Политика конфиденциальности и принципы обработки данных физических лиц SIA “SOFI TŪRE”

Целью настоящей Политики конфиденциальности и принципов обработки данных физических лиц является обеспечение соответствия процессов обработки данных, производимых Туроператором, требованиям Регулы, определение обязанностей Туроператора в отношении законности обработки данных и их защиты, а также соблюдение прав субъектов данных. Содержащиеся в данном нормативном документе основные принципы соблюдают все должностные лица и сотрудники Туроператора, если они обеспечивают обработку данных по заданию Туроператора. Неотъемлемой частью данного документа является Политика SIA “SOFI TŪRE” по использованию файлов куки.

Термины и сокращения, используемые в тексте прежде и в дальнейшем, с прописной или строчной буквы, в единственном и множественном числе:

Туроператор — SIA “SOFI TŪRE”, регистрационный номер 40003683955, юридический адрес Рига, ул. А.Деглава 108, к-4 -25, LV-1082, адрес офиса Рига, ул. Тербатас, 73, LV-1010, номер TATO 2010-292, адрес электронной почты: info@sofiture.lv; телефон 67377577.

Данные — любая информация, которая в соответствии с требованиями Регулы относится к идентифицированному или идентифицируемому Субъекту Данных, а также любая информация, известная Туроператору о Субъекте Данных (например, имя, персональный код, данные, относящиеся к предоставлению услуги), а также такая информация, которая введена через Веб-страницу.

Защита Данных – совокупность технических и организационных мер, применяемых Туроператором для обеспечения защиты Данных, обеспечения целостности и безопасности обработки Данных.

Обработка Данных — любые действия, выполняемые Туроператором с Данными (включая обобщение, сбор, регистрацию, хранение, изменение, просмотр, использование и передачу, удаление, ограничение и т.д.); Методы Обработки Данных регулярно оцениваются и пересматриваются.

Субъект Данных — клиент (за исключением клиента, который является юридическим лицом), юридический представитель клиента (физическое лицо) или другое лицо (например, члены семьи клиента, сотрудники), прямо или косвенно связанное с клиентом и Данные которого обрабатываются Туроператором в рамках предоставления услуги.

Клиент — юридическое лицо или физическое лицо, которое желает / планирует использовать или использует услуги Туроператора или каким-либо иным образом участвует в использовании услуги, или которое ввело Данные на  Веб-странице.

Веб-страница — веб-страница Туроператора по адресу www.sofiture.lv, на которой Субъект Данных имеет возможность предоставить определенные Данные для Туроператора.

Политика – данная Политика конфиденциальности и принципы обработки данных физических лиц, а также любые последующие поправки и дополнения к ней.

Регула — Регула (ЕС) 2016/679 Европейского парламента и Европейского Совета от 27 апреля 2016 года о защите частных лиц в отношении обработки персональных данных и о свободном обращении таких данных.

Третье лицо — любое лицо, не являющееся Клиентом, Субъектом Данных или Туроператором.

Надзирающий орган – Государственная инспекция Данных, т.е. орган, контролирующий соответствие обработки данных физических лиц требованиям Регулы.

1. Общие положения

1.1. В отношении Данных Туроператор является лицом, заведующим обработкой Данных, который обрабатывает Данные в соответствии с настоящей Политикой, а также в соответствии с требованиями нормативных актов Европейского Союза и Латвийской Республики, касающихся обработки и защиты персональных Данных. Настоящая Политика применяется, в частности, к автоматизированной обработке Данных и обработке Данных, которые являются частью картотеки или предназначены для формирования части картотеки, если обработка не осуществляется автоматическими средствами.

1.2. Туроператор обрабатывает Данные для целей, указанных в настоящей Политике, с согласия Клиента / Субъекта Данных и в других случаях, указанных в разделе 3.2 Политики. Согласие может быть дано в любое время. Клиент и Субъект Данных вправе в любое время отозвать свое согласие в соответствии с процедурой, указанной в настоящей Политике. Отзыв согласия не влияет на законность обработки, которая основана на согласии до отзыва.

