Политика конфиденциальности

Политика конфиденциальности и обработки персональных данных
Редакция № 2 от 17 марта 2026 года

Настоящая Политика конфиденциальности и обработки персональных данных (далее — «Политика») определяет порядок сбора, записи, систематизации, накопления, хранения, уточнения, использования, передачи, обезличивания, блокирования, удаления и уничтожения персональных данных, обрабатываемых в рамках использования продуктов, сервисов, сайтов, программного обеспечения, интерфейсов и иных цифровых решений, объединенных под брендами Tourvision и/или Солнцетур.
Настоящая Политика применяется к обработке персональных данных при использовании, в том числе, следующих ресурсов и сервисов:

https://tourvision.pro;
https://control.tourvision.pro;
https://chats.tourvision.pro;
https://academy.tourvision.pro;
https://support.tour.vision/;
иных сайтов, поддоменов, мобильных приложений, интерфейсов, форм обратной связи, систем поддержки, коммуникационных каналов, сервисов и решений, используемых в связи с предоставлением продуктов и услуг Tourvision и/или Солнцетур.

В зависимости от страны обслуживания, регионального сегмента, применимого законодательства, места хранения данных, оператора соответствующего сервиса, а также иных критериев, предусмотренных настоящей Политикой, обработка персональных данных осуществляется одним из следующих операторов:
1. Для Республики Казахстан и всех стран, кроме Российской Федерации и Республики Узбекистан:
Товарищество с ограниченной ответственностью «V-holding»
БИН: 220440002233
Юридический адрес: Республика Казахстан, 050042, г. Алматы, Ауэзовский район, ул. Рыскулбекова, д. 39А, офис 200
Email: support@solncetur.com
Форма обратной связи: https://solncetur.kz/support
Обработка персональных данных осуществляется в соответствии с законодательством Республики Казахстан, включая Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите», а также иные применимые нормативные правовые акты Республики Казахстан.
2. Для Российской Федерации:
Общество с ограниченной ответственностью «Р-Холдинг»
ИНН: 3702578479
ОГРН: 1093702003306
Юридический адрес: 153000, Российская Федерация, Ивановская область, г. Иваново, ул. Багаева, д. 39, кв. 5
Почтовый адрес: 153000, Российская Федерация, Ивановская область, г. Иваново, ул. Варенцовой, д. 9/18, оф. 412
Email: support@solncetur.ru
Форма обратной связи: https://solncetur.ru/support
Обработка персональных данных осуществляется в соответствии с Федеральным законом Российской Федерации № 152-ФЗ «О персональных данных», а также иными применимыми нормативными правовыми актами Российской Федерации.
3. Для Республики Узбекистан:
Общество с ограниченной ответственностью «TVISION»
ИНН: 311474686
Юридический и почтовый адрес: 100128, Республика Узбекистан, г. Ташкент, Мирабадский район, махалля Минг Орик, ул. Шахрисабз, д. 23
Email: support@tourvision.uk
Форма обратной связи: https://tour.vision/support
Обработка персональных данных осуществляется в соответствии с Законом Республики Узбекистан № ZRU-547 «О персональных данных», а также иными применимыми нормативно-правовыми актами Республики Узбекистан.
Использование сайтов, сервисов, программного обеспечения, интерфейсов, мобильных приложений, форм обратной связи, helpdesk, коммуникационных каналов и иных решений, на которые распространяется настоящая Политика, означает ознакомление пользователя с условиями настоящей Политики и согласие с ними в части, применимой к соответствующему способу взаимодействия, если иное не предусмотрено применимым законодательством.
Если пользователь не согласен с условиями настоящей Политики, он обязан прекратить использование соответствующих сайтов, сервисов, программного обеспечения и иных решений.
1. Общие положения
1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее — «Политика») определяет порядок сбора, записи, систематизации, накопления, хранения, уточнения, использования, передачи, обезличивания, блокирования, удаления и уничтожения персональных данных, обрабатываемых в рамках использования продуктов, сервисов, сайтов, программного обеспечения, интерфейсов и иных цифровых решений, объединенных под брендами Tourvision и/или Солнцетур.
1.2. Настоящая Политика применяется к персональным данным, обрабатываемым при использовании, в том числе, следующих ресурсов и сервисов:

https://tourvision.pro;
https://control.tourvision.pro;
https://chats.tourvision.pro;
https://academy.tourvision.pro;
https://support.tour.vision/;
иных сайтов, поддоменов, мобильных приложений, интерфейсов, форм обратной связи, систем поддержки, коммуникационных каналов, сервисов и решений, используемых в связи с предоставлением продуктов и услуг Tourvision и/или Солнцетур.

