«Утверждаю»

Генеральный директор

ООО «Объединенный центр

бронирования» (далее- Организация)

ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

(ред. №2 от 19 марта 2024 г.)

1. Общие положения

1.1. Настоящая Политика защиты и обработки персональных данных (далее - Политика)

разработана в соответствии с требованиями Федерального закона «О персональных

данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативно-правовыми актами

Российской Федерации, определяющими случаи и особенности обработки персональных

данных и обеспечения безопасности и конфиденциальности такой информации.

1.2. Общество с ограниченной ответственностью «Объединенный центр бронирования»,

ИНН 7806253031, зарегистрированное по адресу: 195112, г. Санкт-Петербург, пл. Карла

Фаберже, д.8, Литер Б, офис 710 выступая в роли Оператора персональных данных,

осуществляет свою деятельность с соблюдением принципов законности, справедливости и

конфиденциальности при обработке персональных данных, а также обеспечения

безопасности процессов их обработки.

1.3. Настоящая Политика:

1.3.1. Разработана в целях реализации требований действующего законодательства

Российской Федерации в области обработки и защиты персональных данных;

1.3.2. Раскрывает способы и принципы обработки Оператором персональных данных, права

и обязанности Оператора при обработке персональных данных, права субъектов

персональных данных, а также включает перечень мер, применяемых Оператором в целях

обеспечения безопасности персональных данных при их обработке;

1.3.3. Является общедоступным документом и распространяет свое действие на

персональные данные получаемые Оператором при обработке и защите персональных

данных следующими способами:

 от субъектов персональных данных;

 от партнеров Оператора персональных данных;

 через сайт (https://sletat.ru/) в сети «Интернет».

/Поплавская Е.В./

«19» марта 2024 г.

2. Термины и принятые сокращения

Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно

определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность

действий (операций), совершаемых с использованием средств автоматизации или без

использования таких средств с персональными данными, включая сбор, запись,

систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,

использование, передачу (распространение, предоставление, доступ), обезличивание,

блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка персональных

данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПД) - совокупность

содержащихся в базах данных персональных данных и обеспечивающих их обработку

информационных технологий и технических средств.

Блокирование персональных данных - временное прекращение обработки персональных

данных (за исключением случаев, если обработка необходима для уточнения персональных

данных).

Уничтожение персональных данных - действия, в результате которых становится

невозможным восстановить содержание персональных данных в информационной системе

персональных данных и (или) в результате которых уничтожаются материальные носители

персональных данных.

Оператор - организация, самостоятельно или совместно с другими лицами организующая

обработку персональных данных, а также определяющая цели обработки персональных

данных, состав персональных данных, подлежащих обработке, действия (операции),

совершаемые с персональными данными.

Файлы Cookie – это небольшие фрагменты данных, передаваемые в браузер с сайта,

который открывает субъект персональных данных. С их помощью сайт запоминает

информацию о посещениях, что упрощает взаимодействие с сайтом. В этих целях также

используются другие технологии, включая уникальные идентификаторы (они нужны,

чтобы различать браузеры, приложения или устройства), пиксели и локальное хранилище.

3. Цели и содержание обработки ПД

3.1. Оператор осуществляет обработку ПД в соответствии с нижеприведенными целями в

рамках применимого законодательства РФ о ПД:

Цели

обработки ПД

Перечень

обрабатываемых ПД

Категории

субъектов ПД

Способы обработки и

действия с ПД

Сроки обработки

и хранения ПД

3.1.1. В целях

заключения

договора

реализации

1. Фамилия, имя,

отчество;

2. Возраст;

1. Заказчик

туристского

продукта / услуги;

Смешанный способ (с

использованием

средств автоматизации

и без использования

На период

действия договора

реализации

туристского

продукта /

услуги

3. Дата рождения;

4. Адрес (регистрации

и/или проживания

и/или почтовый);

5. Данные документа,

удостоверяющего

личность;

6. Данные документа,

удостоверяющего

личность за пределами

РФ;

7. Гражданство;

8. Пол;

9. Адрес электронной

почты;

10. Номер телефона;

11.Реквизиты

банковской карты;

12. Номер расчетного

счета.

2. Турист, в

интересах

которого

приобретен

туристский

продукт / услуга;

3. Пользователь

сайта

(https://sletat.ru/) в

сети «Интернет».

средств

автоматизации) путем

совершения

следующих действий:

сбор, запись,

систематизацию,

накопление, хранение,

уточнение

(обновление,

изменение),

извлечение,

использование,

передача

(предоставление,

доступ), блокирование,

обезличивание,

удаление,

уничтожение.

