Политика ООО «БВ-Калуга» (Оператора) в отношении обработки персональных данных, получаемых при помощи сайта.

1. Общие положения.

1.1. Настоящий документ определяет политику ООО «БВ-Калуга» (ИНН 4025418446) (далее — Оператор, Организация) в отношении обработки и конфиденциальности персональных данных, получаемых при помощи сайта https://bwkaluga.ru/ (далее – сайт) и его сервисов.

1.2.Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов субъектов персональных данных, их законных представителей, Оператора в связи с необходимостью получения (сбора), записи, систематизации (комбинирования), хранения, накопления, уточнения, передачи (распространение, предоставление, доступ), использования, обезличивание, удаление, уничтожения сведений, составляющих персональные данные посетителей сайта.

1.3.Настоящая Политика разработана на основании Конституции Российской Федерации, Кодекса Российской Федерации об административных правонарушениях, Гражданского Кодекса Российской Федерации, Уголовного Кодекса Российской Федерации, Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», а также иных нормативно-правовых актов, содержащих нормы, регулирующие обращение с персональными данными.

1.4. В Политике используются следующие понятия и определения:

персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. 8 ст. 3Федерального закона от 27.07.2006 N 152-ФЗ);

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному физическому лицу (п. 9 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

информация – сведения (сообщения, данные) независимо от формы их представления;

посетитель сайта (пользователь) – лицо, имеющее доступ к сайту Оператора или сайту, через который осуществляется бронирование услуг оператора или третьих лиц через Оператора, посредством сети Интернет и использующее сайт;

информационная система персональных данных -совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

согласие субъекта персональных данных на обработку его персональных данных – форма документа, размещенного для свободного доступа на сайте Оператора по адресу: https://bwkaluga.ru/agreement, согласие с которымпосетитель сайта (пользователь) выражает Согласие в отношение Оператора (ООО «БВ-Калуга») на обработку его персональных данных.

1.5. Действие Политики распространяется на все операции по обработке Персональных данных, получаемых при помощи сети Интернет (через сайты, сервисы), совершаемые Организацией.

1.6. Политика обязательна для ознакомления и исполнения всеми сотрудниками Организации, лицами, допущенными к обработке персональных данных в Организации, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Организации, посетителя сайта, чьи персональные данные собирает и обрабатывает Оператор. Данная Политика подлежит опубликованию на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети «Интернет» для неограниченного доступа.

1.7. Политика подлежит актуализации в случаях:

- изменения законодательства РФ о персональных данных;

- выявления несоответствий, затрагивающих обработку и (или) защиту персональных данных, по результатам контроля выполнения требований по обработке и (или) защите персональных данных;

- по решению руководства Организации.

1.8. Основные права Оператора:

- Осуществлять обработку персональных данных на основании согласия субъекта персональных данных.

- Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством.

- Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

- В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных действующим законодательством.

1.9. Основные обязанности Оператора:

- Получить согласие субъекта персональных данных на обработку его персональных данных (кроме имеющихся исключений).

- При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.

- Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если получение такого согласия обязательно.

- Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных законодательством, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных информацию, перечень которой установлен Федеральным законом 152-ФЗ от 27.07.2006 «О персональных данных».

- При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, определенных законодательством.

- Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.

- Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.

- Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

- Если оператором осуществляется трансграничная передача персональных данных, то он обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

- Оператор обязан соблюдать правила и сроки рассмотрения запросов и обращений субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных, установленные законодательством и настоящим Положением.

- Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.

1.10. Сбор персональных данных происходит посредством заполнения Пользователем форм, размещенных на сайте (написать письмо генеральному директору, написать нам, забронировать номер и пр.).

1.11. Персональные данные, полученные через сайт не подлежат распространению.



1.10. Основные права субъекта персональных данных:

- Отозвать ранее данное согласие на обработку персональных данных.

- Вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

- Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами).

- Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.



1.11. Основные обязанности субъекта персональных данных:

- Передавать Оператору комплекс достоверных персональных данных,

- Своевременно сообщать оператору об изменении своих персональных данных.



2. Цели обработки, правовые основания, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.

2.1. Цель обработки персональных данных: бронирование услуг Оператора или его партеров и проведение оплаты.

