Политика конфиденциальности платформы по бронированию отелей «Моя бронь»

1. Общие положения

  1. Настоящая Политика конфиденциальности (далее – Политика) разработана Обществом с ограниченной ответственностью «Моя Бронь» (ОГРН 1247700470566, ИНН 9717165404, юридический адрес: 129626, город Москва, проспект Мира, дом 102, корпус 1, помещение 3/7) (далее – Оператор) в соответствии с требованиями законодательства Российской Федерации, включая Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных», и определяет порядок обработки и защиты персональных данных пользователей сервиса бронирования отелей, осуществляемого через мессенджер Telegram (далее – Платформа). Оператор гарантирует соблюдение прав субъектов персональных данных и принимает необходимые меры для обеспечения безопасности персональных данных.
  2. Политика распространяется на любую информацию о пользователях, которую Оператор может получить при использовании Платформы. Под персональными данными (далее – ПД) понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (Пользователю). Настоящая Политика является неотъемлемой частью пользовательского соглашения (договора оферты) на использование Платформы. Начало использования Пользователем Платформы либо предоставление им своих персональных данных означает согласие с настоящей Политикой и подтверждение того, что Пользователь предоставил свои ПД добровольно.
  3. Обработка персональных данных Пользователей осуществляется Оператором – Обществом с ограниченной ответственностью «Моя Бронь». Оператор самостоятельно или с привлечением третьих лиц организует обработку ПД и определяет цели обработки, состав собираемых ПД и действия (операции), совершаемые с ПД. Контактные данные Оператора приведены в разделе 9 данной Политики.
  4. Оператор осуществляет сбор, запись, хранение и уничтожение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с требованиями действующего законодательства РФ. Оператор руководствуется положениями Федерального закона №152-ФЗ «О персональных данных» и иных нормативных правовых актов РФ в сфере защиты персональных данных.

2. Персональные данные, собираемые Платформой

Оператор осуществляет сбор и обработку следующих персональных данных Пользователей, необходимые для предоставления услуг бронирования отелей:

  • Фамилия, имя пользователя. Для оформления бронирования отеля на имя Пользователя.
  • Номер телефона. Для связи с Пользователем по вопросам подтверждения бронирования, предоставления уведомлений о статусе заказа, а также для связи службы поддержки.
  • Адрес электронной почты. Для отправки подтверждений бронирования, квитанций об оплате, информационных писем, связанных с оказанием услуг, и обмена документами.
  • Данные о бронировании. Информация о выбранном отеле (название отеля), дате заезда/выезда (дата бронирования), типе номера и стоимости проживания. Эти сведения необходимы для оформления и исполнения бронирования и формирования отчетных документов.
  • Платежные данные. Для оплаты проживания могут запрашиваться данные платежной карты или другие реквизиты, необходимые для проведения платежа через интегрированную систему оплаты (CloudPayments). Внимание: данные платежных карт вводятся Пользователем на защищенной платежной странице CloudPayments; Оператор непосредственно не сохраняет и не обрабатывает полный номер карты и другие чувствительные платежные данные – их обработка производится сторонним платежным сервисом (см. раздел 5).
  • Данные коммуникации. Содержание обращений Пользователя в службу поддержки (через чат в Telegram) и иные сведения, которые Пользователь добровольно предоставляет при общении с Оператором. Эти данные могут включать дополнительные контактные или идентифицирующие сведения, если Пользователь решит их сообщить в ходе обращения.
  • Техническая и аналитическая информация. При использовании Платформы автоматически собираются некоторые технические данные: IP-адрес устройства Пользователя, тип используемого устройства, версия операционной системы, информация о браузере (если применимо), язык, географическое приблизительное местоположение, данные о фактах и времени использования функций Платформы. Сбор этих сведений осуществляется с помощью файлов cookie и аналогичных технологий аналитическими системами (такими как Яндекс.Метрика и Google Analytics) с целью улучшения работы сервиса, статистики использования и обеспечения информационной безопасности (подробнее о передаче данных в системы аналитики см. раздел 5).