1.3. Туроператор обрабатывает Данные при предоставлении услуг Клиенту и продолжает обрабатывать их для выполнения обязательств, изложенных в имеющих силу нормативных актах, а также после окончания или прекращения предоставления услуги в целях защиты законных интересов Туроператора.

1.4. Туроператор имеет право считать и полагаться на то, что Клиент и Субъект Данных имеют законное право предоставлять/сообщать Туроператору Данные и выражать свое согласие на их обработку.

1.5. Туроператор сохраняет Данные в течение 5 (пяти) лет после прекращения предоставления услуги.

1.6. Туроператор обрабатывает Данные на основании законных оснований и в той мере, в какой это необходимо для качественного предоставления Клиенту и Субъекту Данных соответствующей запрашиваемой услуги, а также для защиты прав Туроператора или для выполнения юридических обязательств, указанных в действующих нормативных актах.

1.7. Обязанностью Субъекта Данных и Клиента является информирование Туроператора об изменениях в ранее предоставленных Данных.

1.8. Туроператор пересматривает данную Политику не реже одного раза в год. Туроператор имеет право в одностороннем порядке изменять настоящую Политику в любое время в соответствии с требованиями нормативных актов. Информацию об изменениях в Политике Туроператор публикует на Веб-странице.

2. Категории данных, обработка данных и цели

2.1. Туроператор обрабатывает следующие категории Данных:

2.1.1. основные (включая идентификационные) данные, в том числе:

1) имя, фамилия, персональный код, дата рождения;

2) данные документа, удостоверяющего личность;

3) язык общения;

4) контактная информация (например, номер телефона, адрес, адрес электронной почты);

2.1.2. финансовые Данные;

2.1.3. электронные и телекоммуникационные Данные, включая IP-адреса,

2.2. Туроператор собирает и обрабатывает Данные Субъектов данных для следующих целей:

2.2.1. предоставление услуг в соответствии с видом деятельности Туроператора — туристический оператор и турагент, в том числе услуг, связанных с организацией туристических поездок, выдачей виз, оформлением страховых полисов, администрированием расчетов, бронированием гостиниц, продажей авиабилетов и оказание других запрошенных Клиентом услуг;

2.2.2. организация акций, лотерей и схожих мероприятий (включая прямой маркетинг), связанных с рекламой услуг, предоставляемых Туроператором; чтобы предлагать и продвигать товары или услуги партнеров Туроператора; для проведения опросов. Субъект Данных может в любое время отказаться от своего согласия на обработку Данных, упомянутую в этом пункте, и отказаться от рекламы и других предложений, отправив Туроператору заявку на бумажном носителе или отправив электронное письмо на электронный адрес Туроператора;

2.2.3. статистические исследования;

2.3. Цели, указанные в разделе 2.2 настоящей Политики, могут включать обработку Данных, относящуюся к:

2.3.1. обработке Данных до заключения договора на услуги/предоставления услуги, включая получение Данных, введенных на Веб-странице;

2.3.2. заключению договора на услуги, его исполненеию или обеспечению предоставления услуги;

2.3.3. анализу и прогнозированию привычек Субъекта Данных для предоставления специальных предложений или более подходящих услуг;

2.3.4. оценке качества услуг, в том числе проводя опросы;

2.3.5. организации статистических исследований и анализа доли рынка, а также других показателей, относящихся к тематическим группам и услугам оказываемым Субъектам Данных;

2.3.6. разработке и внедрению информационных систем Туроператора;

2.3.7. правам Туроператора на защиту своих законных интересов, если они нарушаются или оспариваются. Туроператор периодически переоценивает ранее определенные цели обработки Данных и связанные с ними виды Обработки Данных, чтобы обнаружить случаи, когда изменение фактических обстоятельств привело к тому, что больше нет необходимости в каких-либо целях или видах Обработки Данных.

2.4. Туроператор имеет право регистрировать все сообщения, произведенные с использованием средств связи (например, телефон, электронная почта) и, соответственно, использовать эти зарегистрированные Данные, в том числе для целей, указанных в пунктах 2.2. и 2.3 настоящей Политики.

2.5. Если необходимо начать обработку Данных для новой цели, Туроператор должен до начала обработки Данных: a) оценить и определить характер, объем, контекст и цель, не допуская  обработку Данных без заранее определенных целей; б) оценить и определить правовую основу для обработки Данных; c) определить степень рисков обработки Данных и оценить необходимость проведения оценки воздействия обработки Данных; d) подготовить информационный материал для Субъекта Данных.

