Политика обработки персональных данных в СОДО «Визит-Тур»

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) СОДО «Визит-Тур» (далее по тексту – Оператор) разработана во исполнение требований статьи 17 Закона от 07.05.2021 № 99-З «О защите персональных данных» (далее - Закон о защите персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных. 

1.2. Политика действует в отношении персональных данных, которые обрабатываются Оператором и распространяет свое действие на потребителей услуг – Пользователей, Пассажиров (далее по тексту – Субъекты персональных данных). Оператор оказывает услуги по продаже билетов (электронных билетов) на автомобильные перевозки пассажиров в регулярном международном сообщении посредством автоматизированной системы продажи билетов (далее - АСПБ) на интернет-портале https://www.vt.by. Требования настоящей Политики обязательны для исполнения всеми работниками СОДО «Визит-Тур», получившими в установленном порядке доступ к персональным данным. 

1.3. Политика составлена в соответствии с законодательством Республики Беларусь и определяет принципы, цели, условия и способы обработки персональных данных, перечень субъектов персональных данных и обрабатываемых персональных данных, функции Оператора при обработке персональных данных, права субъектов персональных данных, а также реализуемые Оператором требования к защите персональных данных. 

1.4. Положения настоящей Политики служат основой для разработки локальных правовых актов (далее ЛПА), регламентирующих в Компании вопросы обработки, защиты, обеспечения конфиденциальности персональных данных. 

1.5. Политика определяется в соответствии со следующими нормативными правовыми актами: Конституция Республики Беларусь; Закон Республики Беларусь от 07.05.2021г. № 99-3 «О защите персональных данных»; Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»; публичный Договор, который перевозчик заключает с Пользователем; иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных органов государственной власти. 

1.6. Использование АСПБ означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации. 

1.7. Оператор не проверяет достоверность персональных данных, предоставляемых Пользователем при пользовании АСПБ. 

1.8. В случае несогласия с условиями Политики конфиденциальности Пользователь обязан прекратить использование АСПБ. 

 

2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Оператор – совместное общество с дополнительной ответственностью «Визит-Тур», организующее и (или) осуществляющее обработку персональных данных Пользователей АСПБ, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными пользователей АСПБ. 

2.2. АСПБ – автоматизированная система продажи билетов (программное обеспечение) размещенная на https://www.vt.by и/или в виде приложения для мобильных устройствах. 

2.3. Билет (электронный билет) – проездной документ, удостоверяющий право пользования Пассажиром автобусом и подтверждающий заключение договора перевозки между перевозчиком и пассажиром. 

2.4. Пользователь – физическое лицо, использующее АСПБ или обращающееся в офис Оператора для поиска и покупки билетов на пассажирские автобусные перевозки в регулярном международном сообщении для себя или третьих лиц Пассажиров), в интересах которых оно действует. 

2.5. Пассажир – физическое лицо, в пользу которого заключен договор автомобильной перевозки пассажира и багажа в регулярном международном сообщении (далее- договор перевозки). 

2.6. Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу (Пользователю) или физическому лицу (Пользователю), которое может быть идентифицировано. 

2.7. Перевозчик – юридическое лицо или индивидуальный предприниматель, имеющие в соответствии с законодательством право на выполнение автомобильных перевозок и являющиеся исполнителями услуг, принявший на себя по договору перевозки (билету) обязанность перевезти пассажира и доставить багаж в пункт назначения автомобильным транспортом. 

2.8. Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных; 

2.9. Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. 

2.10. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 

2.11. Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц. 

2.12. Защита персональных данных - комплекс мер (организационных, распорядительных, технических, юридических), направленных на защиту от предоставления неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. 

2.13. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу. 

2.14. Общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов. 

2.15. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники (автоматизации). 

2.16. Удаление персональных данных – изъятие персональных данных из сервиса, в результате чего становится невозможным использовать и хранить персональные данные. 

2.17. Агент– юридические лица, с которыми заключены договора по реализации билетов Перевозчиков. 

2.18. Конфиденциальность персональных данных - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания 

2.19. Соокies — небольшой фрагмент данных, отправленный вебсервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в НТТР-запросе при попытке открыть страницу соответствующего Сервиса. 

 

3. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ 

ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 4 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 

3.2. Пользователи самостоятельно передают персональные данные Оператору посредством заполнения формы покупки билета в АСПБ Оператора, либо в офисе Оператора, которые передают работнику для покупки билета и для дальнейшей обработки. 