Оператор не запрашивает и не обрабатывает специальные категории персональных данных (о расовом или национальном происхождении, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни) либо биометрические персональные данные в рамках работы Платформы. Пользователь обязан предоставлять точные и актуальные данные; последствия предоставления недостоверных сведений несет Пользователь в соответствии с Пользовательским соглашением.

3. Цели обработки персональных данных

Персональные данные Пользователя собираются и обрабатываются Оператором строго для конкретных, заранее определенных и законных целей. Основные цели обработки ПД на Платформе включают:

  • Предоставление услуг бронирования. Оформление и обеспечение гостиничного бронирования по запросу Пользователя. Фамилия, имя, а также данные о бронировании (отель, даты, тип номера) используются для резервирования номера на имя Пользователя через партнерскую систему бронирования.
  • Исполнение договора и обратная связь. Связь с Пользователем по предоставленному номеру телефона или email для передачи подтверждения бронирования, ваучера, информации об изменениях или статусе заказа, а также для направления напоминаний об оплате, если это необходимо. Данные контактов используются для выполнения обязательств перед Пользователем в рамках договора оказания услуг бронирования.
  • Обработка платежей. Организация приема оплаты за забронированное проживание. Платежные данные Пользователя используются для проведения транзакций через интегрированный платежный сервис (CloudPayments). Цель обработки – принять оплату и обеспечить выполнение финансовых обязательств (выставление счета, подтверждение платежа).
  • Поддержка Пользователей. Обработка обращений и запросов Пользователей через чат службы поддержки в Telegram. Персональные данные, содержащиеся в таких обращениях (например, имя пользователя в Telegram, содержание запроса, контактные данные), используются исключительно для консультации Пользователя, решения возникших вопросов, исправления возможных проблем с бронированием и улучшения качества обслуживания.
  • Улучшение сервиса и аналитика. Анализ активности Пользователей на Платформе с целью улучшения работы сервиса, развития новых функций и удобства интерфейса. Для этой цели Оператор использует данные технической и поведенческой аналитики (например, статистику использования функций, посещаемость, типичные маршруты взаимодействия с ботом). Обезличенные данные могут использоваться для статистических и исследовательских целей, чтобы выявлять тенденции использования сервиса. Инструменты веб-аналитики (Яндекс.Метрика, Google Analytics) помогают Оператору получать обобщенную статистику и понимать потребности аудитории; при этом Оператор стремится по возможности обезличивать или агрегировать данные для аналитических отчетов.
  • Обеспечение безопасности. Обработка технических данных и лог-файлов для обеспечения информационной безопасности Платформы, предотвращения мошенничества, несанкционированного доступа и других неправомерных действий. Например, IP-адреса и другие технические сведения могут использоваться для обнаружения подозрительной активности, защиты от DDoS-атак и иных угроз, а также для расследования инцидентов информационной безопасности.
  • Выполнение требований законодательства. Соблюдение Оператором обязательных требований законодательства РФ, например, в сфере бухгалтерского учета, налоговой отчетности, хранения бухгалтерских документов, а также исполнение законных запросов государственных органов. Персональные данные могут использоваться для формирования и хранения документов (договоров, счетов, актов) в сроки, установленные законодательством, а также для предоставления сведений уполномоченным органам власти в случаях, предусмотренных законом (например, по запросу суда или правоохранительных органов).

Оператор не обрабатывает персональные данные в целях, не совместимых с изначально заявленными. В случае, если потребуется использовать данные для новой цели, отличной от указанных выше, Оператор запросит предварительное согласие Пользователя на такую обработку, за исключением случаев, прямо разрешенных законодательством.