3. Обработка данных

3.1. Туроператор во время обработки Данных постоянно следит за тем, чтобы Обработка Данных соответствовала данной Политике. С этой целью Туроператор обеспечивает:

1) чтобы Обработка Данных являлась законной, добропорядочной и прозрачной, не имела отрицательного влияния на права Субъекта данных, и выполнялась в конкретных, четких и законных целях;

2) чтобы Обработка Данных выполнялась с соответствующими с точки зрения размера и содержимого Данными, не допуская чрезмерного получения Данных от Субъекта Данных;

3) чтобы Обработка Данных была направлена ​​на точную обработку Данных, обеспечивая своевременную коррекцию неточных Данных;

4) период хранения Данных, который предотвращает обработку Данных дольше, чем это необходимо для целей, для которых обрабатываются соответствующие Данные;

5) чтобы Обработка Данных проводилась с использованием надлежащих технических и организационных мер по обеспечению защиты Данных, чтобы обеспечить защиту Данных от несанкционированного или незаконной обработки и от случайной потери Данных, их уничтожения или повреждения;

6) своевременное обнаружение и всестороннее расследование инцидентов безопасности, связанных с защитой Данных, а также представление сообщений о нарушениях защиты Данных в Надзирающий орган и Субъекту Данных;

7) ведение Регистра обработки Данных и обеспечение его доступности Надзирающему органу;

8) регулярное обучение сотрудников.

3.2. Туроператор обрабатывает Данные, если применимо хотя бы одно из следующих обоснований:

1) получено согласие на обработку Данных, указанное в пункте 1.2 настоящей Политики;

2) обработка данных необходима для выполнения договора, стороной которого  является Клиент / Субъект Данных, или предоставления услуги, запрошенной Клиентом / Субъектом данных или принятия мер по запросу Клиента / Субъекта Данных до заключения договора на оказание услуги/оказания услуги;

3) Обработка Данных необходима для выполнения юридического обязательства относящегося к Туроператору;

3.3. Туроператор поддерживает все собранные и обработанные Данные точными. Точность Данных проверяется путем сбора Данных, и их актуальность регулярно переоценивается, в том числе, при необходимости, запрашивая Данные для их обновления. Если обнаруживаются устаревшие или неточные Данные, то Туроператор обязан незамедлительно принять необходимые меры, принимая во внимание конкретные обстоятельства для того, чтобы восстановить, исправить или удалить Данные.

3.4. Туроператор не хранит Данные дольше, чем это необходимо для целей, для которых были собраны и обработаны эти Данные, а также обеспечивает, чтобы те Данные, которые больше не нужны для достижения конкретной цели, архивировались или удалялись.

3.5. Туроператор обеспечивает, чтобы все собранные и обработанные Данные хранились в безопасности и были защищены от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения информации, в том числе для этого осуществляя меры технической защиты информации, восстановления и безопасной деятельности по обработке Данных.

3.6. Туроператор должен гарантировать, что во время обработки Данных, все сотрудники и представители Туроператора, посредники, контрагенты или другие Третьи лица, которые от имени Туроператора или по поручению Туроператора обрабатывают Данные, полностью осведомлены о своих обязанностях и  обязанностях Туроператора по отношению к законности Обработки Данных и основных принципах защиты Данных, изложенных в этой Политике и проходят соответствующую подготовку и контроль и регулярно оцениваются и пересматриваются.

3.7. В случаях, когда Данные обрабатываются для целей профилирования, Туроператор должен соблюдать следующие условия:

1) Субъекту данных предоставляется четкая информация об Обработке Данных в рамках профилирования, включая значимость и возможные последствия такой обработки;

2) используются соответствующие математические расчеты и методы, или статистические процедуры;

3) используются соответствующие технические и организационные меры, необходимые для снижения вероятности ошибок, а также и для облегчения идентификации и исправления ошибок, если таковые появятся;

4) все Данные, обработанные при профилировании, предоставляются для предотвращения любого дискриминационного эффекта, который может возникнуть в результате профилирования.