1.3. Настоящая Политика распространяется на персональные данные:

посетителей сайтов и сервисов;
клиентов и потенциальных клиентов;
физических лиц, индивидуальных предпринимателей и представителей юридических лиц;
пользователей программного обеспечения, платформ и иных сервисов;
сотрудников клиентов, пользователей аккаунтов и иных лиц, получающих доступ к сервисам;
туристов, заказчиков, плательщиков, представителей, сопровождающих лиц, детей и иных лиц, чьи данные передаются в сервисы в связи с использованием продуктов и услуг;
лиц, направляющих обращения, сообщения, заявки, документы, файлы и иные сведения через доступные каналы связи;
иных субъектов персональных данных, данные которых обрабатываются на законных основаниях в связи с использованием сервисов, исполнением договоров, бронированием, поддержкой, обучением, коммуникацией и иными процессами деятельности операторов.

1.4. Настоящая Политика применяется как к персональным данным, предоставляемым субъектами персональных данных непосредственно, так и к персональным данным, передаваемым клиентами, представителями клиентов, пользователями сервисов, работодателями, законными представителями, родственниками, сопровождающими лицами и иными уполномоченными лицами в связи с использованием сервисов, исполнением договоров, обработкой заявок, бронированием, обучением, технической поддержкой, коммуникацией и иными процессами.
1.5. Обработка персональных данных осуществляется с учетом страны обслуживания, регионального сегмента, применимого законодательства, места хранения данных, соответствующего оператора персональных данных, а также иных критериев, предусмотренных настоящей Политикой.
1.6. В зависимости от применимого регионального сегмента оператором персональных данных является одна из компаний, указанных в преамбуле настоящей Политики.
1.7. Настоящая Политика разработана и применяется в соответствии с законодательством Республики Казахстан, Российской Федерации, Республики Узбекистан, а также иными применимыми нормами права в зависимости от соответствующего оператора, регионального сегмента обслуживания и характера обработки персональных данных.
1.8. Использование сайтов, сервисов, программного обеспечения, интерфейсов, мобильных приложений, helpdesk, форм обратной связи, коммуникационных каналов и иных решений, на которые распространяется настоящая Политика, означает ознакомление пользователя с условиями настоящей Политики и согласие с ними в части, применимой к соответствующему способу взаимодействия, если иное не предусмотрено применимым законодательством.
1.9. Если пользователь не согласен с условиями настоящей Политики, он обязан прекратить использование соответствующих сайтов, сервисов, программного обеспечения и иных решений.
1.10. Настоящая Политика действует в отношении всей информации, содержащей персональные данные, которую соответствующий оператор может получить о субъекте персональных данных при использовании сайтов, сервисов, программного обеспечения, мобильных приложений, интерфейсов, helpdesk, коммуникационных каналов, форм обратной связи и иных решений, на которые распространяется настоящая Политика.
1.11. Соответствующий оператор исходит из того, что лицо, передающее персональные данные через сайты, сервисы, программное обеспечение, интерфейсы, телефонную связь, электронную почту, формы обратной связи, helpdesk, мессенджеры или иные каналы взаимодействия, действует добросовестно, предоставляет достоверные данные и обладает необходимыми правами, согласиями и полномочиями на передачу таких данных, если передаются персональные данные третьих лиц.
2. Сфера действия Политики
2.1. Настоящая Политика применяется к отношениям, связанным с обработкой персональных данных при использовании сайтов, сервисов, программного обеспечения, интерфейсов, мобильных приложений, helpdesk, коммуникационных каналов, форм обратной связи и иных решений, указанных в настоящей Политике.
2.2. Настоящая Политика распространяется на обработку персональных данных, осуществляемую при:

посещении сайтов и страниц, на которые распространяется настоящая Политика;
регистрации, авторизации и использовании аккаунтов в сервисах;
направлении заявок, обращений, сообщений, документов, файлов и иных материалов;
заключении, исполнении, изменении и прекращении договоров, оферт и иных соглашений;
подключении к сервисам, предоставлении доступа к функционалу, модулям, интеграциям и иным цифровым решениям;
использовании сервисов для ведения заявок, бронирований, клиентской базы, коммуникаций, отчетности, обучения, сопровождения и иных процессов;
обработке обращений через helpdesk, электронную почту, телефонную связь, формы обратной связи, мессенджеры и иные каналы;
использовании мобильных приложений, если они применяются в рамках соответствующего сервиса;
осуществлении расчетов, выставлении счетов, документообороте и сопровождении клиентских отношений;
обеспечении безопасности, контроля доступа, журналирования, аналитики, предотвращения мошенничества и защиты прав и законных интересов соответствующего оператора.