4. Правовые основания обработки

Оператор осуществляет обработку персональных данных Пользователей на следующих законных основаниях, предусмотренных законодательством Российской Федерации о персональных данных:

  • Согласие Пользователя. Обработка ПД осуществляется с согласия субъекта персональных данных – Пользователя (в соответствии с п.1 ч.1 ст.6 Федерального закона №152-ФЗ). Пользователь предоставляет Оператору согласие на обработку своих персональных данных путем совершения конклюдентных действий – продолжения использования Платформы, оформления бронирования, передачи своих данных через интерфейс Платформы, проставления отметки о согласии с условиями Политики и пр. Согласие действует до его отзыва Пользователем (см. раздел 6 о правах Пользователя на отзыв согласия).
  • Исполнение договора. Обработка ПД необходима для исполнения договора, стороной которого или выгодоприобретателем по которому является Пользователь (п.5 ч.1 ст.6 Федерального закона №152-ФЗ). Это означает, что персональные данные обрабатываются для предоставления Пользователю услуг бронирования отелей, выполнения связанных с этим расчетных и иных обязательств. Например, без обработки контактных и идентификационных данных Оператор не сможет подтвердить и исполнить бронирование, а без обработки платежных данных – принять оплату.
  • Иные основания. В отдельных случаях Оператор может обрабатывать персональные данные и без согласия Пользователя, если такая обработка допускается законодательством. К таким случаям относятся, в частности: необходимость исполнения установленных законом обязанностей Оператора (п.2 ч.1 ст.6 152-ФЗ), необходимость защиты жизни, здоровья или иных жизненно важных интересов Пользователя либо других лиц в случаях, когда получение согласия затруднительно (п.6 ч.1 ст.6), необходимость осуществления прав и законных интересов Оператора либо третьих лиц при условии, что при этом не нарушаются права и свободы субъекта ПД (п.7 ч.1 ст.6). Также Оператор вправе обрабатывать персональные данные, сделанные самим Пользователем общедоступными (п.10 ч.1 ст.6). Перечисленные случаи обычно имеют место, когда обработка диктуется требованием закона или обстоятельствами чрезвычайного характера.

Во всех ситуациях, когда требуется получение отдельного согласия субъекта ПД согласно законодательству (например, при передаче данных в страны, не обеспечивающие адекватную защиту ПД, при публичном распространении ПД и т.д.), Оператор запрашивает такое согласие у Пользователя в требуемой форме. Оператор строго соблюдает предусмотренные законом принципы и условия обработки персональных данных.

5. Передача персональных данных третьим лицам

Оператор не раскрывает и не передает персональные данные Пользователей третьим лицам, за исключением случаев, перечисленных ниже, либо когда такая передача предусмотрена законодательством или явно разрешена Пользователем. Передача данных третьим сторонам осуществляется в объеме, необходимом для достижения указанных целей обработки, при соблюдении требований конфиденциальности и безопасности. Основные получатели (третьи лица), которым могут передаваться данные Пользователей, включают:

  • Платежный сервис CloudPayments. Для обработки оплаты бронирования Оператор взаимодействует с внешней платежной системой CloudPayments. В рамках платежа Пользователь может быть перенаправлен на защищенный шлюз CloudPayments, куда вводит данные своей банковской карты. Сервис CloudPayments получает такие сведения, как имя держателя карты, номер карты, срок ее действия, код безопасности и сумму платежа, а также может получать контактные данные (например, телефон или email для отправки уведомления о платеже). Передача этих данных необходима для авторизации и проведения платежной транзакции. CloudPayments выступает самостоятельным оператором (процессингом) платежных данных и обрабатывает их согласно собственной политике конфиденциальности. Оператор передает в CloudPayments минимально необходимые сведения (например, идентификатор заказа, сумму к оплате, валюту, имя плательщика) и не получает доступ к полным реквизитам банковской карты (кроме типа карты и части номера). Все взаимодействие с CloudPayments защищено средствами шифрования, соответствующими стандартам безопасности индустрии платежных карт (PCI DSS).
  • Система бронирования «Броневик» (Bronevik API). Платформа интегрирована с внешним сервисом бронирования отелей Bronevik для получения актуальной информации об отелях и совершения бронирований. Для подтверждения выбранного Пользователем варианта размещения Оператор передает через защищенный канал в систему Bronevik необходимые персональные данные: фамилию и имя гостя (Пользователя) для регистрации брони в отеле, а также детали бронирования (название отеля, даты проживания, выбранный тариф/тип номера). Эти данные используются партнером (Bronevik) исключительно с целью оформления брони и передачи информации соответствующему гостиничному объекту. Bronevik действует как партнерский оператор персональных данных и обеспечивает конфиденциальность полученных сведений согласно своему соглашению с Оператором и требованиям закона. Без передачи этих данных бронирование номера на имя Пользователя было бы невозможно.
  • Аналитические сервисы (Яндекс.Метрика и Google Analytics). В целях сбора статистики и улучшения работы Платформы Оператор использует услуги веб-аналитики Яндекс.Метрика (предоставляется Яндексом, Россия) и Google Analytics (предоставляется Google LLC, США). Эти сервисы с помощью файлов cookie и аналогичных технологий получают и обрабатывают обезличенные данные о деятельности Пользователя: посещенные страницы или команды бота, количество выполненных бронирований, техническую информацию об устройстве и браузере, приблизительное местоположение (страна/город по IP) и т.п. Яндекс.Метрика предоставляет Оператору отчеты в обобщенном виде, не раскрывающие конкретную личность Пользователя. Google Analytics также собирает аналитические данные; при этом некоторые данные могут передаваться и обрабатываться на серверах за пределами Российской Федерации (например, в дата-центрах Google в других странах). Оператор заключил необходимые соглашения с данными сервисами и/или настроил их таким образом, чтобы обеспечить соблюдение конфиденциальности (в случае Google Analytics Оператор может использовать функцию анонимизации IP-адресов). Данные, собираемые аналитическими системами, не используются для установления личности Пользователя, а служат для понимания общей активности и предпочтений аудитории. Пользователь при желании может отключить сохранение cookie в настройках своего браузера, однако это может повлиять на корректность работы некоторых функций Платформы.
  • Мессенджер Telegram (служба поддержки). Обращения Пользователей за поддержкой обрабатываются посредством чата в мессенджере Telegram. Это означает, что сообщения Пользователя, содержащие персональные данные (например, имя профиля Telegram, текст обращения, возможные вложения), проходят через инфраструктуру Telegram. Telegram может выступать как самостоятельный оператор данных переписки и хранить историю сообщений в соответствии со своей политикой конфиденциальности. Оператор не передает в Telegram никаких дополнительных данных о Пользователе, кроме тех, которые сам Пользователь сообщит в чате. Переписка с Пользователем используется Оператором только для ответа на запросы и решения проблем Пользователя. Рекомендуется соблюдать осторожность при передаче конфиденциальной информации через чат поддержки. Оператор не несет ответственность за сохранность данных на стороне мессенджера Telegram; Пользователь должен самостоятельно ознакомиться с условиями обработки данных в Telegram. В то же время, сотрудники службы поддержки Оператора обязуются хранить тайну переписки с Пользователем и не раскрывать полученные в ходе общения сведения третьим лицам без законных оснований.
  • Государственные органы и иные третьи лица на основании закона. Оператор вправе предоставить персональные данные уполномоченным государственным органам (например, органам дознания и следствия, судам, налоговым органам, Роскомнадзору) в случаях и порядке, установленных законодательством Российской Федерации. Такие передачи осуществляются только при наличии законного запроса и строго в объеме, который требуется в соответствии с законом. Кроме того, в рамках исполнения требований законов Оператор может передавать данные для ведения бухгалтерской и налоговой отчетности (например, сведения о платежах – в банковские или налоговые учреждения, если это предусмотрено нормативными актами). Во всех случаях предоставления данных на основании закона Оператор предварительно проверяет законность запроса и обеспечивает передачу по защищенным каналам связи.

Оператор гарантирует, что ни при каких условиях не продает и не предоставляет персональные данные Пользователей третьим лицам в коммерческих целях, не указанных в Политике, без прямого согласия Пользователя. Передача ПД сторонним организациям, не поименованным в настоящей Политике, возможна только на основании отдельного явного согласия Пользователя либо при прямом предписании закона. Все привлеченные к обработке персональных данных сторонние организации связаны обязательствами по защите конфиденциальности полученной информации и используют персональные данные Пользователей только для тех целей, которые были им предоставлены Оператором.

