- Общие положения
- Цели обработки персональных данных, категории субъектов персональных данных, перечень обрабатываемых персональных данных, правовые основания и сроки обработки персональных данных
- Действия и способы обработки персональных данных
- Права субъекта персональных данных и механизм их реализации
- Функции Оператора при осуществлении обработки персональных данных
- Защита персональных данных
- Безопасность банковских карт
- Заключительные положения
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) в целях обеспечения конфиденциальности и защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных, от несанкционированного доступа и разглашения.
1.2. Политика разъясняет субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются.
1.3. Термины, содержащиеся в статье 1 Закона, используются в настоящей Политике с аналогичным значением, а также следующие термины:
Пользователь – лицо, осуществляющее вход на Сайт и просмотр веб-страниц Сайта, имеющие намерение заказать туристические услуги
Заказчик – юридическое лицо, физическое лицо, в том числе индивидуальный предприниматель, имеющие намерение заказать либо заказавшее туристические услуги
Турист –физическое лицо, совершающее туристическое путешествие в соответствии с заключенным договором оказания туристических услуг
Сайты – vtour.by, а также все поддомены этого сайта, позволяющие подобрать и забронировать туристические услуги.
Личный кабинет – специальное виртуальное пространство на Сайте (его закрытая защищенная часть), выделяемое Поверенному после регистрации на Сайте, предоставляющее возможность по внесению и редактированию персональных данных Туристов и Заказчиков в рамках бронирования туров и заключенных договоров оказания туристических услуг.
1.4. Действие настоящей политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием средств автоматизации и без их использования.
1.5. При организации процессов обработки персональных данных Оператор исходит из необходимости соблюдения всеми работниками Оператора в рамках их должностных обязанностей требований законодательства о защите персональных данных.
2. Цели обработки персональных данных, категории субъектов персональных данных, перечень обрабатываемых персональных данных, правовые основания и сроки обработки персональных данных
2.1. Оператор осуществляет обработку персональных данных субъектов персональных данных в целях, объеме, на правовых основаниях и в сроки применительно к каждой категории субъектов персональных данных согласно приложению 1 к настоящей Политике.
3. Действия и способы обработки персональных данных
3.1. Обработка персональных данных Оператором, в том числе полученных от Турагента, включает в себя следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
3.2. Обработка персональных данных осуществляется Оператором следующими способами:
- неавтоматизированная обработка персональных данных
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой
- смешанная обработка персональных данных
3.4. Оператор для целей исполнения договоров на реализацию туристических услуг вправе передавать персональные данные Туристов поставщикам соответствующих услуг по туру. Такие поставщики услуг могут иметь доступ только к тем персональным данным, которые необходимы им для оказания соответствующих услуг по туру.
3.5. Трансграничная передача персональных данных осуществляется Оператором для достижения целей обработки в соответствии с требованиями законодательства Республики Беларусь.
4. Права субъекта персональных данных и механизм их реализации
4.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки его персональных данных Оператором, включая получение от Оператора подтверждения того, обрабатываются ли персональные данные, касающиеся субъекта персональных данных, Оператором. Настоящее право может быть реализовано субъектом персональных данных посредством подачи Оператору заявления в письменной форме, направленного по адресу Оператора: Республика Беларусь, 220006, г. Минск, ул. Белорусская, д. 15, 1-й цокольный этаж, комн. № 5H, либо в виде электронного документа, направленного на электронный адрес Оператора operator@vtour.by.
Заявление должно содержать:
- фамилию, имя, отчество субъекта персональных данных (в том числе латиницей как в паспорте или ином документе, удостоверяющем личность или загранпаспорте (в документе, необходимом для осуществления туристического путешествия), адрес его места жительства (места пребывания)
- дату рождения субъекта персональных данных
- идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных
- изложение сути требований субъекта персональных данных
- личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных
4.2. Субъект персональных данных вправе требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает Оператору заявление в порядке, установленном пунктом 4.1 Политики, с приложением соответствующих документов и (или) их заверенных копий, подтверждающих необходимость внесения изменений в персональные данные. Оператор в течение пятнадцати дней после получения заявления субъекта персональных данных внесет соответствующие изменения в его персональные данные и уведомит об этом субъекта персональных данных либо уведомит субъекта персональных данных о причинах отказа во внесении таких изменений.
4.3. Субъект персональных данных вправе получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно посредством подачи заявления в порядке, установленном пунктом 4.1 Политики.