2.3. Настоящая Политика применяется как к персональным данным, получаемым непосредственно от субъекта персональных данных, так и к персональным данным, получаемым от:

клиентов;
представителей клиентов;
работников клиентов;
пользователей аккаунтов;
законных представителей;
родственников, сопровождающих лиц и иных уполномоченных лиц;
партнеров, подрядчиков и интеграционных сервисов;
иных третьих лиц, передающих данные на законных основаниях.

2.4. Настоящая Политика распространяется на персональные данные, обрабатываемые в рамках использования, в том числе, следующих сервисов и функциональных контуров:

сайта и иных публичных веб-ресурсов;
ERP-системы;
мессенджера;
академии и образовательных сервисов;
систем технической поддержки и helpdesk;
сервисов коммуникации, заявок, бронирований, документооборота, аналитики, обучения, интеграций, биллинга и иных цифровых решений.

2.5. Настоящая Политика распространяется на обработку персональных данных независимо от способа их предоставления, включая:

заполнение форм на сайте;
использование интерфейсов сервисов;
загрузку файлов и документов;
направление сообщений и обращений;
передачу данных по телефону;
передачу данных по электронной почте;
передачу данных через мессенджеры;
передачу данных через helpdesk;
передачу данных через интеграции и API;
передачу данных иными способами, допускаемыми соответствующим сервисом.

2.6. Настоящая Политика применяется к обработке персональных данных как в автоматизированной, так и в неавтоматизированной форме, а также при смешанной обработке персональных данных.
2.7. Настоящая Политика не применяется к сайтам, сервисам, платформам, приложениям и иным ресурсам третьих лиц, на которые пользователь может перейти по ссылкам, размещенным на сайтах или в сервисах, если иное прямо не указано соответствующим оператором. Обработка персональных данных на таких ресурсах осуществляется в соответствии с документами и правилами соответствующих третьих лиц.
2.8. Если отдельные вопросы обработки персональных данных регулируются специальными документами, соглашениями, интерфейсными уведомлениями, условиями использования отдельных сервисов, договорами, офертами, соглашениями о поручении обработки персональных данных, локальными уведомлениями либо иными документами соответствующего оператора, такие документы применяются в части, не противоречащей настоящей Политике и применимому законодательству.
2.9. В случае если для отдельного регионального сегмента, отдельного сервиса, отдельной страны, отдельного способа обработки либо отдельной категории субъектов персональных данных действуют специальные правила, предусмотренные законодательством соответствующей страны или специальными документами соответствующего оператора, такие правила подлежат применению в приоритетном порядке в соответствующей части.
2.10. Настоящая Политика не регулирует внутренние трудовые отношения соответствующего оператора со своими работниками, если иное прямо не указано в настоящей Политике или в специальных документах, регулирующих соответствующую обработку персональных данных.
2.11. Настоящая Политика применяется в течение всего периода обработки персональных данных соответствующим оператором, а также в течение сроков хранения данных, архивирования, обезличивания, блокирования или удаления, установленных настоящей Политикой, договорами, внутренними правилами соответствующего оператора и применимым законодательством.
3. Правило определения применимого оператора и регионального сегмента обработки
3.1. В целях настоящей Политики под применимым оператором персональных данных понимается соответствующее юридическое лицо, указанное в преамбуле настоящей Политики, которое осуществляет обработку персональных данных в зависимости от страны обслуживания, регионального сегмента, используемого сервиса, договорной модели, места хранения данных и иных критериев, установленных настоящей Политикой.
3.2. Под региональным сегментом обработки понимается совокупность условий, определяющих, в рамках какого регионального контура осуществляется обработка персональных данных, включая соответствующего оператора, применимое законодательство, место хранения данных, инфраструктуру сервиса, договорный контур и порядок взаимодействия с субъектами персональных данных.
3.3. Применимый оператор и региональный сегмент обработки определяются, в том числе, с учетом одного или нескольких следующих критериев:

страны регистрации клиента;
страны заключения договора, оферты или иного соглашения;
страны обслуживания аккаунта, пользователя или клиента;
используемого регионального сайта, домена, сервиса или интерфейса;
места хранения данных;
выбранной модели подключения, тарифа, конфигурации или регионального контура обслуживания;
указания соответствующего оператора в договоре, интерфейсе сервиса, счете, уведомлении, правилах использования или иных документах;
иных объективных критериев, применяемых соответствующим оператором в рамках организации предоставления сервисов.