3.3. Оператор собирает и обрабатывает следующие персональные данные Пользователей, Пассажиров: номер документа, удостоверяющего личность (паспорт); фамилия, собственное имя, отчество (если таковое имеется); пол; число, месяц, год рождения; номер контактного мобильного телефона; адрес электронной почты; гражданство; история запросов, просмотров, заказов и совершенных покупок с использованием Сервиса Оператора. 

3.4. При оплате билета с помощью банковской карты, данные карты плательщика (Пользователя) не вводятся на сайте и не сохраняются Оператором, поскольку платеж формируется и авторизуется на странице платёжной системы. Данные платежной карты (последние четыре цифры), с которой был произведён платеж за билет, предоставляемые Пользователем, Пассажиром в заявлении на возврат денежных средств хранятся у Оператора на бумажном носителе. Срок хранения такого заявления - 3 года. 

3.5. В АСПБ происходит сбор и обработка обезличенных данных о Пользователях (в том числе файлов cookie) с помощью сервисов интернетстатистики (Яндекс Метрика, Google Аналитика и др.) таких, как:  тип компьютера или мобильного устройства; тип платформы (например, Apple iOS или Android); версия операционной системы пользователя; тип и язык браузера; ссылки и страницы выхода, а также URL-адреса; дата и время нахождения на сайте; количество кликов на функции приложения или веб-страницы; количество времени, потраченного на функцию приложения или веб-страницу; количество просмотренных страниц и порядка этих страниц. 

3.6. Оператор в случае необходимости для достижения заявленных целей вправе передавать персональные данные Пользователей третьим лицам с обязательным соблюдением требований законодательства Республики Беларусь. 

 

4. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ 

ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Персональные данные обрабатываются Оператором в целях: обеспечения соблюдения законодательства Республики Беларусь; исполнения обязательств при оказании услуг продажи билетов на автомобильные перевозки пассажиров в регулярном международном сообщении; идентификации Пользователя, зарегистрированного в АСПБ для переноса билетов на другую дату, для возврата билета или для внесения иных изменений в билетах, если таковы предусмотрены публичным Договором; для последующего удаления персональных данных; установления с Пользователем обратной связи, включая направление уведомлений, запросов, обработку запросов и заявок от Пользователя; подтверждения достоверности и полноты персональных данных, предоставленных Пользователем; уведомления Пользователя об изменении условий перевозки; предоставления Пользователю клиентской и технической поддержки при необходимости; трансграничной передачи персональных данных субъектов персональных данных для возможности осуществления Перевозки в международном сообщении; осуществление информационной рассылки об услугах Оператора. Стороны подтверждают, что данная информация не является спамом и на ее получение Пользователь дает свое согласие при приобретении билета; определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества; проведения Оператором акций, опросов, интервью, тестирований с целью контроля и улучшения качества работы. Стороны подтверждают, что данная информация не является спамом и на ее получение Пользователь дает свое согласие при приобретении билета; осуществление иных полномочий и обязанностей, возложенных на Оператора законодательством Республики Беларусь. 

 

4.2. Обработка персональных данных Оператором осуществляется с учетом необходимости обеспечения защиты прав и свобод Пользователей, Пассажиров и иных субъектов персональных данных на основе следующих принципов: обработка персональных данных осуществляется на законной и справедливой основе; обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц; обработка персональных данных осуществляется с согласия субъекта персональных данных, которое подтверждается согласием с условиями публичного Договора, за исключением случаев, предусмотренных законодательными актами; содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки; обработка персональных данных носит прозрачный характер. Субъекту персональных данных в порядке и на условиях, установленных Законом о защите персональных данных, предоставляется соответствующая информация, касающаяся обработки его персональных данных; обеспечивается принятие необходимых и достаточных мер по защите персональных данных от неправомерного (несанкционированного или случайного) доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления, а также от иных неправомерных действий; обеспечивается хранение персональных данных в форме, позволяющей идентифицировать субъект персональных данных, не дольше, чем этого требуют заявленные цели их обработки; персональные данные могут быть уточнены Оператором в случае, если Оператор заметит неточность или опечатку в полученных данных, а в некоторых случаях и актуализированы по отношению к целям обработки персональных данных; условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока обработки персональных данных, отзыв согласия субъекта персональных данных на обработку его персональных данных, также выявление факта неправомерной обработки персональных данных.

5 СПОСОБЫ И СРОКИ ОБРАБОТКИ 

ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Персональные данные Оператором обрабатываются с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в сфере защиты персональных данных. 

5.2. Подтверждая свое согласие с условиями публичного Договора Пользователь, Пассажир автоматически дает свое полное согласие на обработку его персональных данных. 