продукта / услуги

или до момента

письменного

отзыва согласия на

обработку ПД.

3.1.2. В целях

заключения

Публичной

оферты на

заключение

Субагентского

договора на

реализацию

туристских

продуктов

1. Фамилия, имя,

отчество;

2. Адрес (регистрации

и/или почтовый);

3. Номер ИНН;

4. Наименование

должности (при

наличии);

5. Адрес электронной

почты;

6. Номер телефона;

7. Номер расчетного

счета;

8.Реквизиты

банковской карты;

9. Номер расчетного

счета.

Любое лицо

заинтересованное

в сотрудничестве с

Оператором для

реализации

туристских

продуктов

Смешанный способ (с

использованием

средств автоматизации

и без использования

средств

автоматизации) путем

совершения

следующих действий:

сбор, запись,

систематизацию,

накопление, хранение,

уточнение

(обновление,

изменение),

извлечение,

использование,

передача

(предоставление,

доступ), блокирование,

обезличивание,

удаление,

уничтожение.

На период

действия

Субагентского

договора на

реализацию

туристских

продуктов до

момента

письменного

отзыва согласия на

обработку ПД.

3.1.3. В целях

1. Фамилия, имя,

Любое лицо

Смешанный способ (с

На период

заключения

Договора

присоединения

отчество;

2. Адрес (регистрации

и/или почтовый);

3. Номер ИНН;

4. Наименование

должности (при

наличии);

5. Адрес электронной

почты;

6. Номер телефона;

7. Номер расчетного

счета;

8.Реквизиты

банковской карты;

9. Номер расчетного

счета.

заинтересованное

в сотрудничестве с

Оператором для

реализации

туристских

продуктов

использованием

средств автоматизации

и без использования

средств

автоматизации) путем

совершения

следующих действий:

сбор, запись,

систематизацию,

накопление, хранение,

уточнение

(обновление,

изменение),

извлечение,

использование,

передача

(предоставление,

доступ), блокирование,

обезличивание,

удаление,

уничтожение.

действия Договора

присоединения

или до момента

письменного

отзыва согласия на

обработку ПД.

3.1.4. В целях

осуществления

взаимодействи

я с

заинтересованн

ыми лицами

посредством

сайта

(https://sletat.ru/

) в сети

«Интернет», а

также

осуществление

информационн

ого и / или

организационн

ого

взаимодействи

я со всеми

заинтересованн

ыми лицами

1. Фамилия, имя,

отчество

2. Наименование

должности и места

работы

3. Адрес электронной

почты;

4. Номер телефона;

5. Номер расчетного

счета;

6.Реквизиты

банковской карты;

7. Номер расчетного

счета.

Любые

заинтересованные

лица.

Смешанный способ (с

использованием

средств автоматизации

и без использования

средств

автоматизации) путем

совершения

следующих действий:

сбор, запись,

систематизацию,

накопление, хранение,

уточнение

(обновление,

изменение),

извлечение,

использование,

передача

(предоставление,

доступ), блокирование,

обезличивание,

удаление,

уничтожение.

На период

взаимодействия

или до момента

письменного

отзыва согласия на

обработку ПД.

3.1.1. В целях

заключения

оферты на

приобретение

сертификатов

1. Фамилия, имя,

отчество;

2. Адрес электронной

почты;

1. Заказчик по

оферте на

приобретение

сертификатов;

2. Турист, в

Смешанный способ (с

использованием

средств автоматизации

и без использования

средств

автоматизации) путем

На период

действия оферты,

до даты

реализации

сертификата или

до момента

3. Номер телефона;

4. Реквизиты

банковской карты;

5. Номер расчетного

счета.

интересах

которого

приобретается

сертификат;

3. Пользователь

сайта

(https://sletat.ru/) в

сети «Интернет».

совершения

следующих действий:

сбор, запись,

систематизацию,

накопление, хранение,

уточнение

(обновление,

изменение),

извлечение,

использование,

передача

(предоставление,

доступ), блокирование,

обезличивание,

удаление,

уничтожение.

письменного

отзыва согласия на

обработку ПД.

3.1.6. В целях

проведения

маркетинговог

исследования,

рекламной

акции

1. Фамилия, имя,

отчество;

2. Возраст;

3. Пол;

4. Адрес электронной

почты;

5. Номер телефона;

6. источник захода на

сайт и информация

поискового или

рекламного запроса;

7. данные о

пользовательском

устройстве (среди

которых разрешение,

версия и другие

атрибуты,

характеризующие

пользовательское

устройство);

8. пользовательские

клики, просмотры

страниц, заполнения

полей, показы и

просмотры баннеров и

видео;

9. данные,

характеризующие

аудиторные сегменты;

1. Заказчик

туристского

продукта / услуги;

2. Турист, в

интересах

которого

приобретен

туристский

продукт / услуга;

3. Пользователь

сайта

(https://sletat.ru/) в

сети «Интернет».