3.4. Если для конкретного клиента, аккаунта, пользователя, заявки, бронирования, сервиса или иного процесса прямо определен соответствующий региональный сегмент, обработка персональных данных осуществляется в рамках такого сегмента с применением соответствующего оператора и применимого законодательства.
3.5. Если иное прямо не установлено, обработка персональных данных осуществляется:

для Республики Казахстан и всех стран, кроме Российской Федерации и Республики Узбекистан, — Товариществом с ограниченной ответственностью «V-holding»;
для Российской Федерации — Обществом с ограниченной ответственностью «Р-Холдинг»;
для Республики Узбекистан — Обществом с ограниченной ответственностью «TVISION».

3.6. Один клиентский аккаунт, договорный контур, сервисный контур или иная единица обслуживания, определяемая соответствующим оператором, как правило, обслуживается в рамках одного основного регионального сегмента, если иное прямо не предусмотрено архитектурой сервиса, договором, настройками системы, интеграционной моделью или внутренними правилами соответствующего оператора.
3.7. Наличие у субъекта персональных данных гражданства, места жительства, пребывания, номера телефона, документа, бронирования, поездки или иного признака, связанного с определенной страной, само по себе не означает автоматического изменения применимого оператора, если соответствующий региональный сегмент уже определен по иным критериям, указанным в настоящей Политике.
3.8. Если персональные данные передаются или обрабатываются в рамках многостранового, многоофисного, многоаккаунтного или иного смешанного контура, соответствующий оператор вправе определить применимый региональный сегмент исходя из основной страны обслуживания, договорного контура, технической архитектуры, места хранения данных и иных применимых критериев.
3.9. В случае если данные одного клиента, аккаунта, пользователя или сервиса затрагивают несколько юрисдикций, соответствующий оператор вправе применять дополнительное регулирование, отдельные уведомления, отдельные правила хранения, отдельные процедуры доступа, отдельные соглашения либо иные меры, необходимые для соблюдения требований применимого законодательства соответствующих стран.
3.10. Если обработка персональных данных осуществляется в рамках сервисов, предоставляемых под единым брендом Tourvision и/или Солнцетур, это не означает, что все персональные данные всегда обрабатываются одним и тем же оператором. Конкретный оператор определяется в соответствии с настоящей Политикой, региональным сегментом и фактической моделью предоставления соответствующего сервиса.
3.11. Соответствующий оператор вправе изменять критерии отнесения клиента, аккаунта, сервиса, договора, заявки, бронирования или иного процесса к определенному региональному сегменту, если такое изменение необходимо для соблюдения законодательства, обеспечения локализации данных, оптимизации инфраструктуры, перераспределения сервисных контуров, миграции данных, интеграции сервисов, изменения договорной модели или защиты прав и законных интересов соответствующего оператора и субъектов персональных данных.
3.12. В случае изменения применимого регионального сегмента соответствующий оператор вправе:

изменить применимого оператора;
изменить место хранения данных;
изменить сервисный или инфраструктурный контур;
изменить применимые контакты и процедуры взаимодействия;
направить пользователю, клиенту или иному субъекту персональных данных соответствующее уведомление, если такое уведомление требуется по закону или признается необходимым соответствующим оператором.

3.13. Если субъект персональных данных направляет запрос, обращение, требование или иное сообщение не тому оператору, который является применимым в отношении соответствующего регионального сегмента, получивший такое обращение оператор вправе:

самостоятельно перенаправить обращение применимому оператору;
запросить уточняющие сведения;
сообщить заявителю о необходимости обращения к иному оператору;
обработать обращение совместно с применимым оператором, если это допустимо законодательством и внутренними процедурами группы компаний.