6. Права пользователя (субъекта персональных данных)

Оператор уважает права каждого Пользователя как субъекта персональных данных и обеспечивает возможность их реализации в соответствии с главой 3 Федерального закона №152-ФЗ. Пользователь, чьи данные обрабатываются на Платформе, имеет следующие права:

  • Право на информацию об обработке своих ПД. Пользователь вправе получить от Оператора подтверждение факта обработки своих персональных данных, а также информацию о целях, правовых основаниях, способах обработки, о сроках обработки (сроках хранения) своих ПД, о наименовании и местонахождении Оператора, о наличии у Оператора данных, относящихся к данному Пользователю, и о составе таких данных. По запросу Пользователю предоставляются сведения о лицах, которые имеют доступ к его ПД или которым данные могут быть раскрыты на основании договора с Оператором либо в соответствии с законом. Порядок обращения за такой информацией указан ниже (в настоящем разделе и в разделе 9).
  • Право на доступ к своим персональным данным. По обращению Пользователя Оператор предоставляет копии или иным образом знакомит Пользователя с его персональными данными, которые обрабатываются, кроме случаев, предусмотренных законом (например, если данные содержат сведения о другом субъекте или государственную тайну). Предоставление информации осуществляется в разумные сроки и, как правило, бесплатно (если запрос не является повторным или чрезмерным, как установлено законом). Пользователь может запросить эти сведения, направив соответствующий запрос Оператору в письменной форме или в виде электронного документа, подписанного электронной подписью (в соответствии с законодательством РФ).
  • Право на уточнение, блокирование или уничтожение ПД. Если Пользователь обнаружил, что его персональные данные являются неполными, устаревшими, неточными либо были получены незаконным путем или не являются необходимыми для заявленной цели обработки, он вправе потребовать от Оператора: (а) уточнения (обновления, исправления) своих данных; (б) блокирования данных (временной приостановки обработки) – например, если Пользователь оспаривает корректность данных или законность их обработки, на период проверки; (в) уничтожения персональных данных, если их обработка осуществлялась с нарушением требований закона или если данные более не требуются для достижения заявленных целей. Соответствующее требование Пользователь может направить Оператору в свободной форме (через email или почтовый адрес, указанный в разделе 9). Оператор обязуется рассмотреть такое требование и дать мотивированный ответ в установленные законом сроки (не более 10 рабочих дней на исправление или уничтожение данных с момента получения запроса или отзыва согласия, если отсутствуют иные законные основания для обработки).
  • Право отозвать согласие. В случаях, когда обработка персональных данных осуществляется на основании согласия Пользователя, субъект ПД вправе в любое время отозвать свое согласие, направив Оператору соответствующее уведомление. Отзыв согласия не имеет обратной силы и означает, что дальнейшая обработка тех данных, которая осуществлялась исключительно на основании согласия, будет прекращена Оператором. При получении отзыва согласия на обработку ПД Оператор обязуется прекратить обработку и (если сохранение ПД более не требуется для целей обработки или в силу закона) уничтожить персональные данные в срок, не превышающий 30 дней, либо обеспечить их уничтожение (если обработка производится другим лицом по поручению Оператора). Важно отметить, что в случае отзыва согласия на обработку данных, необходимых для предоставления услуги (например, контактных данных для оформления текущего бронирования), Оператор может оказаться не в состоянии продолжать оказание соответствующих услуг Пользователю.
  • Право возражать против обработки или ограничить обработку. В предусмотренных законом случаях Пользователь имеет право возражать против осуществляемой Оператором обработки его персональных данных, если считает, что такая обработка затрагивает его права и законные интересы. В частности, субъект ПД вправе в любой момент возразить против обработки своих персональных данных в целях прямого маркетинга (рассылки рекламных или промо-материалов); в случае получения такого возражения Оператор немедленно прекратит обработку ПД Пользователя в маркетинговых целях. Также Пользователь может требовать ограничить (временно приостановить) обработку при оспаривании точности данных или законности их использования.
  • Право на защиту своих прав и обжалование. Если Пользователь считает, что Оператор нарушает требования законодательства о персональных данных и тем самым ущемляет его права и свободы, он вправе обратиться с жалобой непосредственно к Оператору (для оперативного урегулирования проблемы) либо подать обращение в уполномоченный надзорный орган – Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Также Пользователь имеет право на судебную защиту своих прав. Контактные данные Роскомнадзора и порядок подачи жалобы доступны на официальном сайте ведомства. Оператор рекомендует сначала обращаться с любыми вопросами или претензиями, касающимися обработки ПД, напрямую к Оператору – это позволит урегулировать ситуацию наиболее быстро и эффективно.

