Политика обработки персональных данных

1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — Политика) определяет порядок обработки и защиты персональных данных субъектов персональных данных (далее — Субъекты) Оператором [полное наименование юридического лица / ИП], ИНН [значение], ОГРН [значение] (далее — Оператор), в том числе при бронировании туристических туров через сайт [адрес сайта] и мобильное приложение [название приложения].
1.2. Политика разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных», иными применимыми нормативными актами РФ.
1.3. Действие Политики распространяется на все процессы обработки персональных данных, осуществляемые Оператором с использованием средств автоматизации и без них.
1.4. Основные термины — в значении, установленном ФЗ № 152‑ФЗ (персональные данные, обработка, субъект, оператор, третьи лица).
2. Цели обработки персональных данных при бронировании туров
2.1. Оператор обрабатывает персональные данные в целях:

• исполнения договора о реализации туристского продукта (бронирование тура, оформление путёвки, билетов, страховки, виз и т. п.);
• идентификации и аутентификации пользователя в личном кабинете, обеспечения функционала бронирования;
• коммуникации с клиентом по вопросам бронирования, изменений, аннуляций, претензий;
• оформления документов, необходимых для оказания туристических услуг (в том числе передачи данных принимающим сторонам, перевозчикам, отелям, страховым компаниям);
• проведения расчётов, приёма платежей, оформления возвратов;
• выполнения требований законодательства (учёт, отчётность, противодействие мошенничеству, валютный контроль и т. п.);
• обеспечения безопасности информационных систем;
• обработки обращений, запросов, претензий;
• направления информационных и маркетинговых сообщений — только при наличии отдельного согласия Субъекта;
• аналитики и улучшения качества сервиса (в обезличенном виде).

2.2. Обработка персональных данных осуществляется только в объёме, необходимом для достижения заявленных целей.
3. Категории субъектов и обрабатываемых персональных данных
3.1. Категории Субъектов:

• клиенты, бронирующие туры (туристы и заказчики услуг);
• лица, указанные в заявке как участники тура;
• посетители сайта/приложения, заполняющие формы подбора туров;
• представители юридических лиц при корпоративном бронировании.

3.2. Персональные данные, обрабатываемые для бронирования тура:

• Ф. И. О., дата рождения, пол, гражданство;
• паспортные данные (серия, номер, кем и когда выдан, срок действия), данные иных документов, удостоверяющих личность;
• контактная информация: телефон, e‑mail, мессенджеры;
• адрес регистрации/проживания (при необходимости);
• сведения о состоянии здоровья/особых потребностях (только если турист добровольно указал их в форме для корректного подбора тура и при наличии согласия);
• платёжные данные и реквизиты (в объёме, необходимом для проведения платежа, с соблюдением требований к защите платёжной информации);
• данные о действиях на сайте/в приложении (IP‑адрес, cookie, User‑Agent, геолокация, данные сессии) — для обеспечения работы сервиса, безопасности и аналитики;
• фотографии/сканы документов — при необходимости и с согласия.

4. Правовые основания обработки
4.1. Правовыми основаниями являются:

• необходимость исполнения договора, стороной которого является Субъект, либо принятие мер по заключению договора по инициативе Субъекта (бронирование тура);
• согласие Субъекта на обработку персональных данных (в том числе в электронной форме) — в частности, для рассылок, аналитики, использования фото;
• исполнение требований закона, актов государственных органов;
• защита жизни, здоровья и иных жизненно важных интересов Субъекта, если получение согласия невозможно;
• иные основания, предусмотренные ФЗ № 152‑ФЗ.

5. Порядок и сроки обработки
5.1. Сбор персональных данных производится:

• непосредственно от Субъекта при заполнении форм бронирования, регистрации, в личном кабинете;
• через сайт/приложение (автоматически и с согласия пользователя);
• от третьих лиц (например, партнёров по бронированию) при наличии законных оснований и согласия (если требуется).

