• ВолгаWolga /
• Политика обработки персональных данных

Политика обработки персональных данных

Настоящая Политика Общества с ограниченной ответственностью Теплоходная компания «Большой МАЯК» (ООО «Большой МАЯК») (ИНН 5902040240; ОГРН 1165958112374) в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Политика действует в отношении всех персональных данных, полученных ООО «Большой МАЯК» (далее – Оператор) от Субъектов персональных данных, в том числе полученных с помощью сайта volgawolga.ru и/или booking.volgawolga.ru (далее – сайт), и которые обрабатывает Оператор. Политика предназначена для информирования Субъекта персональных данных о действиях Оператора по сбору, обработке и защите персональных данных для достижения заявленных целей обработки персональных данных, в том числе на сайте.

1. Основные понятия.

Персональные данные (далее – ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу - Субъекту персональных данных (далее – Субъект ПД).

Субъект ПД – любое физическое лицо (Пользователь/Посетитель сайта и/или Клиент), предоставляющий согласие на обработку своих ПД Оператору.

Оператор – ООО «Большой МАЯК», организующее и(или) осуществляющее обработку ПД, а также определяющее цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД, полученные, в том числе с помощью сайта.

Обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых Оператором с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение ПД.

Автоматизированная обработка ПД – обработка ПД с помощью средств вычислительной техники.

Неавтоматизированная обработка ПД – действия с ПД, как использование, уточнение, уничтожение ПД в отношении каждого из Субъектов ПД, осуществляемые при непосредственном участии Субъекта ПД.

Предоставление ПД – действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц.

Блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД).

Уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД.

Обезличивание ПД – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному Субъекту ПД.

Информационная система ПД - совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность ПД – действия Оператора и иных лиц, получивших доступ к ПД Субъекта ПД, связанные с их обязанностью не раскрывать и не распространять ПД третьим лицам без согласия Субъекта ПД, если иное не предусмотрено действующим законодательством Российской Федерации.

Согласие Субъекта ПД на обработку ПД – принятое Субъектом ПД решение о предоставлении своих ПД и предоставления согласия на их обработку свободно, своей волей и в своем интересе Оператору, полученное Оператором в письменной форме либо в форме электронного документа, подписанного простой или усиленной электронной подписью либо путем совершения Субъектом ПД действий, свидетельствующих о принятии Субъектом ПД решения о предоставлении своих ПД и предоставлении согласия на их обработку, в том числе, если это явствует из обстановки.

2. Права и обязанности Оператора.

2.1. Оператор обязан:

• обрабатывать ПД исключительно в целях, указанных в Политике, в порядке, установленном действующим законодательством Российской Федерации, и принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами;
• не распространять ПД без согласия Субъекта ПД, если иное не предусмотрено действующим законодательством Российской Федерации;
• осуществлять обработку ПД с соблюдением принципов и правил, предусмотренных Законом о персональных данных;
• организовывать защиту ПД в соответствии с требованиями законодательства Российской Федерации;
• рассматривать обращения Субъекта ПД (его законного представителя) по вопросам обработки ПД и давать мотивированные ответы;
• предоставлять Субъекту ПД (его законному представителю) возможность безвозмездного доступа к его ПД;
• принимать меры по уточнению, блокированию, уничтожению ПД в случаях, установленных Законом о персональных данных.

2.2. Оператор вправе:

• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами Российской Федерации;
• поручить обработку ПД другому лицу с согласия Субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПД по поручению Оператора, обязано соблюдать принципы и правила обработки ПД, предусмотренные Законом о персональных данных, соблюдать конфиденциальность ПД, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
• в случае отзыва Субъектом ПД согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта ПД при наличии оснований, указанных в Законе о персональных данных.
• Оператор вправе направлять уведомления о новых продуктах и услугах, специальных предложениях и различных событиях, посредством отправки электронных писем, СМС сообщений, сообщений в мессенджерах и звонков на указанный Субъектом ПД номер телефона только с согласия Субъекта ПД.