Оператор в течение пятнадцати дней после получения заявления субъекта персональных данных предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомит субъекта персональных данных о причинах отказа в ее предоставлении. 4.4. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных посредством подачи Оператору заявления в порядке, установленном пунктом 4.1 Политики. Оператор в течение пятнадцати дней после получения заявления субъекта персональных данных в соответствии с его содержанием прекратит обработку персональных данных (если нет оснований для их обработки согласно законодательству Республики Беларусь), осуществит их удаление, а при отсутствии технической возможности удаления – примет меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомить об этом субъекта персональных данных в тот же срок.
4.5. Субъект персональных данных вправе требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки, посредством подачи заявления в порядке, установленном пунктом 4.1 Политики.
Оператор в течение пятнадцати дней после получения заявления субъекта персональных данных прекратит обработку персональных данных (если нет оснований для их обработки согласно законодательству Республики Беларусь), осуществит их удаление, а при отсутствии технической возможности удаления – примет меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомит об этом субъекта персональных данных в тот же срок.
4.6. Прекращение обработки Оператором персональных данных в случаях, предусмотренных пунктом 4.4 и пунктом 4.5 Политики, может сделать невозможным дальнейшее предоставление Оператором услуг субъекту персональных данных.
4.7. Субъект персональных данных вправе обжаловать действия (бездействие) и решения Оператора, связанные с обработкой его персональных данных, в уполномоченный орган по защите прав субъектов персональных данных (Национальный центр защиты персональных данных Республики Беларусь) в порядке, установленном законодательством об обращениях граждан и юридических лиц.
5. Функции Оператора при осуществлении обработки персональных данных
5.1. Оператор при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь в области персональных данных
- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных
- назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных у Оператора
- издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных Оператора
- осуществляет ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных нормативных актов Оператора в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике
- сообщает в установленном порядке субъектам персональных данных информацию о наличии персональных данных, относящихся к соответствующим субъектам, а также информацию о предоставлении его персональных данных третьим лицам, предоставляет возможность ознакомления с этой информацией при обращении и (или) поступлении запросов указанных субъектов персональных данных, если иное не установлено законодательством Республикой Беларусь
- прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных
- совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных
6. Защита персональных данных
6.1. В целях обеспечения безопасности персональных данных при их обработке Оператор принимает необходимые и достаточные правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Доступ к персональным данным ограничивается в соответствии с законами и локальными правовыми актами Оператора.
6.3. Обработка персональных данных может осуществляться:
- работниками Оператора, допущенными к обработке персональных данных в соответствии с должностными инструкциями
- третьими лицами, осуществляющими обработку персональных данных по поручению Оператора и в его интересах в соответствии с требованиями законодательства
6.5. Доступ представителей государственных органов к персональным данным регламентируется действующим законодательством Республики Беларусь.
6.6. Оператор, его должностные лица и работники несут дисциплинарную, административную, гражданско-правовую и иную ответственность за несоблюдение принципов и условий обработки персональных данных субъектов персональных данных, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Республики Беларусь.
7. Безопасность банковских карт
7.1. При оплате заказов на Сайте с помощью банковских карт все операции с ними проходят на стороне банков в специальных защищенных режимах. Никакая конфиденциальная информация о банковских картах, кроме уведомления о произведенном платеже, на Сайт не передается и передана быть не может.
8. Заключительные положения
7.1. Настоящая Политика является общедоступной. Неограниченный доступ к Настоящей Политике обеспечивается путем ее опубликования на Сайте Оператора, а также по адресу официального местонахождения Оператора.
7.2. Настоящая Политика вступает в силу с момента её утверждения Директором Оператора и действует до её отмены / замены новой. Оператор имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного и (или) последующего уведомления субъектов персональных данных.
