональных данных в полном объёме ознакомился и согласен с настоящей Политикой.

1.7. В случае несогласия с условиями настоящей Политики субъект персональных данных обязан прекратить использование Сайта и воздержаться от заключения договоров с Обществом.

1.8. Настоящая Политика применяется только к деятельности Общества. Общество не контролирует и не несёт ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте.

1.9. Общество не проверяет достоверность персональных данных, предоставляемых субъектом персональных данных. Субъект персональных данных несёт самостоятельную ответственность за предоставление недостоверных, неполных или некорректных персональных данных.

2. ОПРЕДЕЛЕНИЯ

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). К такой информации, в частности, можно отнести: ФИО, год, месяц, дату и место рождения, адрес, данные документов, удостоверяющих личность, сведения о семейном, имущественном положении, сведения об образовании, профессии, доходах, а также другую информацию.

2.2. Субъект персональных данных — любое физическое лицо, которому принадлежат персональные данные и которого по ним можно определить.

2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.5. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.6. Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.7. Администрация сайта — уполномоченные сотрудники по управлению Сайтом, действующие от имени ООО «Туристическая Компания «ТриАтур», которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.8. Пользователь сайта (Пользователь) — лицо, имеющее доступ к Сайту посредством сети Интернет и использующее Сайт Общества.

2.9. Клиент — физическое лицо, пользующееся услугами Общества, и чьи персональные данные обрабатываются Обществом по договору о реализации туристического продукта и/или дополнительных услуг.

2.10. Конфиденциальность персональных данных — обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2.11. Безопасность персональных данных — защищённость персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3. СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Общество обрабатывает следующие персональные данные субъектов:

— фамилия, имя, отчество на русском языке;

— фамилия и имя на иностранном языке (в соответствии с данными, указанными в заграничном паспорте);

— дата и место рождения;

— гражданство;

— пол;

— серия и номер паспорта гражданина Российской Федерации;

— серия, номер и дата окончания заграничного паспорта;

— адрес регистрации и фактического места жительства;

— контактный телефон;

— адрес электронной почты (e-mail);

— сведения о семейном положении (при необходимости для оформления визы);

— сведения о месте работы и должности (при необходимости для оформления визы);

— сведения, которые запрашиваются консульскими службами посольства страны планируемого посещения для рассмотрения вопроса о выдаче визы;

— иная информация, относящаяся к прямо или косвенно определённому субъекту персональных данных и необходимая для исполнения обязательств по договору.

3.2. Сведения, перечисленные в п. 3.1 Политики, являются конфиденциальными. Общество обеспечивает конфиденциальность персональных данных и обязано не допускать их распространение без согласия субъекта персональных данных либо наличия иного законного основания.

3.3. Общество не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах. Общество обрабатывает персональные данные о состоянии здоровья только в объёме, необходимом для целей соблюдения действующего законодательства и исполнения обязательств по договору (например, при оформлении медицинской страховки).

4. ПРАВОВЫЕ ОСНОВАНИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Общество осуществляет обработку персональных данных в соответствии с требованиями законодательства Российской Федерации.

4.2. Общество осуществляет обработку персональных данных субъектов в следующих целях:

4.2.1. Клиентов Общества — в целях:

— заключения и исполнения обязательств по договорам о реализации туристического продукта и/или дополнительных услуг;

— бронирования туристических услуг (авиабилетов, гостиниц, трансферов, экскурсий и т.д.);

— оформления въездных виз в иностранные государства;

— оформления медицинских страховок и страхования от невыезда;

— предоставления информации по услугам, проходящим акциям и специальным предложениям;

— информирования о статусе оказания услуги.

4.2.2. Физических лиц, с которыми Обществом заключаются договоры гражданско-правового характера, — в целях заключения и исполнения указанных договоров и рассмотрения возможностей дальнейшего сотрудничества.

4.2.3. Представителей юридических лиц — контрагентов Общества — в целях ведения переговоров, заключения и исполнения договоров по различным направлениям хозяйственной деятельности Общества.

4.2.4. Работников Общества и членов их семей (кандидатов на вакантные должности) — в целях соблюдения трудового, налогового и пенсионного законодательства Российской Федерации, включая расчёт и начисление заработной платы, организацию деловых поездок (командировок), оформление доверенностей, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, предоставление различного вида льгот.