5.3. Обработка осуществляется любым законным способом: неавтоматизированная обработка персональных данных; автоматизированная обработка персональных данных; передачей полученной информации по информационнокоммуникационным сетям или без такой передачи; смешанная обработка персональных данных. 

5.4. Компания без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством. 

5.5. Пользователь соглашается с тем, что Оператор вправе передавать персональные данные Перевозчику, либо его представителю, а также Автовокзалу, Автостанции в целях выполнения своих обязательств, в необходимом для достижения данной цели объеме. 

5.6. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти только по основаниям и в порядке, установленным законодательством.

5.7. Обработка персональных данных Оператором, включает в себя следующие действия с персональными данными: сбор, систематизацию, хранение, изменение, использование. обезличивание, блокирование, распространение, предоставление, удаление, иные действия, в соответствие с законодательством Республики Беларусь. 

5.8. Обработка персональных данных Пользователя осуществляется до истечения срока действия согласия на обработку персональных данных, либо до достижения цели обработки персональных данных, либо до момента отзыва Пользователем Сервиса согласия на обработку его персональных данных. 

5.9. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать Пользователя. 

5.10. Персональные данные, необходимые для оформления билета и заявления субъектов персональных данных хранятся не более трех лет. 

5.11. Доступ к обрабатываемым Оператором персональным данным разрешается только уполномоченным работникам по работе с персональными данными. 

6 ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ 

СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1 Субъект персональных данных имеет право: в любое время без объяснения причин отозвать свое согласие посредством подачи Оператору заявления в форме, посредством которой получено согласие; на получение информации, касающейся обработки своих персональных данных, содержащей наименование и местонахождение Оператора, подтверждение факта обработки персональных данных, их персональные данные и источник их получения, правовые основания и цели обработки персональных данных, срок, на который дано их согласие; требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, с опечаткой, устаревшими или неточными; получать от Оператора информацию о предоставлении своих персональных данных третьим лицам; требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных; обжаловать действия (бездействие) и решения Оператора, нарушающие их права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных; на осуществление иных прав, предусмотренных законодательством Республики Беларусь. 

6.2 Субъект персональных данных обязан: указать достоверные данные при использовании АСПБ, как собственные, так и третьих лиц, т.е. пассажиров, при покупке билета; в случае необходимости предоставлять Оператору документы, содержащие персональные данные в объеме, необходимом для цели их обработки; Субъект персональных данных самостоятельно несет все риски, связанные с не указанием и/или ненадлежащим указанием персональных данных; информировать Оператора об изменениях своих персональных данных. Лицо, предоставившее Оператору неполные, недостоверные сведения о себе, либо сведении о другом субъекте персональных данных без согласия последнего несет ответственность в соответствии законодательством Республики Беларусь. 

7 ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ

ОПЕРАТОРА

7.1 Оператор имеет право: получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные субъекта; запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных; отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и/или их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь, в том числе если они являются необходимыми для заявленных целей их обработки; запросить дополнительные документы, удостоверяющие личность Пользователя АСПБ, например, с целью подтверждения правомочности использования банковской карты и в иных случаях для предотвращения наступления нежелательных последствий для Оператора.

7.2 Оператор обязан: обрабатывать персональные данные в порядке, установленном законодательством Республики Беларусь; обеспечивать защиту персональных данных в процессе их обработки; принимать меры по обеспечению достоверности, обрабатываемых им персональных данных, вносить изменения в персональные данные, являющиеся неполными, устаревшими или неточными; рассматривать заявления субъектов персональных данных по вопросам обработки персональных данных и давать на них мотивированные ответы; предоставлять субъекту персональных данных информацию о персональных данных, об их предоставлении третьим лицам; прекращать обработку персональных данных, а также осуществлять их удаление или блокирование по требованию субъекта персональных данных; выполнять иные обязанности, предусмотренные в соответствие с законодательством Республики Беларусь.

8. МЕХАНИЗМ РЕАЛИЗАЦИИ ПРАВ 

СУБЬЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных посредством подачи Оператору заявления в письменной форме, направленного заказным почтовым отправлением, либо в виде электронного документа. Заявление должно содержать фамилию, имя, отчество субъекта персональных данных, адрес места жительства (места пребывания), дату рождения, идентификационный номер или номер паспорта (если указывался при даче согласия или если обработка персональных данных осуществляется без согласия субъекта персональных данных), данные документа подтверждающего личность субъекта персональных данных, изложение сути требования и  личную подпись. 

8.2. Оператор в течение 15 дней, после получения заявления прекращает обработку персональных данных (если нет оснований для обработки, согласно законодательству), осуществляет их удаление, при отсутствии технической возможности удаления принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта персональных данных в тот же срок. 