Для реализации своих прав субъект персональных данных может направить Оператору письменный или электронный запрос, оформленный в соответствии с требованиями законодательства. В запросе рекомендуется указать ФИО Пользователя, суть обращения, а также контактные данные для связи. Оператор обязуется рассмотреть обращение и предоставить ответ или запрашиваемые сведения в срок не позднее 30 дней с даты поступления обращения (если законодательством не установлен иной срок). В случае отказа в удовлетворении запроса Пользователя (частично или полностью) Оператор предоставит мотивированный ответ с указанием оснований отказа.

7. Меры по защите персональных данных

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных Пользователей от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. В соответствии с требованиями ст.19 Федерального закона №152-ФЗ разработаны и применяются внутренние документы по безопасности данных, внедрены современные средства защиты. Основные меры, реализуемые Оператором для обеспечения конфиденциальности и безопасности ПД, включают:

  • Хранение данных в защищенной среде. Персональные данные Пользователей хранятся в базах данных на серверах, расположенных в Российской Федерации, что соответствует требованию локализации персональных данных (Федеральный закон №242-ФЗ). Серверы размещены в дата-центрах с ограниченным доступом, оснащенных системами контроля и мониторинга безопасности (круглосуточная охрана, видеонаблюдение, пропускная система).
  • Шифрование и передача данных. При сборе и передаче конфиденциальных данных используется шифрование. Вся информация, которую Пользователь предоставляет через интерфейс Платформы (включая ввод личных данных и оплату), передается по защищенным каналам связи (протокол SSL/TLS). Платежные операции через CloudPayments осуществляются на зашифрованных страницах с использованием протоколов шифрования высокого уровня. Это предотвращает перехват и несанкционированный доступ к данным во время их передачи по сети Интернет.
  • Ограничение доступа и разграничение прав. Доступ к персональным данным Пользователей имеют только те сотрудники Оператора или связанные с ним лица, которым он необходим для выполнения служебных обязанностей и предоставления услуг (принцип «необходимого знания»). Каждый такой сотрудник действует на основании поручения Оператора и обязуется соблюдать конфиденциальность обрабатываемых данных (подписаны соответствующие соглашения о неразглашении). В информационных системах реализовано разграничение прав доступа: учетные записи и права настроены таким образом, чтобы сотрудники видели только те данные, которые относятся к сфере их компетенции.
  • Пароли и аутентификация. Для доступа к базам данных и административным панелям используются сложные пароли и механизмы многофакторной аутентификации (если применимо). Периодически проводится смена паролей в соответствии с политикой безопасности. Доступ к критическим узлам системы возможен только с доверенных IP-адресов или через защищенные VPN-соединения.
  • Антивирусная защита и обновления. На серверах и рабочих местах, задействованных в обработке ПД, установлено актуальное антивирусное программное обеспечение, регулярно проводятся сканирование на наличие вредоносного кода. Программное и аппаратное обеспечение своевременно обновляется до актуальных версий, чтобы устранить известные уязвимости и повысить общую защищенность инфраструктуры.
  • Резервирование и восстановление. Оператор выполняет резервное копирование ключевых баз данных и систем на случай сбоя или утраты информации. Резервные копии хранятся в зашифрованном виде. Регулярно тестируются процедуры восстановления данных из резервных копий, что позволяет оперативно возобновить работу системы в случае аварийной ситуации и минимизировать риск потери данных.
  • Мониторинг и аудит. Оператор осуществляет мониторинг событий информационной безопасности: ведутся журналы (логи) доступа к персональным данным и ключевым действиям с ними. Эти журналы регулярно просматриваются на предмет подозрительной активности. Кроме того, периодически проводятся внутренние проверки соблюдения требований Политики и законодательства (внутренний аудит). При необходимости Оператор привлекает внешних специалистов для оценки защищенности (тестирование на проникновение, аудит безопасности).
  • Обучение персонала. Сотрудники Оператора, допущенные к обработке персональных данных, проходят соответствующее обучение и инструктаж по правилам обращения с персональными данными и мерам безопасности. Оператор обеспечивает ознакомление работников с положениями законодательства РФ о персональных данных, локальными актами по защите ПД и устанавливает дисциплинарную ответственность за нарушения в этой сфере.
  • Реагирование на инциденты. В случае выявления факта несанкционированного доступа или утечки персональных данных Оператор незамедлительно проводит расследование, уведомляет при необходимости уполномоченные органы (в том числе Роскомнадзор, если инцидент подпадает под критерии, установленные Постановлением Правительства РФ), и принимает меры по устранению последствий нарушения. Пользователи, чьи данные могли пострадать в результате инцидента, будут уведомлены, если того требует закон или если это необходимо с точки зрения Оператора для защиты их прав.

