Политика конфиденциальности

Настоящий документ определяет политику Оператора в отношении обработки персональных и иных конфиденциальных данных, типы персональных данных, права и обязанности Оператора и Субъектов персональных данных в процессе обработки персональных данных.

1. Термины и определения

1.1. В рамках настоящей Политики нижеприведенные термины используются в следующих значениях:

1) Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2) Оператор персональных данных (Оператор) - общество с ограниченной ответственностью «Бумеранг» (ИНН 4502016770), являющееся владельцем Сайта, самостоятельно осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, в соответствии с настоящей Политикой. Адрес места нахождения Оператора: 640000, Курганская обл., г. Курган, ул. Р. Зорге, д. 56, помещение 12.

3) Субъект персональных данных — физическое лицо, к которому относятся обрабатываемые персональные данные.

4) Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5) Передача персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

6) Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

7) Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

8) Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

9) Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

10) Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

11) Сайт - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством сети Интернет по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети Интернет. Адреса сайтов, на которых Оператором осуществляется сбор персональных данных и их последующая обработка: http://gotouristic.ru/.

12) Файлы cookie – фрагменты данных, отправленные сайтом и хранимые на компьютере, мобильном телефоне или другом устройстве, с которого Субъект персональных данных посещает Сайт, применяемые для сохранения данных о действиях Субъекта персональных данных на сайте.

2. Общие положения

2.1. Цели, способы обработки, перечень обрабатываемых персональных данных определен настоящей Политикой.

Обработка персональных данных осуществляется Оператором в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»  (далее — Закон № 152-ФЗ)  и иными требованиями законодательства Российской Федерации в области персональных данных.

Обработка персональных данных Оператором осуществляется без использования средств автоматизации  и/или с использованием средств автоматизации посредством сети Интернет. Без использования средств автоматизации персональные данные могут обрабатываться в виде документов на бумажных носителях или в электронном виде на электронных носителях.

Обработка персональных данных осуществляется Оператором с использованием информационных систем, находящихся на территории Российской Федерации.

2.2. Категории субъектов персональных данных, чьи данные обрабатываются Оператором в соответствии с настоящей Политикой:

1) Физические лица, состоящие или состоявшие в трудовых отношениях с Оператором,

2) Лица, имеющие намерения вступить в трудовые отношения (соискатели, кандидаты на замещение вакантных должностей).

3) Физические лица, состоящие или состоявшие в гражданско-правовых отношениях с Оператором, являющиеся Исполнителями по договорам.

4) Физические лица, состоящие или состоявшие в гражданско-правовых отношениях с Оператором, являющиеся Заказчиками (клиентами) по договорам реализации туристского продукта.

5) Посетители Сайта и иных информационных ресурсов Оператора, а также лица, обратившиеся к Оператору с сообщениями через форму обратной связи или с использованием контактной информации на Сайте.

6) Работники контрагентов по агентским договорам с поручением покупки авиа- и ж/д билетов, оформления виз, страховок, бронирование гостиниц и иных сопутствующих услуг.

2.3. Правовые основания обработки персональных данных:

- Обработка персональных данных может осуществляться после получения согласия Субъекта персональных данных на обработку персональных данных в порядке, установленном действующим законодательством Российской Федерации, в письменной форме, а также в форме совершения субъектом персональных данных конклюдентных действий, в том числе:

1) продолжения использования информационных ресурсов, сайтов Оператора, взаимодействия с их пользовательскими интерфейсами после уведомления об обработке персональных данных, в том числе направления физическим лицом обращения к Оператору с запросами, сообщениями, заявлениями, жалобами, предложениями с использованием контактной информации или средств сбора обратной связи на Сайте;

2) поддержания электронной переписки, в которой говорится об обработке персональных данных;

3) иных действий, совершаемых Субъектом персональных данных, по которым можно судить о его волеизъявлении в части согласия на обработку персональных данных.

- Обработка персональных данных осуществляется для достижения целей, предусмотренных законодательством, и для выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий, обязанностей.

- Обработка персональных данных осуществляется для исполнения договора.