Смешанный способ (с

использованием

средств автоматизации

и без использования

средств

автоматизации) путем

совершения

следующих действий:

сбор, запись,

систематизацию,

накопление, хранение,

уточнение

(обновление,

изменение),

извлечение,

использование,

передача

(предоставление,

доступ), блокирование,

обезличивание,

удаление,

уничтожение.

На период

проведения

маркетингового

исследования,

рекламной акции

или до момента

письменного

отзыва согласия на

обработку ПД.

10. параметры сессии;

11. данные о времени

посещения;

12. идентификатор

пользователя,

хранимый в Cookie.

3.2. Обработка ПД.

3.2.1. Обработка ПД осуществляется:

- с согласия субъекта ПД на обработку его персональных данных;

- в случаях, когда обработка ПД необходима для осуществления и выполнения

возложенных законодательством РФ функций, полномочий и обязанностей;

- в случаях, когда осуществляется обработка ПД, доступ неограниченного круга лиц к

которым предоставлен субъектом ПД либо по его просьбе.

3.2.2. При сборе ПД Оператор обеспечивает запись, систематизацию, накопление,

хранение, уточнение (обновление, изменение), извлечение ПД субъектов ПД с

использованием баз данных, находящихся на территории РФ, за исключением случаев,

прямо предусмотренных действующим законодательством РФ о ПД.

3.2.3. Для обработки ПД Оператор может применять информационные системы,

отчуждаемые машинные носители информации (например, флэшки, съемные жёсткие

диски и т.д.), бумажные носители информации, а также передавать ПД с использованием

информационно-телекоммуникационных сетей (включая сеть «Интернет»).

3.2.4. Оператор может направлять (в любое время и без предварительного предупреждения)

субъектам ПД информационные материалы о новостях и активностях Оператора в случае

наличия соответствующего согласия субъектов ПД. Информационные материалы могут

направляться субъектам ПД посредством тех каналов коммуникации (контактных

сведений), которые субъекты ПД предоставили Оператору. Субъекты ПД вправе в любой

момент времени отказаться от получения материалов Оператора путем направления

Оператору соответствующего заявления в свободной форме.

3.2.5. Оператор не осуществляет вышеуказанные действия по обработке ПД в качестве

биометрических ПД и не использует ПД для установления (биометрической

идентификации) и (или) удостоверения (биометрической аутентификации) личности

субъектов ПД.

3.3. Порядок хранения ПД.

3.3.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и

передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.3.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо

в запираемых помещениях с ограниченным правом доступа.

3.3.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных

целях, хранятся в разных папках.

3.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых

электронных каталогах (файлообменниках) в ИСПД.

3.4. Уничтожение ПД.

3.4.1. Уничтожение ПД осуществляется в связи с истечением срока хранения или

получения письменного отзыва согласия на обработку ПД.

3.4.2. ПД на бумажных носителях уничтожаются путем применения шредера.

3.4.3. ПД на электронных носителях уничтожаются путем стирания или форматирования

носителя.

3.4.4. Факт уничтожения ПД подтверждается соответствующим актом об уничтожении

носителей.

3.5. Передача ПД.

3.5.1. Оператор передает ПД третьим лицам в следующих случаях:

- субъект ПД выразил свое согласие на такие действия;

- передача предусмотрена российским или иным применимым законодательством в

рамках установленной законодательством процедуры;

- осуществляется передача персональных данных, сделанных общедоступными

субъектом персональных данных;

- в соответствии с требованиями государственных органов.

3.5.2. Перечень лиц, которым передаются ПД.

Третьи лица, которым передаются ПД:

- государственные органы в случаях, установленных законодательством РФ;

- владельцы интернет-сервисов Яндекс.Метрика, Livelnternet, Рейтинг Mail.ru и иных;

- иные третьи лица, передача ПД которым необходима Оператору для целей обработки

ПД.