3. Права и обязанности Субъекта ПД (его представителя).

3.1. Субъект ПД или его представитель обладают правами в соответствии с Законом о персональных данных, в том числе в частности, но не исключительно:

• на полную информацию, касающуюся обработки его ПД Оператором, за исключением случаев, предусмотренных законодательством Российской Федерации;
• уточнение его ПД, их блокирование или уничтожение в случаях, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзыв согласия на обработку ПД;
• принятие предусмотренных законом мер по защите своих прав;
• обжалование в уполномоченный орган по защите прав Субъектов ПД или в судебном порядке неправомерных действий или бездействия Оператора при обработке его ПД.

3.2. Субъект ПД (его представитель) обязан:

• обеспечивать достоверность предоставляемых Оператору ПД, необходимых для целей обработки, предусмотренных в настоящей Политике;
• предоставлять Оператору при необходимости сведения для уточнения (обновления, изменения) предоставленных ПД.

4. Оператор осуществляет обработку ПД на следующих условиях:

4.1. С согласия Субъекта ПД на обработку его ПД.

4.2. Для достижения целей, предусмотренных законом Российской Федерации, для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.

4.3. Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект ПД, а также для заключения договора по инициативе Субъекта ПД или договора, по которому Субъект ПД будет являться выгодоприобретателем или поручителем.

5. Обработка ПД Субъекта осуществляется Оператором, согласно следующим целям:

5.1. Регистрации на Сайте Личного кабинета; осуществления на Сайте бронирования (оформления заказа) туристского продукта (комплекса услуг по отдыху (Круиза)); отправки Оператором в адрес (в т.ч.в Личный кабинет) Субъекта ПД подтверждения бронирования; отправки уведомлений и информационных оповещений (в т.ч. в Личный кабинет), связанных с бронированием.

5.2. Заключения Договора о реализации турпродукта (комплекса услуг по отдыху (Круиза)), размещенного в виде Публичной Оферты на Сайте (далее – Договор); организации и оказания комплекса услуг по отдыху, а также оформления Оператором проездных и иных необходимых документов в рамках исполнения Оператором заключенного Договора, для осуществления платежа за забронированный по Договору туристский продукт (комплекс услуг по отдыху (Круиз)), осуществления контроля качества оказания услуг по отдыху, для получения ответов на обращения Субъекта ПД через форму обратной связи на Сайте. Передачи ПД Субъекта третьим лицам (исполнителям, оказывающим отдельные туристско-экскурсионные услуги, входящие в стоимость комплекса услуг по отдыху (в т.ч. перевозчикам)) в рамках исполнения Оператором Договора.

5.3. Направление и получение Субъектом ПД информационных рассылок от Оператора о проводимых им мероприятиях, рекламных кампаниях, конкурсах, а также о предлагаемых специальных предложениях и акциях (далее - рассылки), следующими способами: посредством СМС - сообщений с использованием номера мобильного телефона, указанного Субъектом ПД при оформлении Подписки на рассылку, в том числе на Сайте; по электронной почте с использованием адреса электронной почты, указанного Субъектом ПД при оформлении Подписки на рассылку, в том числе на Сайте; посредством push-уведомлений (сообщений, поступающих на устройства Субъекта ПД через браузеры или мобильные приложения); посредством мессенджеров и социальных сетей (использование которых разрешено действующим законодательством РФ).

6. Правовые основания обработки ПД.

6.1. Оператор осуществляет обработку ПД Субъектов ПД на основании следующих нормативно-правовых актов Российской Федерации, в том числе, но не ограничиваясь: Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Кодексом внутреннего водного транспорта, Федеральным законом от 24.11.1996 № 132-ФЗ «Об основах туристской деятельности в Российской Федерации», Федеральным законом от 09.02.2007 № 16-ФЗ «О транспортной безопасности», Постановлением Правительства РФ от 18.11.2020 № 1852 «Об утверждении Правил оказания услуг по реализации туристского продукта» и иными нормативно-правовыми актами, регулирующими отношения, связанные с деятельностью Оператора.