2.4. В некоторых случаях при отказе Субъекта персональных данных от предоставления в необходимом и достаточном объеме его персональных данных, Оператор не сможет осуществить необходимые действия для достижения соответствующих обработке целей. В том числе, в таком случае услуги могут быть не оказаны.

2.5. Субъект персональных данных имеет право:

- на получение информации, касающейся обработки его персональных данных: подтверждение факта обработки персональных данных, правовые основания и цели обработки персональных данных, способы обработки персональных данных, перечень обрабатываемых персональных данных, сроки обработки персональных данных, информацию о трансграничной передаче персональных данных, сведения об Операторе и третьих лицах, в случае передачи персональных данных, а также иные сведения, предусмотренные действующим законодательством;

- требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если Заказчик полагает, что Оператор осуществляет обработку его персональных данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы;

- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

3. Обработка персональных данных физических лиц, состоящих и ранее состоявших в трудовых отношениях с Оператором

3.1. Обработка персональных данных осуществляется в целях:

1) заключение и регулирование трудовых и иных непосредственно связанных с ними отношений;

2) подключение к информационной системе работодателя для ведения электронного документооборота в сфере трудовых правоотношений, в том числе оформление личного кабинета в информационной системе работодателя (в случаях, если работодатель использует такую информационную систему).

3.2. Перечень персональных данных, подлежащих обработке:

1) фамилия, имя, отчество;

2) пол;

3) дата и место рождения;

4) гражданство;

5) данные документа, удостоверяющего личность;

6) данные, содержащиеся в свидетельствах о рождении детей работника;

7) адрес регистрации по месту жительства и адрес фактического проживания;

8) страховой номер индивидуального лицевого счета в системе пенсионного страхования (СНИЛС);

9) индивидуальный номер налогоплательщика (ИНН);

10) сведения документов о воинском учете;

11) номер телефона;

12) адрес электронной почты;

13) данные документов об образовании, профессии, квалификации, профессиональной подготовке, сведения о повышении квалификации;

14) сведения, содержащиеся в трудовой книжке, и сведения о трудовой деятельности работника;

15) семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления льгот, предусмотренных трудовым и налоговым законодательством;

16) сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;

17) сведения о стандартных, социальных и имущественных вычетах;

18) сведения о состоянии здоровья, связанные с возможностью выполнения трудовой функции;

19) фотографическое изображение;

20) реквизиты лицевого счета (включая банковские реквизиты);

21) сведения о доходах.

4. Обработка персональных данных лиц, имеющих намерения вступить в трудовые отношения с Оператором (соискатели, кандидаты на замещение вакантных должностей)

4.1. Обработка персональных данных осуществляется в целях:

1) рассмотрение вопроса о трудоустройстве и соответствии кандидатуры имеющимся вакансиям;

4.2. Перечень персональных данных, подлежащих обработке:

1) фамилия, имя, отчество;

2) дата и место рождения;

3) данные документа, удостоверяющего личность;

4) адрес регистрации по месту жительства;

5) номер телефона;

6) адрес электронной почты;

7) сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время).

5. Обработка персональных данных физических лиц, состоящих и ранее состоявших в гражданско-правовых отношениях с Оператором, являющихся Исполнителями по договорам, а также лиц, имеющих намерения вступить в такие отношения

5.1. Обработка персональных данных осуществляется в целях заключения и регулирования гражданско-правовых и иных непосредственно связанных с ними отношений.

5.2. Перечень персональных данных, подлежащих обработке:

1) фамилия, имя, отчество;

2) дата рождения;

3) данные документа, удостоверяющего личность;

4) адрес регистрации и адрес проживания;

5) номер телефона;

6) ИНН;

7) номер банковского счета;

8) СНИЛС.

6. Обработка персональных данных физических лиц, состоящих или состоявших в гражданско-правовых отношениях с Оператором, являющихся Заказчиками (клиентами) по договорам реализации туристского продукта.

6.1. Обработка персональных данных осуществляется в целях заключения и регулирования гражданско-правовых и иных непосредственно связанных с ними отношений.