5.2. Сроки обработки и хранения:

• персональные данные для исполнения договора хранятся в течение срока действия договора и далее — в пределах сроков, установленных законодательством для хранения первичных учётных и финансовых документов (не менее 5 лет);
• данные для маркетинговых целей — до отзыва согласия Субъектом;
• технические данные (логи, сессии, cookie) — в соответствии с внутренними регламентами и требованиями информационной безопасности.

5.3. После истечения сроков хранения персональные данные подлежат уничтожению либо обезличиванию.
6. Передача персональных данных третьим лицам и трансграничная передача
6.1. Передача данных третьим лицам допускается:

• для исполнения договора (отелям, авиакомпаниям, принимающим компаниям, страховщикам, визовым центрам и т. п.) на основании договора поручения обработки либо в силу прямого указания закона;
• платёжным и банковским сервисам — в объёме, необходимом для проведения платежей;
• иным подрядчикам (CRM, аналитика, техническая поддержка) — при наличии договора поручения и обязательств по защите данных;
• государственным органам — в случаях, предусмотренных законом.

6.2. Трансграничная передача персональных данных осуществляется в целях исполнения договора о туре (например, передача данных в отель за рубежом, авиакомпании, консульские учреждения) и только при условии соблюдения требований ФЗ № 152‑ФЗ к защите прав Субъектов.
7. Меры по обеспечению безопасности персональных данных
7.1. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.
7.2. К мерам относятся:

• назначение ответственного за организацию обработки персональных данных;
• разграничение прав доступа к данным (только для уполномоченных сотрудников);
• применение средств защиты информации: шифрование при передаче и хранении, межсетевые экраны, антивирусная защита, контроль целостности;
• соблюдение требований к защите платёжной информации (PCI DSS либо эквивалентные меры);
• обучение сотрудников требованиям законодательства и внутренним регламентам;
• ведение учёта носителей и действий с персональными данными;
• регулярное обновление ПО, проведение аудитов и тестирования на проникновение.

8. Права субъекта персональных данных
8.1. Субъект вправе:

• получать информацию о факте обработки его персональных данных и об их составе;
• требовать уточнения, блокирования или уничтожения своих персональных данных, если они неполные, устаревшие, неточные или незаконно получены;
• отозвать согласие на обработку персональных данных в любой момент (отзыв не влияет на правомерность обработки, осуществлённой до отзыва);
• обжаловать действия/бездействие Оператора в уполномоченный орган или в судебном порядке.

8.2. Для реализации прав Субъект может направить запрос в письменной или электронной форме по адресу: [e‑mail], либо через форму обратной связи на сайте [адрес сайта]. В запросе указываются данные для идентификации и суть обращения. Срок ответа — в пределах, установленных законом.
9. Обязанности Оператора и ответственность
9.1. Оператор обязан:

• соблюдать принципы и правила обработки персональных данных по ФЗ № 152‑ФЗ;
• обеспечивать конфиденциальность и безопасность персональных данных;
• предоставлять Субъекту информацию по его запросу в установленные сроки;
• своевременно реагировать на инциденты и уведомлять уполномоченные органы при необходимости.

9.2. За нарушение требований законодательства Оператор и его сотрудники несут дисциплинарную, административную, гражданско‑правовую и иную ответственность в соответствии с законодательством РФ.
10. Внесение изменений и публикация Политики
10.1. Оператор вправе вносить изменения в Политику. Новая редакция публикуется на сайте [адрес сайта] с указанием даты актуализации.
10.2. Продолжение использования сервисов Оператора после внесения изменений означает согласие Субъекта с обновлённой редакцией Политики.
11. Контактная информация
Ответственный за организацию обработки персональных данных: [Ф. И. О., должность, телефон, e‑mail].
Адрес для направления обращений: [почтовый адрес].
Сайт: [адрес сайта].
Дата утверждения: [дата].
Подпись руководителя: [Ф. И. О., подпись, печать (при наличии)].