3.8. Туроператор регистрирует в Регистре обработки Данных произведенные им действия в отношении Обработки Данных. Такой Регистр должен содержать следующую информацию:

1) имя и контактные данные Туроператора;

2) цели обработки Данных;

3) описание категорий Субъектов Данных, о которых собираются, хранятся и обрабатываются Данные;

4) Категории Данных, которые собираются, хранятся и обрабатываются;

5) информация о Третьих лицах (категории получателей), которые будут получать или получили личные Данные от Туроператора;

6) информация о передаче Данных в третью страну (т.е. Страну, не являющуюся государством-членом Европейского Союза или страной Европейской экономической зоны или Швейцарской Конфедерации);

7) информацию о сроках хранения Данных;

8) описание технических и организационных мер, осуществляемых Туроператором, которые обеспечивают безопасность Данных.

Туроператор должен обеспечить доступность Регистра обработки Данных Надзирающему органу. Регистр обработки Данных поддерживается в электронном формате.

3.9. В случае нарушения защиты Данных, и если такое нарушение может поставить под угрозу права и свободы Субъекта Данных, то Туроператор без неоправданной задержки и, если возможно, не позднее 72 (семидесяти двух) часов с момента, когда стало известно о нарушении, должен уведомить о нарушении защиты Данных Надзирающий орган и Субъекта Данных, чьи интересы затронуты. Туроператор имеет право не уведомлять Субъект Данных о нарушении защиты Данных в следующих случаях:

1) если Туроператор выполнил соответствующие технические и организационные меры по защите Данных и они применены к Данным, поврежденным при нарушении защиты Данных;

2) если Туроператор принял надлежащие меры для обеспечения того, чтобы высокий риск в отношении прав и свобод Субъектов Данных не был реализован;

3) это потребует непропорциональных усилий, и Туроператор вместо этого использует методы средств публичной связи или аналогичные методы, чтобы информировать Субъектов Данных таким же эффективным образом.

4. Права субъекта данных

4.1. Субъект Данных в отношении Данных подавая Туроператору соответствующее заявление имеет право:

4.1.1. получить доступ к своим Данным, включая информацию о категориях Данных, источниках и целях обработки, а также получать информацию о Третьих лицах, которым переданы, или было обещано, что будут предоставлены Данные;

4.1.2. исправить свои Данные; Туроператор без неоправданной задержки должен исправить или дополнить Данные и сообщить Субъекту Данных об исправлении Данных, если Субъект Данных информирует Туроператора о том, что Данные, хранящиеся Туроператором, являются неточными или неполными, требуя их исправления или дополнения; если неточные данные передаются Третьим лицам, Туроператор должен информировать этих лиц об исправлении или добавлении соответствующих Данных, за исключением случаев, когда выполнение такого обязательства является невозможным или несоразмерным.

4.1.3. удалить свои Данные, если существует одно из следующих условий:

1) Данные больше не нужны для целей, для которых они были собраны или обработаны иным образом;

2) Субъект Данных отказывается от своего согласия, на основании которого осуществляется обработка Данных, и нет другой правовой основы для их обработки;

3) Субъект Данных выступает против обработки Данных для соблюдения законных интересов Туроператора или Третьих лиц и нет более важных законных интересов, которые позволили бы Туроператору или Третьему лицу обрабатывать Данные;

4) Субъект Данных выступает против обработки Данных для целей прямого маркетинга;

5) Данные обрабатываются незаконно;

6) Данные должны быть стерты для того, чтобы Туроператор выполнял применимое к нему юридическое обязательство, как указано в нормативных актах.

Туроператор должен сообщить Субъекту Данных об удалении Данных. В случае, если Туроператор по просьбе Субъекта Данных стирает такие Данные, которые были переданы Третьим лицам, то Туроператор должен уведомить этих лиц об удалении Данных, за исключением случаев, когда такое обязательство является невозможным или несоразмерным. В случаях, указанных в подпунктах 1., 5. и 6. настоящего пункта, Туроператор имеет право удалить Данные без заявления Субъекта данных.