Персональные данные в информационных системах Оператора защищены в соответствии с установленными для соответствующего уровня защищенности требованиями (приказ ФСТЭК России №21, приказ ФСБ России №378 и др.). Оператор постоянно совершенствует систему защиты данных по мере развития технологий и появления новых методов обеспечения безопасности.

8. Сроки хранения персональных данных

Оператор обрабатывает и хранит персональные данные Пользователей не дольше, чем этого требуют цели обработки, указанные в настоящей Политике, и обязательные требования законодательства. Сроки хранения ПД установлены с учетом следующих принципов:

  • Продолжительность оказания услуг. Основные персональные данные (имя, контакты, данные о бронированиях) хранятся в течение всего срока предоставления услуги Пользователю (до завершения бронирования, поездки или оказания иной услуги) и в разумный период после ее завершения для обеспечения возможности урегулирования претензий, возвратов, обеспечения гарантий и т.п. Обычно данные о конкретном бронировании хранятся до момента выезда из отеля и дополнительно 5 лет после оказания услуги (в соответствии с сроками исковой давности и требованиями финансовой отчетности).
  • Законодательные требования о хранении. Некоторые сведения Оператор обязан хранить в течение определенного срока в силу закона. Например, бухгалтерские документы, содержащие персональные данные (счета, акты, сведения о платежах), должны храниться не менее 5 лет после окончания отчетного года, а договоры с Пользователями – 3 года (столько составляет общий срок исковой давности по гражданским требованиям согласно ст. 196 ГК РФ). В таких случаях ПД будут храниться в течение срока, предписанного соответствующим законодательством.
  • Хранение до отзыва согласия/исполнения целей. Персональные данные, обрабатываемые на основании согласия Пользователя (например, данные для рассылки новостей, если такая рассылка проводится), хранятся до момента отзыва согласия, если более короткий срок не установлен при сборе данных. Персональные данные, больше не необходимые для целей обработки, подлежат удалению или обезличиванию. По достижении целей обработки (например, после предоставления услуги и истечения сроков хранения, обусловленных законом) все связанные с Пользователем персональные данные либо уничтожаются в сроки, установленные внутренними регламентами, либо обезличиваются, то есть лишаются характеристик, позволяющих идентифицировать пользователя.
  • Удаление по запросу. По мотивированному запросу Пользователя о прекращении обработки и (или) уничтожении персональных данных (например, если Пользователь отозвал согласие или считает обработку нелегитимной) Оператор рассматривает обращение и, при наличии оснований, прекращает обработку и удаляет соответствующие данные (если их сохранение не требуется по закону). Факт уничтожения персональных данных документируется актом об уничтожении. Часть информации может сохраняться в резервных копиях до их циклического удаления, однако она не будет использоваться в операционной деятельности после принятия решения об удалении.

По истечении вышеуказанных сроков хранения, Оператор либо уничтожает персональные данные, либо обезличивает их, исключая возможность идентификации Пользователя. Анонимные обобщенные данные (не позволяющие установить личность Пользователя) могут храниться без ограничения срока, поскольку они не относятся к персональным данным.