4. Меры по надлежащей организации обработки и обеспечению безопасности ПД

4.1. Оператор при обработке ПД принимает все необходимые правовые, организационные

и технические меры для их защиты от неправомерного или случайного доступа,

уничтожения, изменения, блокирования, копирования, предоставления, распространения, а

также от иных неправомерных действий в отношении них. Обеспечение безопасности ПД

достигается, путем использования подсистем правовой, организационной и технической

защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых,

организационно распорядительных и нормативных документов, обеспечивающих

создание, функционирование и совершенствование СЗПД. Такие документы не содержат

положения, ограничивающие права субъектов ПД, а также возлагающие на Оператора не

предусмотренные законодательством о ПД полномочия и обязанности;

4.3. Подсистема организационной защиты включает в себя организацию структуры

управления СЗПД, разрешительной системы, защиты информации при работе с

сотрудниками, партнерами и сторонними лицами.

4.4. Подсистема технической защиты включает в себя комплекс технических,

программных, программно-аппаратных средств, обеспечивающих защиту ПД.

4.5. Основными мерами защиты ПД, используемыми Оператором, являются:

4.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет

организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением

Оператором и его работниками требований к защите ПД.

4.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и

разработка мер и мероприятий по защите ПД.

4.5.3. Разработка политики в отношении обработки ПД с последующей актуализацией в

соответствии с изменениями в законодательстве о ПД.

4.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение

регистрации и учета всех действий, совершаемых с ПД в ИСПД.

4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную

систему в соответствии с их производственными задачами.

4.5.6. Разработка положения об обеспечении безопасности ПД с последующей

актуализацией в соответствии с изменениями в законодательстве о ПД.

4.5.7. Применение прошедших в установленном порядке процедуру оценки соответствия

средств защиты информации.

4.5.8. Применение сертифицированного антивирусного программного обеспечения с

регулярно обновляемыми базами.

4.5.9. Обеспечение взаимодействия с Государственной системой обнаружения,

предупреждения и ликвидации последствий компьютерных атак на информационные

ресурсы РФ (ГосСОПКА), включая информирование о компьютерных инцидентах,

повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.

4.5.10. Соблюдение условий, обеспечивающих сохранность ПД и исключающих

несанкционированный к ним доступ.

4.5.11. Утверждение регламента по проведению контрольных мероприятий по

реагированию на инциденты информационной безопасности.

4.5.12. Обнаружение фактов несанкционированного доступа к персональным данным и

принятие мер.

4.5.13. Восстановление ПД, модифицированных или уничтоженных вследствие

несанкционированного доступа к ним.

4.5.14. Проведение периодических мероприятий по обучению работников Оператора,

непосредственно осуществляющих обработку персональных данных, положениям

законодательства РФ о персональных данных, в том числе требованиям к защите

персональных данных, документам, определяющим политику Оператора в отношении

обработки персональных данных, локальным актам по вопросам обработки персональных

данных.

4.5.15. Осуществление внутреннего контроля и аудита.

4.5.16. В случае установления факта неправомерной или случайной передачи

(предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов

ПД, Оператор в предусмотренном законодательством порядке и в соответствующие сроки

уведомляет об указанном факте уполномоченный орган по защите прав субъектов ПД.

5. Основные права субъекта ПД

5.1. Основные права субъекта ПД.

Субъект имеет право на получение информации, касающейся обработки его персональных

данных, в том числе содержащей:

- подтверждение факта обработки ПД Оператором;

- правовые основания и цели обработки ПД;

- цели и применяемые Оператором способы обработки ПД;

- наименование и место нахождения Оператора, сведения о лицах (за исключением

работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты

ПД на основании договора с Оператором или на основании федерального закона;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом ПД прав, предусмотренных Федеральным законом

№ 152-ФЗ;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку

ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;

- обращение к Оператору и направление ему письменных обращений об:

• отзыве согласия на обработку ПД, за исключением случаев, когда обработка ПД

предусмотрена п.п.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 Федерального закона № 152-ФЗ.

• уточнения этих ПД, их блокирования или уничтожения в случае, если они являются

неполными, устаревшими, неточными, незаконно полученными или не могут быть

признаны необходимыми для заявленной цели обработки.

- обжалование действий или бездействия Оператора

- иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими

федеральными законами.

- Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с

федеральными законами, в том числе, если доступ субъекта ПД к его ПД нарушает права и

законные интересы третьих лиц.

6. Политика использования файлов Cookie

6.1. Использование файлов Cookie

6.1.1. Оператор использует файлы Cookie с целью улучшения качества работы Сайта, в

частности, запоминания системой предпочтений субъектов ПД при просмотрах сведений с

Сайта. Оператор использует файлы Cookie и аналогичные технологии, в том числе

идентификаторы устройств субъектов ПД, для идентификации, повышения удобства

работы с Сайта, повышения безопасности и, возможно, показа рекламы.