3.14. Если конкретный оператор не может быть однозначно определен на основании имеющихся данных, соответствующий оператор группы вправе временно обработать персональные данные в объеме, необходимом для определения применимого регионального сегмента, идентификации заявителя, защиты прав субъектов персональных данных, обеспечения безопасности и соблюдения требований законодательства.
3.15. Все вопросы, связанные с определением применимого оператора, регионального сегмента обработки, маршрутизацией данных, локализацией хранения, передачей данных между сегментами и межрегиональным доступом, регулируются настоящей Политикой, внутренними правилами соответствующего оператора, условиями использования сервисов, договорами и применимым законодательством.
4. Региональные операторы персональных данных
4.1. В зависимости от применимого регионального сегмента оператором персональных данных является соответствующее юридическое лицо, указанное в настоящем разделе.
4.2. Для Республики Казахстан и всех стран, кроме Российской Федерации и Республики Узбекистан, оператором персональных данных является:
Товарищество с ограниченной ответственностью «V-holding»
БИН: 220440002233
Юридический адрес: Республика Казахстан, 050042, г. Алматы, Ауэзовский район, ул. Рыскулбекова, д. 39А, офис 200
Email: support@solncetur.com
Форма обратной связи: https://solncetur.kz/support
4.3. Товарищество с ограниченной ответственностью «V-holding» осуществляет обработку персональных данных в соответствии с законодательством Республики Казахстан, включая Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите», а также иные применимые нормативные правовые акты Республики Казахстан.
4.4. Для Российской Федерации оператором персональных данных является:
Общество с ограниченной ответственностью «Р-Холдинг»
ИНН: 3702578479
ОГРН: 1093702003306
Юридический адрес: 153000, Российская Федерация, Ивановская область, г. Иваново, ул. Багаева, д. 39, кв. 5
Почтовый адрес: 153000, Российская Федерация, Ивановская область, г. Иваново, ул. Варенцовой, д. 9/18, оф. 412
Email: support@solncetur.ru
Форма обратной связи: https://solncetur.ru/support
4.5. Общество с ограниченной ответственностью «Р-Холдинг» осуществляет обработку персональных данных в соответствии с Федеральным законом Российской Федерации № 152-ФЗ «О персональных данных», а также иными применимыми нормативными правовыми актами Российской Федерации.
4.6. Для Республики Узбекистан оператором персональных данных является:
Общество с ограниченной ответственностью «TVISION»
ИНН: 311474686
Юридический и почтовый адрес: 100128, Республика Узбекистан, г. Ташкент, Мирабадский район, махалля Минг Орик, ул. Шахрисабз, д. 23
Email: support@tourvision.uk
Форма обратной связи: https://tour.vision/support
4.7. Общество с ограниченной ответственностью «TVISION» осуществляет обработку персональных данных в соответствии с Законом Республики Узбекистан № ZRU-547 «О персональных данных», а также иными применимыми нормативно-правовыми актами Республики Узбекистан.
4.8. Конкретный оператор определяется в соответствии с правилами, установленными настоящей Политикой, с учетом:

регионального сегмента обработки;
страны обслуживания;
страны заключения договора или оферты;
страны регистрации клиента;
используемого сервиса, домена или интерфейса;
места хранения данных;
договорной и технической модели предоставления соответствующего сервиса;
иных применимых критериев.

4.9. Каждый из операторов, указанных в настоящем разделе, самостоятельно несет ответственность за обработку персональных данных в пределах соответствующего регионального сегмента, объема своих полномочий, применимого законодательства и фактически осуществляемых операций с персональными данными.
4.10. Если обработка персональных данных осуществляется с участием нескольких операторов группы, соответствующий объем полномочий, порядок взаимодействия, доступ к данным, передача данных, место хранения и иные условия определяются настоящей Политикой, внутренними регламентами группы, договорами, соглашениями между компаниями группы и применимым законодательством.
4.11. Соответствующий оператор вправе использовать иные официальные каналы связи, сайты, сервисы, интерфейсы, адреса электронной почты, helpdesk, формы обратной связи и иные цифровые средства взаимодействия, указанные в договорах, офертах, уведомлениях, интерфейсах сервисов и иных официальных источниках соответствующего оператора.
4.12. Если субъект персональных данных, клиент, пользователь или иное лицо не может самостоятельно определить применимого оператора, такой субъект вправе обратиться по любому из официальных контактных каналов, указанных в настоящей Политике, после чего обращение подлежит рассмотрению, перенаправлению или обработке в порядке, предусмотренном настоящей Политикой и применимым законодательством.