7. Оператор может обрабатывать ПД следующие категории Субъектов ПД и в следующем объеме:

7.1. Для целей, указанных в п. 5.1. Политики – Клиенты, Посетители Сайта: имя, адрес электронной почты.

7.2. Для целей, указанных в п. 5.2. Политики – Контрагенты, Клиенты, Законные представители: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета.

7.3. Для целей, указанных в п. 5.3. Политики – Клиенты, Посетители сайта: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; адрес электронной почты; адрес места жительства; номер телефона.

8. Порядок и условия обработки ПД.

8.1. Обработка ПД осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

8.2. Обработка ПД осуществляется с согласия Субъектов ПД, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

8.3. Оператор осуществляет обработку ПД для каждой цели их обработки и на основании полученного согласия на обработку ПД от Субъекта ПД, следующими способами:

• 1) неавтоматизированная обработка ПД;
• 2) автоматизированная обработка ПД с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• 3) смешанная обработка ПД;
• 4) с передачей по внутренней сети Оператора;
• 5) с передачей по сети Интернет и без таковой.

8.4. К обработке ПД допускаются работники Оператора, в должностные обязанности которых входит обработка ПД.

8.5. Обработка ПД для каждой цели обработки, указанной в разделе 5 Политики, осуществляется путем:

• получения ПД в устной и письменной форме непосредственно от Субъектов ПД;
• внесения ПД в Договоры, Листы бронирования, реестры и информационные системы органов государственной власти, в том числе в реестры и информационные системы (программы) Оператора, такие как программа «1С: Предприятие 8.3», конфигурация «Бухгалтерия предприятия, редакция 3.0»;
• использования иных способов обработки ПД.

8.6. Не допускается раскрытие третьим лицам и распространение ПД без согласия Субъекта ПД, если иное не предусмотрено федеральным законом Российской Федерации. Согласие на обработку ПД, разрешенных Субъектом ПД для распространения, оформляется отдельно от иных согласий Субъекта ПД на обработку его ПД. Требования к содержанию согласия на обработку ПД, разрешенных Субъектом ПД для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 № 18.

8.7. Передача ПД органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

8.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

• применяет правовые, организационные и технические меры по обеспечению безопасности ПД в соответствии со ст. 18.1 и 19 Закона о персональных данных;
• определяет угрозы безопасности ПД при их обработке;
• разработаны локальные акты по вопросам обработки ПД;
• назначено ответственное лицо за организацию обработки ПД;
• осуществляется внутренний контроль по работе с ПД;
• принимаются необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
• организован учет документов, содержащих ПД;
• организована работа с информационными системами, в которых обрабатываются ПД;
• определено хранение ПД в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним.

8.9. Оператор осуществляет хранение ПД в форме, позволяющей определить Субъекта ПД, не дольше, чем этого требует каждая цель обработки ПД, если срок хранения ПД не установлен федеральным законом Российской Федерации и Договором.

8.9.1. ПД на бумажных носителях хранятся у Оператора в течение сроков хранения документов, для которых эти сроки предусмотрены Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».

8.9.2. Срок хранения ПД, обрабатываемых в информационных системах ПД, соответствует сроку хранения ПД на бумажных носителях.

8.10. Оператор прекращает обработку ПД в следующих случаях:

• выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;
• прекращена деятельность Оператора;
• отозвано согласие Субъекта ПД на обработку указанных данных.

8.11. В случае отзыва Субъектом ПД согласия на их обработку Оператор прекращает обработку этих данных, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПД;
• Оператор не вправе осуществлять обработку без согласия Субъекта ПД на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и Субъектом ПД.

8.12. При обращении Субъекта ПД к Оператору с требованием о прекращении обработки ПД в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка ПД прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Оператору необходимо направить Субъекту ПД мотивированное уведомление с указанием причин продления срока.

9. Актуализация, исправление, удаление, уничтожение ПД, ответы на запросы Субъектов ПД на доступ к ПД.