5. ПРИНЦИПЫ И ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. При обработке персональных данных Общество придерживается следующих принципов:

— законности, справедливости и обоснованности;

— ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;

— недопущения обработки персональных данных в целях, не связанных с целями сбора персональных данных;

— недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;

— обработки только тех персональных данных, которые отвечают целям их обработки;

— соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;

— обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки;

— уничтожения либо обезличивания персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.2. Персональные данные не раскрываются третьим лицам и не распространяются без согласия субъекта персональных данных (если иное не предусмотрено законодательством Российской Федерации).

5.3. В случаях, установленных действующим законодательством, Общество вправе осуществлять передачу персональных данных с соблюдением требований законодательства Российской Федерации в части обработки и защиты персональных данных.

5.4. Общество вправе поручить обработку персональных данных третьим лицам с согласия субъекта персональных данных на основании заключаемого с этими лицами договора. Лица, осуществляющие обработку персональных данных по поручению Общества, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные действующим законодательством.

5.5. Общество вправе передавать персональные данные субъекта и иных лиц, указанных в заявке, третьему лицу в объёме, необходимом для исполнения обязательств в рамках гражданско-правовых правоотношений, в том числе осуществлять трансграничную передачу персональных данных.

5.6. Персональные данные не могут передаваться третьим лицам для маркетинговых, коммерческих и иных аналогичных целей, за исключением случаев получения предварительного согласия субъекта персональных данных.

6. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Общество в ходе своей деятельности в соответствии с требованиями действующего законодательства осуществляет трансграничную передачу персональных данных. Трансграничная передача персональных данных необходима для:

— бронирования отелей и иных средств размещения за рубежом;

— бронирования авиабилетов и иных перевозок;

— оформления въездных виз;

— оформления медицинских страховок, действующих за рубежом;

— иных целей, связанных с исполнением обязательств по договору о реализации туристического продукта.

6.2. Обеспечение защиты прав субъектов персональных данных и их безопасности при трансграничной передаче персональных данных реализуется в соответствии с требованиями действующего законодательства и действующими международными договорами (соглашениями) Российской Федерации.

6.3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться только в случаях, предусмотренных действующим законодательством, и при наличии письменного согласия субъекта персональных данных.

7. СПОСОБЫ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. В целях исполнения требований действующего законодательства и своих договорных обязательств обработка персональных данных в Обществе осуществляется как с использованием средств автоматизации, так и без использования таких средств. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

7.2. Сроки обработки (хранения) персональных данных определяются исходя из целей обработки персональных данных, в соответствии со сроком действия договора с субъектом персональных данных, сроком исковой давности и требованиями действующего законодательства.

7.3. Персональные данные могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.

8. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ COOKIE И СЕРВИСОВ АНАЛИТИКИ

8.1. Сайт Общества использует файлы cookie для обеспечения корректной работы Сайта, улучшения пользовательского опыта и анализа посещаемости.

8.2. Общество использует сервис Яндекс.Метрика для анализа посещаемости Сайта. Яндекс.Метрика автоматически собирает информацию о Пользователях через код на Сайте (IP-адреса, информацию из cookie, данные о браузере, операционной системе и т.д.). Обработанные данные используются для формирования отчётов и предоставления статистики о трафике, поведении аудитории, конверсиях и других метриках Сайта.

8.3. Использование Сайта означает согласие Пользователя на обработку данных с помощью указанных сервисов аналитики. Пользователь вправе отключить использование файлов cookie в настройках своего браузера.

9. ОБЯЗАННОСТИ ОБЩЕСТВА

9.1. Предоставить субъекту персональных данных по его просьбе информацию, предусмотренную действующим законодательством, с учётом ограничений, установленных действующим законодательством.

9.2. Разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с действующим законодательством или условиями договора.

9.3. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

9.4. Опубликовать в сети Интернет и обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных, и сведениям о реализуемых требованиях к защите персональных данных.

9.5. Предоставить субъектам персональных данных и/или их представителям безвозмездно возможность ознакомления с персональными данными по соответствующему запросу.

9.6. Осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к субъекту персональных данных, с момента обращения или получения соответствующего запроса на период проверки.

9.7. Уточнить персональные данные в случае подтверждения факта их неточности на основании сведений, представленных субъектом персональных данных или его представителем, и снять блокирование персональных данных.

9.8. Прекратить неправомерную обработку персональных данных в случае её выявления.

9.9. Прекратить обработку персональных данных и уничтожить персональные данные в случае достижения цели обработки персональных данных, если иное не предусмотрено договором или законодательством.