Категория субъектов персональных данных: посетители сайта (физические лица) –клиенты, осуществляющие бронирование через сайт.

Категория персональных данных: общие.

Перечень персональных данных: ФИО; номер телефона; адрес электронной почты, гражданство, реквизиты банковской карты (при оплате при бронировании через сайт).

Правовое основание обработки персональных данных: согласие субъекта персональных данных на обработку его персональных данных, нормы действующего законодательства.

2.2. Цель обработки персональных данных: продвижение работ, услуг (в т.ч. направление в адрес посетителя материалов рекламного характера, предоставление пользователю доступа к персонофицированным ресурсам сайта, создание учетной записи пользователя).

Категория субъектов персональных данных: посетители сайта.

Категория персональных данных: общие.

Перечень персональных данных: ФИО, номер телефона; адрес электронной почты; Ip-адрес.

Правовое основание обработки персональных данных: согласие субъекта персональных данных на обработку его персональных данных, нормы действующего законодательства.

2.3. Цель обработки персональных данных: консультирование.

Категория субъектов персональных данных: клиенты, посетители сайта.

Категория персональных данных: общие.

Перечень персональных данных: имя; номер телефона, адрес электронной почты.

Правовое основание обработки персональных данных: согласие субъекта персональных данных на обработку его персональных данных, нормы действующего законодательства.

2.4. Цель обработки персональных данных: оптимизация и улучшение работы сайта Организации (путем отслеживания посещаемости).

Категории субъектов персональных данных: посетители сайта Организации.

Категории персональных данных: общие.

Перечень персональных данных: IP –адрес, cookie файлы.

Правовое основание обработки персональных данных: согласие субъекта персональных данных на обработку его персональных данных.

2.5. Цель обработки персональных данных: установление обратной связи с клиентом,/потенциальным клиентом, сбор вопросов и предложений по работе Организации, сбор отзывов о работе Организации (также при помощи третьих лиц).

Категории субъектов персональных данных: посетители сайта Организации.

Категории персональных данных: общие.

Перечень персональных данных: ФИО, адрес электронной почты.

Правовое основание обработки персональных данных: согласие субъекта персональных данных на обработку его персональных данных.

2.6. Цель обработки персональных данных: заказ иных услуг Оператора (заказ трансфера, заказ экскурсии, визовая поддержка), предоставление доступа на сайты и сервисы партнеров Оператора с целью получения продуктов, обновлений и услуг.

Категория субъектов персональных данных: посетители сайта (физические лица) –клиенты.

Категория персональных данных: общие.

Перечень персональных данных: имя; номер телефона, адрес электронной почты.

Правовое основание обработки персональных данных: согласие субъекта персональных данных на обработку его персональных данных.

2.7. Цель обработки персональных данных, предоставленных посетителем сайта, информация сервиса Яндекс Метрика (условия использования -https://yandex.ru/legal/metrica_termsofuse/), IP-адрес, информация о cookies, информация о браузере, реферер (адрес предыдущей страницы) - статистические и иные исследования, сбор статистики об IP-адресах посетителей с целью выявления и решения технических проблем,

2.8. Сроки обработки персональных данных определяются с учетом:

- установленных целей обработки персональных данных;

- сроков действия договоров с субъектами персональных данных и/или согласий субъектов персональных данных на обработку их персональных данных;

- сроков, определенных нормативно правовыми актами Российской Федерации.

3. Порядок и условия обработки персональных данных.

3.1. Организация осуществляет обработку персональных данных на законной и справедливой основе, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств. При этом выполняются требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные действующим законодательством.

3.2. При обработке персональных данных обеспечиваются их точность, достаточность, актуальность по отношению к целям обработки персональных данных.

3.3. Оператор не проверяет персональные данные, предоставленные пользователем. Оператор исходит из того, что лицо, использующее сайт является дееспособным или согласие на обработку персональных данных предоставляется его законным представителем.

3.4. При любом использовании сайта – для персональных данных, которые автоматически передаются Оператору в процессе использования сайта с помощью установленного на устройстве пользователя программного обеспечения. Пользователь считается предоставившим согласие на обработку своих персональных данных с момента использования сайта.

3.5. Оператор не осуществляет трансграничную передачу персональных данных.