4.1.4. ограничить обработку своих Данных; в этом случае такие Данные, за исключением хранения, обрабатываются только с согласия Субъекта данных или для установления, осуществления или защиты законных прав Туроператора, или для защиты прав других физических или юридических лиц; если были ограничены такие Данные, которые были переданы третьим лицам, Туроператор информирует этих лиц об ограничении Обработки данных, за исключением случаев, когда такое обязательство является невозможным или несоразмерным.

4.1.5. получать и передавать свои данные (в том числе через Туроператора, если это технически возможно), предоставляемые Туроператором,

4.1.6. возражать против обработки своих Данных и полностью или частично отказаться от своего согласия на обработку Данных.

Упомянутое в этом пункте заявление Субъект данных может подать Туроператору лично, отправив его по почте (в том числе курьерской службой) в печатном виде (в этом случае подпись Субъекта данных, должна быть заверена нотариально) или путем отправки в форме электронного документа на электронную почту Туроператора info@sofiture.lv, обеспечивая, чтобы такое заявление было оформлено в соответствии с требованиями нормативных актов о подготовке электронных документов. В заявлении Субъект данных, указывает желаемый вид действия в отношении Данных, учитывая, что Туроператор в любом случае имеет право требовать, чтобы Субъект данных за информацией прибыл лично.

4.2. Туроператор выполняет, указанный в пункте 4.1. Политики, запрос без неоправданной задержки, не позднее чем через один месяц после получения запроса и информирует Субъект данных о действиях, осуществляемых в соответствии с запросом. Срок для выполнения запроса может быть продлен еще на 2 (два) месяца с учетом сложности и количества запросов. Туроператор информирует Субъекта данных о любых таких продлениях и причинах задержки в течение одного месяца с момента получения запроса. Если Туроператор не выполняет указанный в заявлении Субъекта данных запрос, то Туроператор информирует Субъекта данных о причинах невыполнения запроса и возможности подать жалобу в Надзирающий орган.

4.3. Осуществление Субъектом данных своих прав на получение копии Данных, находящихся в обработке Туроператора, не должно отрицательно влиять на права и свободы других лиц. В случае, если копия запрашиваемой информации, без Данных соответствующего Субъекта данных содержит данные другого лица, то Туроператор имеет право не предоставлять копию информации.

4.4. Туроператор имеет право отказаться от исполнения запроса, упомянутого в заявлении, или определить и потребовать оплату за выполнение запроса, который включает в себя административные расходы, связанные с обеспечением предоставления информации или осуществлением запрошенного действия, если запросы Субъекта данных являются необоснованными или чрезмерными (например, многократно повторяются).

4.5. Субъект данных имеет право подать жалобу Туроператору и Надзирающему органу относительно возможного нарушения при обработке личных данных или инцидента в отношении безопасности Данных.

5. Передача данных

5.1. Туроператор для предоставления услуг Клиенту и / или Субъекту данных имеет право передавать Данные (но только в том объеме, который необходим для этой цели) следующим третьим лицам:

1) лицу и организации (например, посредникам платежей, банкам, международным организациям карт, страховщикам, авиаперевозчикам, гостиницам, перевозчикам, организаторам экскурсий, посольствам и консульским отделам и т.д.), участвующим в предоставлении услуг Туроператора и / или реализации соответствующего договора на оказание услуг;

2) лицу, предоставляющему услуги от имени Туроператора или обрабатывающее Данные по заданию Туроператора;

3) цессионару, если передается право требования к Клиенту или Третьему лицу, которое связанно с перенятием договора на обслуживание,

4) государственным учреждениям, учреждениям или должностным лицам в случаях, предусмотренных нормативными актами,

5) другим Третьим лицам, если Туроператору необходимо защищать нарушенные или оспариваемые права,

учитывая, что такое лицо / организация может работать в стране, по отношению к которой решение об уровне достаточности защиты Данных не обеспечено или не обеспечиваются надлежащие гарантии в отношении доступности эффективных средств правовой защиты, и таким образом, Туроператор не может гарантировать, чтобы Данные обрабатывались в соответствии с такими же требованиями, которые имеют силу в Европейском Союзе, а также указанные лица могут быть обязаны раскрывать Данные компетентным государственным органом своей сраны-регистрации в случаях, предусмотренных соответствующими законами и правилами.