5. Термины и определения
5.1. Для целей настоящей Политики используются следующие термины и определения:
5.1.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
5.1.2. Субъект персональных данных — физическое лицо, к которому относятся персональные данные, обрабатываемые в соответствии с настоящей Политикой.
5.1.3. Оператор персональных данных — соответствующее юридическое лицо, указанное в настоящей Политике, которое самостоятельно или совместно с иными лицами организует и (или) осуществляет обработку персональных данных, определяет цели обработки, состав персональных данных и действия, совершаемые с ними.
5.1.4. Применимый оператор — оператор персональных данных, определяемый в соответствии с настоящей Политикой в зависимости от регионального сегмента обработки, страны обслуживания, используемого сервиса, места хранения данных, договорного контура и иных применимых критериев.
5.1.5. Региональный сегмент обработки — совокупность условий, определяющих, в рамках какого территориального, правового, инфраструктурного и договорного контура осуществляется обработка персональных данных.
5.1.6. Обработка персональных данных — любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение.
5.1.7. Автоматизированная обработка персональных данных — обработка персональных данных с использованием средств вычислительной техники, программного обеспечения, баз данных, цифровых платформ, сервисов и иных автоматизированных средств.
5.1.8. Неавтоматизированная обработка персональных данных — обработка персональных данных без использования средств автоматизации либо с использованием таких средств не как основного способа обработки.
5.1.9. Смешанная обработка персональных данных — обработка персональных данных, осуществляемая как с использованием средств автоматизации, так и без использования таких средств.
5.1.10. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
5.1.11. Передача персональных данных — предоставление, раскрытие, направление, перемещение или иной способ доведения персональных данных до третьего лица, иного оператора, подрядчика, партнера, интеграционного сервиса или иного получателя.
5.1.12. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства, иностранному физическому или юридическому лицу, либо предоставление доступа к персональным данным из-за пределов страны применимого регионального сегмента обработки.
5.1.13. Локализация персональных данных — хранение, систематизация, накопление и иные операции с персональными данными на технических средствах, серверах, базах данных и иной инфраструктуре, расположенных на территории соответствующей страны, в случаях и объеме, предусмотренных применимым законодательством и настоящей Политикой.
5.1.14. Блокирование персональных данных — временное прекращение обработки персональных данных, за исключением случаев, когда обработка необходима для уточнения персональных данных, исполнения закона, защиты прав и законных интересов оператора либо субъекта персональных данных.
5.1.15. Удаление персональных данных — действия, в результате которых персональные данные исключаются из активного использования и становятся недоступными для дальнейшей обработки в обычном режиме.
5.1.16. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
5.1.17. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
5.1.18. Пользователь — физическое лицо, использующее сайты, сервисы, программное обеспечение, интерфейсы, мобильные приложения, helpdesk, формы обратной связи, коммуникационные каналы и иные решения, на которые распространяется настоящая Политика.
5.1.19. Клиент — физическое лицо, индивидуальный предприниматель, юридическое лицо, их представители, сотрудники или иные уполномоченные лица, использующие или приобретающие продукты, услуги, сервисы, доступы, программное обеспечение или иные решения, предоставляемые под брендами Tourvision и/или Солнцетур.
5.1.20. Аккаунт — учетная запись пользователя, клиента, сотрудника клиента, представителя либо иного лица в сервисах, интерфейсах, системах, платформах или цифровых решениях, на которые распространяется настоящая Политика.
5.1.21. Сервисы — сайты, поддомены, программное обеспечение, интерфейсы, платформы, helpdesk, мобильные приложения, обучающие, коммуникационные, аналитические, интеграционные и иные цифровые решения, предоставляемые под брендами Tourvision и/или Солнцетур.
5.1.22. ERP-система — цифровая система учета, управления, обработки заявок, бронирований, клиентской информации, внутренних процессов, отчетности, коммуникаций, аналитики и иных процессов клиента, предоставляемая в рамках соответствующих сервисов.
5.1.23. Messenger — коммуникационный сервис, используемый для обмена сообщениями, передачи информации, уведомлений, файлов и иных данных между пользователями, клиентами, сотрудниками, представителями и иными лицами.
5.1.24. Academy — образовательный сервис, предназначенный для обучения, тестирования, аттестации, учета прогресса и иной обработки данных, связанных с использованием обучающих материалов, программ и курсов.
5.1.25. Helpdesk — система приема, фиксации, обработки и сопровождения обращений, заявок, запросов, сообщений, жалоб, технических инцидентов и иных коммуникаций.
5.1.26. Интеграции — программные, информационные, технические и иные соединения сервисов с внешними платформами, API, системами партнеров, операторами связи, платежными сервисами, системами бронирования, аналитики, документооборота и иными решениями третьих лиц.
5.1.27. Cookies — небольшие фрагменты данных, сохраняемые на устройстве пользователя и используемые для обеспечения работы сайта, авторизации, запоминания настроек, аналитики, статистики, безопасности и иных целей, предусмотренных настоящей Политикой.
5.1.28. Третьи лица — любые физические и юридические лица, не являющиеся субъектом персональных данных и соответствующим оператором, которым могут быть переданы персональные данные либо которые могут получать к ним доступ на законных основаниях.