9.10. Прекратить обработку персональных данных и уничтожить персональные данные в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных.

9.11. Обеспечить хранение конфиденциальной информации в тайне, не осуществлять продажу, обмен, опубликование либо разглашение иными возможными способами переданных персональных данных.

10. ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Предоставлять в полном объёме достоверную информацию о своих персональных данных, а также информацию о персональных данных иных лиц, указанных в заявке, необходимую для пользования Сайтом и исполнения обязательств по договору.

10.2. При предоставлении персональных данных третьих лиц субъект персональных данных обязан получить от них письменное согласие на обработку их персональных данных.

10.3. Обновлять и дополнять предоставленную информацию о персональных данных в случае её изменения.

11. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Субъект персональных данных имеет право получать от Общества:

— подтверждение факта обработки персональных данных и сведения о наличии персональных данных, относящихся к соответствующему субъекту персональных данных;

— сведения о правовых основаниях и целях обработки персональных данных, о применяемых Обществом способах обработки персональных данных;

— сведения о наименовании и местонахождении Общества, о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные;

— перечень обрабатываемых персональных данных и информацию об источнике их получения;

— сведения о сроках обработки персональных данных, в том числе о сроках их хранения;

— информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных.

11.2. Требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

11.3. Отозвать своё согласие на обработку персональных данных.

11.4. Требовать устранения неправомерных действий Общества в отношении его персональных данных.

11.5. Обжаловать действия или бездействие Общества в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы.

12. МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

12.2. К мерам защиты персональных данных относятся:

— назначение лица, ответственного за организацию обработки персональных данных;

— разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;

— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

— определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

— оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;

— учёт машинных носителей персональных данных;

— обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по недопущению подобных инцидентов в будущем;

— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— установление правил доступа к персональным данным и обеспечение регистрации и учёта всех действий с персональными данными;

— контроль за принимаемыми мерами по обеспечению безопасности персональных данных;

— ознакомление работников Общества с положениями законодательства о персональных данных и обучение работников.

13. ОТВЕТСТВЕННОСТЬ СТОРОН

13.1. Общество несёт ответственность, предусмотренную законодательством Российской Федерации, за нарушение требований к обработке и защите персональных данных.

13.2. В случае утраты или разглашения конфиденциальной информации Общество не несёт ответственности, если данная конфиденциальная информация:

— стала публичным достоянием до её утраты или разглашения;

— была получена третьими лицами до момента её получения Обществом;

— была разглашена с согласия субъекта персональных данных.

14. РАЗРЕШЕНИЕ СПОРОВ

14.1. Настоящей Политикой предусмотрен обязательный письменный досудебный порядок урегулирования споров.

14.2. Претензии рассматриваются Обществом в течение тридцати (30) календарных дней с момента получения соответствующего требования.

14.3. В случае если спор не будет урегулирован в досудебном порядке, стороны вправе обратиться в судебный орган в соответствии с законодательством Российской Федерации.

14.4. К настоящей Политике и правоотношениям, возникающим между субъектом персональных данных и Обществом, применяется законодательство Российской Федерации.

15. ПОРЯДОК ОТЗЫВА СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

15.1. Субъект персональных данных вправе в любое время отозвать своё согласие на обработку персональных данных, направив письменное заявление по почтовому адресу Общества:

121615, г. Москва, Рублёвское шоссе, д. 12, корп. 1, кв. 48, ООО «ТК «ТриАтур».

15.2. Также заявление об отзыве согласия может быть направлено на адрес электронной почты: zakaz@triatur.ru.

15.3. После получения заявления обработка персональных данных будет прекращена, а персональные данные будут удалены в срок, не превышающий тридцати (30) дней с даты получения заявления, за исключением случаев, когда обработка может быть продолжена в соответствии с требованиями действующего законодательства или условиями договора.

16. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

16.1. Настоящая Политика является общедоступной и размещается на официальном веб-сайте Общества в сети Интернет по адресу: https://triatur.ru/privacy-policy/

16.2. Общество вправе вносить изменения в настоящую Политику без согласия субъектов персональных данных. Новая редакция Политики вступает в силу с момента её размещения на Сайте, если иное не предусмотрено новой редакцией Политики.

16.3. В случае нарушений положений Политики Общество несёт ответственность в соответствии с действующим законодательством Российской Федерации.

16.4. Контроль исполнения положений Политики осуществляется лицом, ответственным за организацию обработки персональных данных Обществом.