6.1.2. При первичном посещении Сайта, у субъекта ПД запрашивается согласие на

обработку файлов Cookie (за исключением необходимых файлов Cookie, без которых

нормальное функционирование Сайта невозможно, субъект ПД в праве отказаться от

обработки файлов Cookie). Субъект ПД предоставляет согласие на обработку файлов

Cookie путем заполнения «чек-бокса». Продолжая использование Сайта, субъект ПД

предоставляет согласие на размещение в браузере и/или устройстве субъекта ПД файлов

Cookie.

6.1.3. Оператор на Сайте использует технологии отслеживания во время сеанса и

технологии постоянного отслеживания. Технологии отслеживания (например, файлы

Cookie) могут быть постоянными (т.е. имеют свойство сохранятся на устройстве субъекта

ПД до его удаления) или временными (т.е. имеют свойство сохраняться до тех пор, пока

субъект ПД не прекратит использование браузера)

6.1.4. Оператор на Сайте использует как постоянные, так и сессионные файлы Cookie, а

также их разновидности для работы Сайта:

 Обязательные файлы Cookie – необходимы для нормального функционирования

Сайта. Оператор может использовать обязательные файлы Cookie, чтобы

аутентифицировать субъектов ПД, предотвращать мошенническое использование Сайта

или обеспечивать отдельные функции Сайта.

 Аналитические и эксплуатационные файлы Cookie – позволяют Оператору

распознавать субъектов ПД, а также отслеживают их переходы на Сайт, помогая

усовершенствовать работу Сайта.

 Функциональные файлы Cookie – используются для распознавания повторных

посещений Сайта. Позволяют Оператору персонализировать содержимое Сайта для

субъектов ПД, обращаться по имени и сохранять выбранные настройки (например, язык

или регион).

6.1.5. Файлы Cookie могут использоваться для:

6.1.5.1. Настройки содержимого веб–страниц Сайта в соответствии с предпочтениями

субъектов ПД, а также для распознавания субъектов ПД;

6.1.5.2. Создания статистики, которая помогает понять, как именно субъекты ПД

используют Сайт;

6.1.5.3. Поддержания сеанса субъекта ПД, совершившего авторизацию на Сайте.

6.2. Включение и отключение Cookie

6.2.1. Субъект ПД имеет возможность принять или отклонить все Cookie на всех сайтах,

которые посещает, путем внесения изменения в настройки браузера субъекта ПД.

6.2.2. Оператор уведомляет субъекта ПД, что для каждого браузера необходимо

использовать настройки для изменения и удаления Cookie в порядке предусмотренном

инструкциями браузера. Субъект ПД с целью получения информации о порядке внесения

изменений или удалений файлов Cookie должен обратиться к инструкции используемого

браузера или по адресу www.aboutCookies.org либо www.allaboutCookies.org.

7. Доступ к Политике

7.1. Действующая редакция Политики на бумажном носителе хранится в месте нахождения

исполнительного органа Оператора.

7.2. Электронная версия действующей редакции Политики опубликована на сайте

(https://sletat.ru/) в сети «Интернет».

8. Порядок утверждения и внесения изменений в Политику

8.1. Политика утверждается и вводится в действие приказом генерального директора

Оператора и действует до ее отмены.

8.2. Оператор имеет право по мере необходимости вносить изменения в Политику (далее –

«Изменения»). Изменения утверждаются приказом генерального директора Оператора. В

таком случае измененная редакция Политики публикуется на сайте (https://sletat.ru/) в сети

«Интернет» с указанием срока начала ее действия.

8.3. Субъекты ПД обязуется самостоятельно отслеживать Изменения. Участие субъектов

ПД в деятельности Оператора и (или) посещение/использование ими сайта (https://sletat.ru/)

в сети «Интернет» после начала действия измененной редакции Политики означает

принятие такими субъектами ПД положений измененной редакции Политики.

8.4. Политика пересматривается по мере необходимости, но не реже одного раза в три года

с момента проведения предыдущего пересмотра Политики.

8.5. Политика может пересматриваться ранее срока, указанного в Политике, по мере

внесения изменений:

8.5.1. в нормативные правовые акты РФ в сфере ПД;

8.5.2. в локальные акты Оператора, регламентирующие организацию обработки и

обеспечение безопасности ПД;

8.5.3. в порядок организации Оператором обработки и обеспечения безопасности ПД.

9. Ответственность

9.1. Оператор, а также иные лица, виновные в нарушении норм, регулирующих обработку

и защиту ПД, несут ответственность, предусмотренную законодательством РФ.