5.1.29. Подрядчики и партнеры — лица, привлекаемые соответствующим оператором для обеспечения работы сервисов, хранения данных, сопровождения инфраструктуры, оказания технической поддержки, документооборота, аналитики, интеграций, маркетинга, платежей, бронирований, связи и иных процессов, связанных с обработкой персональных данных.
5.2. Термины, не раскрытые в настоящем разделе, используются в значении, определяемом применимым законодательством, условиями использования соответствующих сервисов, договорами, офертами и иными документами соответствующего оператора.
5.3. Если одно и то же понятие допускает различное толкование в зависимости от применимого законодательства соответствующего регионального сегмента, применяется толкование, наиболее соответствующее обязательным требованиям такого законодательства.
6. Категории субъектов персональных данных
6.1. Настоящая Политика распространяется на персональные данные следующих категорий субъектов персональных данных:
6.1.1. посетителей сайтов, страниц, интерфейсов и иных цифровых ресурсов, на которые распространяется настоящая Политика;
6.1.2. пользователей сервисов, программного обеспечения, платформ, мобильных приложений, helpdesk, форм обратной связи и иных решений, предоставляемых под брендами Tourvision и/или Солнцетур;
6.1.3. физических лиц, направляющих обращения, заявки, запросы, сообщения, документы, файлы, комментарии и иные сведения через сайты, сервисы, электронную почту, телефонную связь, мессенджеры, helpdesk, формы обратной связи и иные каналы взаимодействия;
6.1.4. потенциальных клиентов, оставивших заявку на подключение, консультацию, демонстрацию, получение коммерческого предложения, обратную связь либо иную информацию о продуктах и услугах;
6.1.5. клиентов — физических лиц;
6.1.6. клиентов — индивидуальных предпринимателей;
6.1.7. клиентов — юридических лиц, а также их представителей, работников, уполномоченных сотрудников, пользователей аккаунтов, администраторов, менеджеров, руководителей, директоров офисов, операторов, фрилансеров и иных лиц, действующих от имени или в интересах соответствующего клиента;
6.1.8. пользователей ERP-системы, Messenger, Academy, helpdesk и иных сервисов, включая лиц, которым предоставлен доступ к аккаунтам, офисам, ролям, модулям, сообщениям, заявкам, бронированиям, обучающим материалам, отчетности, аналитике и иному функционалу;
6.1.9. туристов, заказчиков, плательщиков, путешественников, сопровождающих лиц, представителей, контактных лиц, клиентов клиента, а также иных лиц, чьи персональные данные передаются, загружаются, хранятся, используются или иным образом обрабатываются в сервисах в связи с подбором, оформлением, бронированием, сопровождением поездок, документооборотом, коммуникацией и иными сопутствующими процессами;
6.1.10. детей и иных несовершеннолетних лиц, чьи персональные данные передаются в объеме, необходимом для оформления поездок, бронирований, сопровождения, подтверждения статуса путешествующих лиц и иных законных целей;
6.1.11. лиц, чьи персональные данные содержатся в сообщениях, заявках, карточках клиентов, документах, файлах, вложениях, переписке, комментариях, отчетах, бронированиях, билетах, страховых документах, платежных материалах, образовательных материалах, тестах, результатах обучения и иных данных, обрабатываемых в сервисах;
6.1.12. лиц, взаимодействующих с операторами через внешние каналы связи, партнерские каналы, интеграционные сервисы, платежные сервисы, телефонные каналы, мессенджеры и иные средства коммуникации, если в рамках такого взаимодействия осуществляется обработка персональных данных;
6.1.13. представителей контрагентов, подрядчиков, партнеров, операторов связи, поставщиков услуг, интеграционных платформ, туроператоров, отелей, страховых компаний, платежных организаций и иных лиц, взаимодействующих с соответствующим оператором в рамках исполнения договоров, интеграций, бронирований, поддержки и иных процессов;
6.1.14. иных физических лиц, чьи персональные данные обрабатываются соответствующим оператором на законных основаниях в связи с использованием сервисов, заключением и исполнением договоров, оказанием услуг, предоставлением доступа к цифровым решениям, осуществлением бронирований, проведением платежей, поддержкой, обучением, аналитикой, безопасностью и иными процессами деятельности.
6.2. Если персональные данные передаются соответствующему оператору не самим субъектом персональных данных, а клиентом, представителем клиента, пользователем сервиса, законным представителем, родственником, сопровождающим лицом, работодателем либо иным уполномоченным лицом, соответствующий оператор исходит из того, что такое лицо обладает необходимыми правами, полномочиями и законными основаниями для передачи соответствующих персональных данных.
6.3. Соответствующий оператор не обязан в каждом случае проверять наличие у лица, передающего персональные данные третьих лиц, необходимых согласий, полномочий и иных правовых оснований, если иное прямо не требуется применимым законодательством, однако вправе запросить подтверждение таких оснований в случаях, когда это необходимо для соблюдения закона, исполнения договорных обязательств, рассмотрения обращений, урегулирования споров, защиты прав субъектов персональных данных или прав и законных интересов соответствующего оператора.
6.4. В случаях, когда клиент использует сервисы для обработки персональных данных своих работников, туристов, клиентов, представителей, контрагентов и иных лиц, такой клиент самостоятельно несет ответственность за законность получения, передачи, размещения и использования соответствующих персональных данных, если иное прямо не предусмотрено применимым законодательством или договором с соответствующим оператором.
6.5. Объем прав субъекта персональных данных, порядок взаимодействия с соответствующим оператором, перечень доступных способов обращения и иные особенности обработки могут различаться в зависимости от категории субъекта персональных данных, регионального сегмента обработки, применимого законодательства и характера использования соответствующего сервиса.