7.3. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
7. Приложение 1
Цели обработки персональных данных, категории субъектов персональных данных, перечень обрабатываемых персональных данных, правовые основания и сроки обработки персональных данных
Цели обработки | Категории субъектов | Перечень данных | Правовые основания | Срок хранения |
Оформление (прием) на работу | Соискатели на трудоустройство, члены их семей | В соответствии со статьей 26 Трудового кодекса Республики Беларусь, пунктом 11 Декрета Президента Республики Беларусь от 15 декабря 2014 г. № 5 «Об усилении требований к руководящим кадрам и работникам организаций», иными законодательными актами | Обработка персональных данных при оформлении трудовых отношений (абзац восьмой статьи 6, абзац третий пункта 2 статьи 8 Закона) | После увольнения – 55 лет |
Заключение и исполнение гражданско-правовых договоров, не связанных с основной деятельностью Оператора (например, купля-продажа, подряд и т.п.) | Лица, уполномоченные на подписание договора | Фамилия, собственное имя, отчество либо инициалы лица, должность лица, подписавшего договор, иные данные в соответствии с условиями договора (при необходимости) | 1. В случае заключения договора с физическим лицом – обработка на основании договора с субъектом персональных данных (абзац пятнадцатый статьи 6 Закона). 2. В случае заключения договора с юридическим лицом – обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6 Закона, статья 49, пункт 5 статьи 186 Гражданского кодекса Республики Беларусь) | 3 года после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства. Если налоговыми органами проверка соблюдения налогового законодательства не проводилась – 10 лет после окончания срока действия договора |
Организация практики для студентов | 1. Студенты, проходящие практику.2. Руководители практики от учреждения высшего образования.3. Лица, уполномоченные на подписание договора | 1. Фамилия, собственное имя, отчество студента, место учебы, курс обучения, специальность, контактный номер телефона, личная подпись, иные персональные данные (при необходимости). 2. Фамилия, собственное имя, отчество руководителя практики от учреждения высшего образования, контактный номер телефона, личная подпись. 3. Персональные данные лиц в соответствии с формой договора, утвержденной постановлением Совета Министров Республики Беларусь от 31 августа 2022 г. № 572 «О вопросах реализации образовательных программ» | Обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6 Закона, часть 2 пункта 4 статьи 207 Кодекса Республики Беларусь об образовании, постановление Совета Министров Республики Беларусь от 3 июня 2010 г. № 860 «Об утверждении Положения о практике студентов, курсантов, слушателей», постановление Совета Министров Республики Беларусь от 31 августа 2022 г. № 572 «О вопросах реализации образовательных программ») | 3 года после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства. Если налоговыми органами проверка соблюдения налогового законодательства не проводилась – 10 лет после окончания срока действия договора |
Рассмотрение обращений, в том числе внесенных в книгу замечаний и предложений | 1. Лица, направившие обращение2. Иные лица, чьи персональные данные указаны в обращении | Фамилия, собственное имя, отчество либо инициалы, адрес места жительства (места пребывания), суть обращения, иные персональные данные, указанные в обращении | Обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6 и абзац шестнадцатый пункта 2 статьи 8 Закона, пункт 1 статьи 3 Закона Республики Беларусь ”Об обращениях граждан и юридических лиц“) | 5 лет с даты последнего обращения;5 лет после окончания ведения книги замечаний и предложений |
Заключение и исполнение договоров оказания туристических услуг | Заказчик, туристы, экскурсанты, поименованные в договоре оказания туристических услуг | Со стороны Заказчика или его представителя: фамилия, собственное имя, отчество (при наличии); гражданство; данные о регистрации по месту жительства; данные документа, удостоверяющего личность; номер мобильного и (или) домашнего телефона; адрес электронной почты и (или) иные уникальные идентификаторы пользователя в службах электронного обмена информацией. Со стороны туристов, экскурсантов: фамилия, собственное имя, отчество (при наличии); пол; дата рождения; гражданство; данные о регистрации по месту жительства; данные документа, удостоверяющего личность; номер мобильного и (или) домашнего телефона; адрес электронной почты и (или) иные уникальные идентификаторы пользователя в службах электронного обмена информацией. | На основании договора с субъектом персональных данных (абзац пятнадцатый статьи 6 Закона). | 3 года после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства. Если налоговыми органами проверка соблюдения налогового законодательства не проводилась: - 10 лет после окончания срока действия договора; В информационном ресурсе Оператора – 5 лет |
Регистрация и обслуживание личных кабинетов на Сайте | Пользователи Сайта, Туристы | Фамилия, собственное имя, отчество (при наличии);адрес проживания;номер мобильного телефона;адрес электронной почты;паспортные данные: - фамилия (латинскими буквами); - имя (латинскими буквами); - дата рождения; - серия и номер документа; - идентификационный номер; - дата выдачи; - орган, выдавший паспорт; - срок действия | Согласие субъекта персональных данных | 10 лет с момента последнего входа в Личный кабинет или до момента отзыва согласия субъекта персональных данных |
Рассылка рекламного характера по SMS, электронной почте, посредством мессенджеров | Заказчик, подписывающий договор оказания туристических услугПользователь Сайта, заполнивший форму подписки на рассылку, Пользователь сайта, заполнивший форму обратной связи | В отношении Заказчика по договору оказания туристических услуг: Фамилия, собственное имя, отчество (при наличии), номер мобильного телефона; адрес электронной почты и (или) иные уникальные идентификаторы пользователя в службах электронного обмена информацией В отношении Пользователя Сайта: адрес электронной почты | Согласие субъекта персональных данных | 5 лет |