9. Контактные данные оператора персональных данных

Оператором персональных данных Пользователей Платформы является ООО «Моя Бронь». Пользователь может направить любые запросы, вопросы или комментарии, связанные с его персональными данными и настоящей Политикой, по следующим контактным данным:

  • Адрес местонахождения Оператора: 129626, Российская Федерация, г. Москва, пр-кт Мира, д. 102 к1, помещ. 3/7.
  • Адрес электронной почты: support@moyabron.ru (для обращений субъектов персональных данных).
  • Служба поддержки в Telegram: @moyabronsupport_bot (в рабочие дни с 9:00 до 18:00, время московское).

Оператор рекомендует обращаться по электронной почте или в Telegram для оперативного рассмотрения вопросов, связанных с обработкой персональных данных. В обращении следует кратко изложить суть запроса и, при возможности, указать свои ФИО и контактный телефон для обратной связи. Получив обращение, Оператор зарегистрирует его и предоставит ответ в срок, установленный законодательством (см. раздел 6).

Если Пользователю необходим официальный письменный ответ (для предъявления в другие организации и т.п.), он вправе направить запрос заказным письмом на почтовый адрес Оператора, указанный выше, либо представить его лично по месту нахождения Оператора в приемные часы. В таком запросе необходимо указать ФИО, реквизиты документа, удостоверяющего личность, суть требования и подпись заявителя.

10. Заключительные положения

  1. Действие Политики. Настоящая Политика вступает в силу с момента ее утверждения Оператором и действует бессрочно до замены новой версией. Актуальная редакция Политики доступна Пользователям в открытом доступе – Оператор размещает текст Политики на официальном сайте (если таковой имеется) либо предоставляет по запросу через службу поддержки. Рекомендуется периодически знакомиться с действующей редакцией Политики.
  2. Изменения и дополнения. Оператор оставляет за собой право вносить изменения в настоящую Политику конфиденциальности. Изменения могут быть обусловлены изменениями в законодательстве, развитием функционала Платформы, изменением условий обработки ПД или введением новых услуг. В случае внесения существенных изменений (например, изменения перечня собираемых данных, целей или передачи третьим лицам) Оператор уведомит Пользователей посредством объявления на Платформе (либо иными доступными способами, например, через email-рассылку). Новая редакция Политики вступает в силу с момента ее опубликования (если иное не предусмотрено самой новой редакцией). Дальнейшее использование Пользователем Платформы после вступления изменений в силу означает согласие Пользователя с обновленной Политикой.
  3. Иные документы. В отношениях между Пользователем и Оператором могут действовать также другие документы, регулирующие обработку персональных данных и вопросы конфиденциальности (например, Пользовательское соглашение, Согласие на обработку ПД и т.д.). В случае противоречия между положениями настоящей Политики и иных документов, непосредственно касающихся защиты персональных данных, применяются положения той редакции документа, которая опубликована позднее.
  4. Дополнительные соглашения. Если между Оператором и Пользователем заключены индивидуальные соглашения, затрагивающие вопросы обработки и защиты персональных данных (например, отдельное письменное согласие или договор), приоритет имеют условия такого соглашения в части, не противоречащей обязательным требованиям закона.
  5. Контроль исполнения. Ответственность за организацию хранения и обеспечения безопасности персональных данных несет назначенный Оператором ответственный за обработку ПД. Контроль за соблюдением требований настоящей Политики осуществляет руководство Оператора. Лица, виновные в нарушении норм, регламентирующих обработку и защиту персональных данных, несут ответственность в порядке, установленном законодательством Российской Федерации.

Настоящая Политика конфиденциальности составлена на русском языке. ООО «Моя Бронь» обязуется соблюдать изложенные в ней принципы обработки персональных данных. Пользуясь услугами Платформы, Пользователь подтверждает, что ознакомлен с условиями настоящей Политики, понимает их и выражает свое согласие на обработку персональных данных в соответствии с указанными условиями.

Пользовательское соглашениеПолитика конфиденциальности
Клиентам
Новости и подборкиСлужба поддержки
Партнерам
Подключить отель