3.6. Оператор производит действия по обработке персональных данных, перечисленные в абз.2 пункта 1.4. настоящей Политики.

3.7. Согласие пользователя на обработку его персональных данных Оператором действует со дня дачи такого согласия.Прекращение обработки персональных данных осуществляется по следующим основаниям (с учетом законодательства об архивном деле):

- достижение целей обработки персональных данных;

- истечение срока согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных;

- выявление неправомерной обработки персональных данных.

3.8. Хранение персональных данных пользователей осуществляется на электронных носителях. При обработке персональных данных с целью исполнения обязательств по соглашения (договорам) Оператор может извлекать персональные данные и хранить их на материальных носителях.

3.9. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации.

3.10. При хранении персональных данных Оператором принимаются определенные меры безопасности, ограничивающие доступ к персональным данным:

- ограничение доступа в помещение, где хранятся персональные данные;

- осуществление хранения персональных данных в запираемых шкафах, сейфах;

- определение круга лиц, имеющих доступ к персональным данным;

- использование паролей для доступа к информационным системам хранения персональных данных.

3.11. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей, предусмотренных действующим законодательством:

- назначен ответственный за организацию обработки персональных данных;

-изданы локальные акты по вопросам обработки персональных данных;

- принимаются правовые, организационные и технические меры по обеспечению персональных данных (определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; учет машинных носителей персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак; установление правил доступа к персональным данным, обеспечение регистрации и учета действий, совершаемых с персональными данными; контроль за принимаемыми мерами по обеспечению безопасности персональных данных);

- осуществление внутреннего контроля соответствия обработки персональных данных действующему законодательству по вопросам защиты персональных данных.

4. Меры по обеспечению конфиденциальности.

4.1. Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты получаемых персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий с ней третьих лиц.

4.2. Настоящая Политика применима только к сервисам Организации. Организация не контролирует и не несет ответственность за сайты третьих лиц, на которые пользователь может перейти по ссылкам, доступным на разделах Организации, в том числе в результате поиска.

4.3. Оператор не раскрывает третьим лицам и не распространяет персональные данные, за исключением следующих случаев:

- субъект персональных данных заблаговременно выразил свое согласие на такое раскрытие;

- передача (предоставление) необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому он будет являться выгодоприобретателем;

- передача (предоставление) необходима для защиты прав и законных интересов Организации или третьих лиц;

- передача инициирована субъектом персональных данных;

- передача (предоставление) необходима для соблюдения действующего законодательства и закреплена в нормативных правовых актах.

4.4. В отношении персональных данных сохраняется их конфиденциальность, кроме случаев добровольного предоставления данных субъектом персональных данных для общего доступа неограниченному кругу лиц, а также случаев исполнением Оператором обязанностей, возложенных на него действующим законодательством.



5. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

5.1. При обращении субъекта персональных данных или его представителя Оператор в течение десяти рабочих дней с даты получения запроса обязан сообщить информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

5.2. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах.

5.3. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

5.4. В случае выявления неправомерной обработки персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных на период проверки.

В случае выявления неточных персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

5.5. В случае подтверждения факта неточности персональных данных Оператор обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

5.6. В случае выявления неправомерной обработки персональных данных, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор):

- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

5.8. В случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработкуперсональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством.

5.9.В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если не предусмотрено иное либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством.

5.10. В случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекратить их обработку за исключением случаев, предусмотренных действующим законодательством.

5.11. В случае отсутствия возможности уничтожения персональных данных в течение установленных сроков Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

5.12. В случае требования субъекта персональных данных о прекращении распространения персональных данных Оператор прекращает передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения данного или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.



6. Заключительные положения.

6.1. Настоящая Политика может быть изменена по инициативе Оператора. Новая версия размещается на сайте Оператора для ознакомления неопределенным кругом лиц. С даты размещения на сайте Политика считается вступившей в силу.

6.2. На Пользователе лежит обязанность при каждом использовании сайта знакомиться с текстом Политики.

6.3. Продолжение пользованием сайтом или его сервисами после публикации новой редакции Политики означает принятии Политики и её условий пользователем. В случае несогласия с условиями Политики пользователь должен незамедлительно прекратить использование сайта и его сервисов.