9.1. Подтверждение факта обработки ПД Оператором, правовые основания и цели обработки ПД, предоставляются Оператором Субъекту ПД или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса Субъекта ПД или его представителя. Данный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Оператору следует направить Субъекту ПД мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются ПД, относящиеся к другим Субъектам ПД, за исключением случаев, когда имеются законные основания для раскрытия таких ПД.

Запрос должен содержать:

• номер основного документа, удостоверяющего личность Субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие Субъекта ПД в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Оператором;
• подпись Субъекта ПД или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, Субъекту ПД или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Если в обращении (запросе) Субъекта ПД не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или Субъект ПД не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право Субъекта ПД на доступ к его ПД может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе, если доступ Субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.

9.2. В случае выявления неточных персональных данных при обращении Субъекта ПД или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование ПД, относящихся к этому Субъекту ПД, с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы Субъекта ПД или третьих лиц.

В случае подтверждения факта неточности ПД Оператор на основании сведений, представленных Субъектом ПД или его представителем либо Роскомнадзором, или иных необходимых документов уточняет ПД в течение семи рабочих дней со дня представления таких сведений и снимает блокирование ПД.

9.3. В случае выявления неправомерной обработки ПД при обращении (запросе) Субъекта ПД или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых ПД, относящихся к этому Субъекту ПД, с момента такого обращения или получения запроса.

9.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления) ПД (доступа к ПД), повлекшей нарушение прав Субъектов ПД, Оператор:

• в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав Субъектов ПД, предполагаемом вреде, нанесенном правам Субъектов ПД, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

9.5. Порядок уничтожения ПД Оператором.

9.5.1. Условия и сроки уничтожения ПД Оператором:

• достижение цели обработки ПД либо утрата необходимости достигать эту цель - в течение 30 дней;
• достижение максимальных сроков хранения документов, содержащих ПД, - в течение 30 дней;
• предоставление Субъектом ПД (его представителем) подтверждения того, что ПД получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
• отзыв Субъектом ПД согласия на обработку его ПД, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.

9.5.2. При достижении цели обработки ПД, а также в случае отзыва Субъектом ПД согласия на их обработку ПД подлежат уничтожению, если:

• иное не предусмотрено Договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПД;
• Оператор не вправе осуществлять обработку без согласия Субъекта ПД на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и Субъектом ПД.

9.5.3. Уничтожение ПД осуществляет комиссия, созданная приказом директора Оператора.

9.5.4. Способы уничтожения ПД устанавливаются в локальных нормативных актах Оператора.

10. Сбор аналитических данных.

10.1. Для аналитики использования Сайта используются следующие сторонние инструменты: Яндекс Метрика https://yandex.ru/legal/confidential/.

10.2. Использование Сайта, его сервисов с помощью веб-браузера, который принимает данные из cookie, означает выражение согласия Субъекта ПД с тем, что Оператор может собирать и обрабатывать данные из cookie в целях улучшения Сайта, его содержания, его функциональных возможностей. Отключение и/или блокировка Субъектом ПД опции веб-браузера по приему данных из cookie означает, что использование Субъектом ПД Сайта может быть ограничено, в частности, некоторых его функций.

10.3. Посещая Сайт, Субъект ПД соглашается с тем, что Оператор использует определенные технологии мониторинга и отслеживания, такие как cookie, маяки, пиксели, теги, и скрипты (в совокупности «сookies»). Эти технологии используются для обеспечения, поддержания и улучшения Сайта Оператора, для оптимизации предложений и маркетинговой деятельности (например, для отслеживания предпочтений Посетителей Сайта, улучшения безопасности, выявления технических вопросов, а также мониторинга и улучшения общей эффективности).

10.4. Субъект ПД может запретить установку некоторых или всех файлов cookie.

10.5. В большинстве браузеров файлы сookie принимаются автоматически. Субъект ПД может управлять параметрами браузера для блокирования или удаления файлов сookie. Дополнительные инструкции по удалению файлов cookie имеются в настройках браузеров.

11. Заключительные положения.

11.1. Оператор вправе вносить изменения в Политику без согласия Субъекта ПД.

11.2. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.