8.3. Субъект персональных данных вправе получить у Оператора информацию, касающуюся обработки своих персональных данных, посредством подачи Оператору заявления в порядке, предусмотренном п. 8.1 настоящей Политики. Оператор в течение 5 (пяти) рабочих дней после получения заявления предоставляет субъекту персональных данных соответствующую информацию, либо уведомляет его о причинах отказа в предоставлении такой информации. 

8.4. Субъект персональных данных вправе требовать от Оператора внесения изменений в свои персональные данные в случае, если они являются неполными, устаревшими или неточными, посредством подачи Оператору заявления в порядке, предусмотренном п. 8.1 настоящей Политики, с приложением документов (заверенных в установленном порядке копий), подтверждающих необходимость внесения таких изменений. Оператор в течение 15 (пятнадцати) рабочих дней после получения заявления вносит изменения в персональные данные и уведомляет об этом субъекта персональных данных либо уведомляет о причинах отказа во внесении изменений. 

8.5. Субъект персональных данных вправе получить от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, посредством подачи Оператору заявления в порядке, предусмотренном п. 8.1 настоящей Политики. Оператор в течение 15 (пятнадцати) рабочих дней после получения заявления предоставляет субъекту персональных данных информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления. уведомляет его о причинах отказа в предоставлении такой информации. 

8.6. Субъект персональных данных вправе требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки, посредством подачи Оператору заявления в порядке, предусмотренном п. 8.1 настоящей Политики. Оператор в течение 15 (пятнадцати) рабочих дней после получения заявления прекращает обработку персональных данных (если нет оснований для обработки, согласно законодательству), осуществляет их удаление, при отсутствии технической возможности удаления принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, уведомляет об этом субъекта персональных данных в тот же срок. 

 

9. МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ 

ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ

9.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных субъектов и пользователей сайта и приложения Оператора от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. 

9.2. К правовым мерам, принимаемым Оператором, относятся: 

9.2.1. разработка и применение нормативных документов по обработке и защите персональных данных у Оператора;

9.2.2. включение в договоры, заключаемые Оператором с Агентами (Субагентами), требований соблюдения конфиденциальности и обеспечения безопасности персональных данных субъектов при их обработке; 

9.2.3. публикация на официальном сайте Оператора настоящей Политики, обеспечение доступа к ней, по адресу https://www.vt.by/.

9.3. К организационным мерам, принимаемым Оператором, относятся: 

9.3.1. ознакомление работников Оператора с требованиями законодательства Республики Беларусь и документами Оператора в области работы с персональными данными; 

9.3.2. издание внутренних документов по вопросам обработки персональных данных,  в т.ч. устанавливающих процедуры, направленные на предотвращение и выявление нарушений при работе с персональными данными, устранение последствий таких нарушений; 

9.3.3. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных (использование защищенных и сертифицированных каналов передачи данных, установление порядка доступа к персональным данным); 

9.3.4. осуществление внутреннего контроля за соблюдением работниками Оператора, осуществляющими работу с персональными данными субъектов, требований законодательства Республики Беларусь и документами Оператора, а также контроль за принимаемыми мерами по обеспечению безопасности персональных данных; 

9.3.5. регулярный мониторинг безопасности персональных данных, совершенствование системы их защиты; 

9.3.6. организация обучения и проведение методической работы с работниками структурных подразделений Оператора, которые осуществляют обработку персональных данных; 

9.3.7. получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь, когда такое согласие не требуется; 

9.3.8 назначение лица/лиц, ответственных за организацию обработки персональных данных у Оператора; 

9.3.9 прекращение обработки и уничтожение или блокировка персональных данных в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;

9.3.10. совершение иных действий, предусмотренных законодательством Республики Беларусь в области персональных данных.

 

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1. Оператор вправе вносить изменения в настоящую Политику обработки персональных данных без согласия Пользователя. 

10.2 Во исполнение требований п.4 ст.17 Закона о защите персональных данных настоящая Политика является общедоступной. Неограниченный доступ к Политике обеспечивается путем ее опубликования на официальном сайте https://www.vt.by/.

10.3. Лица, чьи персональные данные обрабатываются Оператором, могут получить разъяснения по вопросам обработки своих персональных данных, направив соответствующий письменный запрос по почтовому адресу: 213826, г.Бобруйск, ул. Пушкина, д.151 или на адрес электронной почты: feedback@vt.by. Запрос должен содержать данные, указанные в п.8.1. 

10.4 Настоящая Политика вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.