6.2. Перечень персональных данных, подлежащих обработке:

1) Фамилия, имя, отчество;

2) Дата рождения;

3) Данные документа, удостоверяющего личность;

4) Абонентский телефонный номер;

5) Адрес регистрации по месту жительства;

6) Адрес электронной почты.

7. Обработка персональных данных посетителей Сайта Оператора, а также лиц, обратившихся к Оператору с сообщениями с использованием формы обратной связи или контактной информации на сайте.

7.1. Оператор может собирать электронные пользовательские данные на своих Сайтах автоматически, без необходимости участия Субъекта персональных данных и совершения им каких-либо действий по отправке данных. Достоверность собранных таким способом электронных данных Оператором не проверяется, информация обрабатываются «как есть» в том виде, как она поступила с устройства Субъекта персональных данных.

7.2. Посетителям Сайтов могут показываться всплывающие уведомления о сборе и обработке данных посредством cookies со ссылкой на настоящую Политику и кнопками закрытия всплывающего уведомления. Такие уведомления означают, что при посещении и использовании Сайтов, информационных ресурсов и веб-приложений Оператора будет использоваться технология сохранения и получения данных с использованием устройства Субъекта персональных данных (например, сохранение и получение данных cookies), позволяющая в дальнейшем идентифицировать такого Субъекта или его устройство, запомнить сеанс работы или сохранить некоторые настройки и предпочтения, специфичные для этих конкретных Сайтов. Такая информация после сохранения в браузере и до истечения установленного срока действия или удаления с устройства будет отправляться при каждом последующем запросе на Сайт, от имени которого они были сохранены, вместе с этим запросом для обработки на стороне Оператора.

7.3. Обработка данных cookies необходима Оператору для корректной работы Сайтов, в частности, их функций, относящихся к доступу зарегистрированных пользователей программных продуктов, услуг, работ и ресурсов Оператора; персонализации пользователей Сайта; повышения эффективности и удобства работы с Сайтами.

7.4. Кроме обработки данных cookies, установленных самими Сайтами Оператора, Субъектами персональных данных могут устанавливаться cookies, относящиеся к сайтам сторонних организаций, например, в случаях, когда на сайтах Оператора используются сторонние компоненты и программное обеспечение. Обработка таких cookies регулируется политиками соответствующих сайтов, к которым они относятся, и может изменяться без уведомления пользователей Сайтов Оператора. К таким случаям может относиться размещение на сайтах:

1) счетчика посещений, аналитического и статистического сервиса Яндекс.Метрика и иных аналогичных сервисов для сбора статистики посещаемости Сайтов;

2) виджетов вспомогательных сервисов для сбора обратной связи, организации чатов и иных видов коммуникаций;

3) систем контекстной рекламы, баннерных и иных маркетинговых сетей;

4) кнопок авторизации на сайтах с помощью учетных записей в социальных сетях;

5) иных сторонних компонентов, используемых Оператором на своих Сайтах.

7.5. Принятие условий обработки cookies или закрытие всплывающего уведомления расценивается как согласие Субъекта персональных данных на обработку данных cookies на Сайтах Оператора и согласие на обработку персональных данных в объеме информации, собираемой в соответствии с данной Политикой с использованием cookies.

7.6. Сайты Оператора используют сервис веб-аналитики Яндекс Метрика, предоставляемый компанией ООО «ЯНДЕКС» (далее — Яндекс). Сервис Яндекс Метрика использует технологию cookie — небольшие текстовые файлы, размещаемые на компьютере пользователей с целью анализа их пользовательской активности. Собранная при помощи cookie информация не может идентифицировать пользователей Сайтов. Информация об использовании Сайтов, собранная при помощи cookie, будет передаваться Яндексу и храниться на сервере Яндекса в Российской Федерации. Яндекс будет обрабатывать эту информацию для оценки использования Сайта, составления отчетов о деятельности Сайта, и предоставления других услуг.

7.7. В случае если Субъект персональных данных не согласен с обработкой cookies, он принимает на себя риск, что в таком случае функции и возможности Сайтов могут быть доступны лишь в ограниченном объеме, а затем может следовать по одному из следующих вариантов:

1) произвести самостоятельную настройку своего браузера в соответствии с документацией или справкой к нему таким образом, чтобы он на постоянной основе не разрешал принимать и отправлять данные cookies для любых сайтов либо для конкретного Сайта Оператора или сайта стороннего компонента;

2) переключиться в специальный режим «инкогнито» браузера для использования сайтом cookies до закрытия окна браузера или до переключения обратно в обычный режим;

3) покинуть сайт во избежание дальнейшей обработки cookies.

7.8. Посетители сайта могут отправить Оператору заявку на подбор или расчет стоимости тура, которая содержит следующие персональные данные:

1) имя;

2) номер телефона.

Направление заявки означает, что обратившееся физическое лицо дает Оператору конкретное, предметное, информированное, сознательное и однозначное согласие на обработку персональных данных, указанных в обращении, в соответствии со ст. 9 Закона № 152-ФЗ и на условиях настоящей Политики.

7.9. Целью обработки персональных данных физических лиц, обратившихся к Оператору с заявками, является рассмотрение Оператором заявки и направление Субъекту персональных данных ответа по существу обращения.

7.10. В зависимости от характера обращения Субъект персональных данных может предоставить Оператору иные персональные данные. В этом случае объем предоставляемых персональных данных определяется по усмотрению такого Субъекта. Направление таких персональных данные означает согласие субъекта персональных данных на их обработку Оператором.

7.11. Направляя Оператору персональные данные третьих лиц, Субъект персональных данных подтверждает, что им получено в надлежащей форме согласие указанных третьих лиц на обработку их персональных данных Оператором в целях, для которых они предоставляются, и несет всю ответственность за отсутствие такого согласия.

8. Обработка персональных данных работников контрагентов по агентским договорам с поручением покупки авиа- и ж/д билетов, оформления виз, страховок, бронирование гостиниц и иных сопутствующих услуг.

8.1. Обработка персональных данных осуществляется в целях исполнения агентского договора.

6.2. Перечень персональных данных, подлежащих обработке:

1) Фамилия, имя, отчество;

2) Дата рождения;

4) Данные документа, удостоверяющего личность;

5) Абонентский телефонный номер;

6) Адрес регистрации по месту жительства.

9. Меры по защите персональных данных

9.1. Оператор предпринимает необходимые и достаточные правовые, организационные и технические меры для обеспечения безопасности персональных данных по их защите от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

1) назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;

2) издание локальных актов по вопросам обработки персональных данных, информационной безопасности, ознакомление с ними сотрудников;

3) обучение сотрудников по вопросам обработки персональных данных, обеспечения информационной безопасности при обработке персональных данных;

4) ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;

5) определение угроз безопасности персональных данных при их обработке в информационных системах для обработки персональных данных, формирование на их основе моделей угроз информационной безопасности и определение и реализация мер защиты персональных данных для нейтрализации угроз информационной безопасности;

6) применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе, в необходимых случаях, прошедших процедуру оценки соответствия в установленном порядке;

7) учёт и хранение носителей информации, содержащей персональные данные, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;

8) резервное копирование информации для возможности восстановления;

9) осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты;

10) проверка наличия в договорах, включение при необходимости в договоры пунктов об обеспечении конфиденциальности и безопасности персональных данных;

11) иные меры в соответствии с локальными актами Оператора.

10. Порядок отзыва согласия на обработку персональных данных

10.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору или его уполномоченным представителям по почте или обратившись лично.

11. Сроки обработки и хранения персональных данных.

11.1. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, или до момента отзыва субъектом персональных данных согласия на обработку персональных данных, за исключением случаев, когда осуществление обработки и хранения персональных данных определены соглашением сторон или действующим законодательством.

11.2. Персональные данные хранятся в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ. 

11.3. В случае достижения цели обработки, отзыва согласия на обработку персональных данных или прекращения обработки персональных данных по иным основаниям Оператор вправе продолжить обработку персональных данных, если это предусмотрено соглашением между субъектом персональных данных и Оператором, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также в случаях, установленных действующим законодательством.

12. Порядок уничтожения персональных данных.

12.1. Персональные данные подлежат уничтожению в следующих случаях:

1) достижение цели обработки или утрата необходимости достижения цели обработки персональных данных;

2) достижение максимальных сроков хранения документов, содержащих персональные данные;

3) выявление факта неправомерной обработки персональных данных;

4) отзыв субъектом персональных данных согласия, если иное не предусмотрено Законом № 152-ФЗ;

5) иные основания, предусмотренные действующим законодательством РФ.

12.2. Уничтожение персональных данных осуществляется способом, исключающим  дальнейшую обработку этих персональных данных и возможность последующего восстановления информации.

Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

12.3. Уничтожение персональных данных, содержащихся на бумажных носителях, может осуществляться путем измельчения на мелкие части с использованием шредера (уничтожителя документов).

12.4. Уничтожение персональных данных, хранящихся на ПЭВМ и (или) на перезаписываемых съемных машинных носителях информации, используемых для хранения информации вне ПЭВМ (флеш-накопителях, внешних жестких дисках, CD-дисках и иных устройствах), может производиться с использованием штатных средств информационных и операционных систем. 

12.5. Уничтожение персональных данных, содержащихся на машиночитаемых носителях, которые невозможно уничтожить с помощью штатных средств информационных и операционных систем, может производиться путем нанесения носителям неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных, в том числе путем деформирования, нарушения единой целостности носителя.

12.6. При отсутствии возможности уничтожения персональных данных в течении установленного законом срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

12.7. Подтверждение уничтожения персональных данных осуществляется в соответствии с требованиями, установленными действующим законодательством.

13. Предоставление персональных данных третьим лицам.

13.1. В целях исполнения договора на реализацию туристского продукта Оператор вправе предоставить персональные данные Заказчика третьим лицам, а именно туроператору, сформировавшему туристский продукт, организациям, осуществляющим предоставление транспортных услуг и услуг по проживанию. При этом Заказчик вправе требовать от Оператора предоставления полной информации о лицах, которым были предоставлены его персональные данные.

13.2. В иных случаях Оператор не передает и не распространяет персональные данные Заказчика, а также не предоставляет к ним доступ третьим лицам без получения предварительного согласия Заказчика, за исключением случаев предоставления персональных данных по запросам уполномоченных государственных органов в соответствии с действующим законодательством.

14. Трансграничная передача.

14.1. В целях исполнения договора о реализации туристского продукта Оператор осуществляет трансграничную передачу персональных данных на территорию иностранных государств, в том числе не обеспечивающих адекватную защиту прав субъектов персональных данных. Правовым основанием для трансграничной передачи является пункт 5 части 1 статьи 6 Федерального закона № 152-ФЗ «О персональных данных» (необходимость для исполнения договора, стороной которого является субъект персональных данных). Перечень иностранных государств определяется страной назначения туристского продукта.

14.2. В целях организации командировок работников Оператор осуществляет трансграничную передачу их персональных данных на территорию иностранных государств. Правовым основанием для трансграничной передачи является пункт 5 части 1 статьи 6 Федерального закона № 152-ФЗ «О персональных данных» (необходимость для исполнения договора, стороной которого является субъект персональных данных, а также для осуществления прав и законных интересов оператора). Перечень иностранных государств определяется страной назначения командирования.

14.3. В целях покупки авиабилетов и бронирования отелей для представителей (работников) контрагентов по агентским договорам Оператор осуществляет трансграничную передачу персональных данных таких субъектов на территорию иностранных государств. Правовым основанием для трансграничной передачи является пункт 5 части 1 статьи 6 Федерального закона № 152-ФЗ «О персональных данных» (необходимость для исполнения договора, где стороной либо выгодоприобретателем является субъект персональных данных). Перечень иностранных государств определяется контрагентами.