7. Роли операторов и компаний группы при обработке персональных данных
7.1. Обработка персональных данных в рамках сервисов, предоставляемых под брендами Tourvision и/или Солнцетур, может осуществляться соответствующим оператором самостоятельно, совместно с иными компаниями группы, а также с привлечением подрядчиков, партнеров, интеграционных сервисов и иных лиц на законных основаниях.
7.2. Каждый оператор, указанный в настоящей Политике, осуществляет обработку персональных данных в пределах соответствующего регионального сегмента, объема своих полномочий, договорной модели, технической инфраструктуры, применимого законодательства и фактически выполняемых функций.
7.3. Соответствующий оператор может выступать в качестве лица, самостоятельно организующего и осуществляющего обработку персональных данных, в том числе в следующих случаях:

при обработке персональных данных посетителей сайтов;
при обработке данных лиц, направляющих заявки, обращения, запросы, сообщения, документы и иные сведения;
при обработке данных клиентов, их представителей, работников и пользователей аккаунтов в целях заключения, исполнения, изменения и прекращения договоров, оферт и иных соглашений;
при обработке данных в целях подключения к сервисам, предоставления доступа, сопровождения, обучения, биллинга, документооборота, поддержки, аналитики, безопасности и соблюдения требований законодательства;
при обработке данных для обеспечения работы собственных сервисов, интерфейсов, инфраструктуры, helpdesk, коммуникационных систем, обучающих модулей и иных цифровых решений.

7.4. В случаях, когда клиент использует сервисы соответствующего оператора для внесения, хранения, передачи, систематизации, отображения, использования или иной обработки персональных данных своих работников, туристов, клиентов, представителей, контрагентов и иных лиц в рамках собственных бизнес-процессов, соответствующий оператор может обрабатывать такие данные в интересах такого клиента и в пределах функционала предоставляемого сервиса.
7.5. В случаях, указанных в пункте 7.5 настоящей Политики, клиент самостоятельно определяет состав передаваемых персональных данных, цели их внесения, объем использования, круг лиц, которым предоставляется доступ к таким данным со стороны клиента, а также иные параметры обработки в пределах доступного функционала соответствующего сервиса, если иное прямо не установлено применимым законодательством, настоящей Политикой, условиями использования сервиса или договором.
7.6. В рамках использования сервисов клиент самостоятельно несет ответственность за:

законность получения персональных данных;
наличие необходимых согласий, уведомлений и иных правовых оснований;
правомерность передачи персональных данных соответствующему оператору;
соблюдение требований применимого законодательства при внесении, хранении и использовании данных в сервисах;
соблюдение принципов соразмерности, минимизации и актуальности персональных данных;
определение лиц, которым предоставляется доступ к данным со стороны клиента.

7.7. Соответствующий оператор не отвечает за правомерность первоначального получения клиентом персональных данных третьих лиц, передаваемых в сервисы, если иное прямо не предусмотрено применимым законодательством или отдельным соглашением между соответствующим оператором и клиентом.
7.8. При этом соответствующий оператор вправе осуществлять обработку персональных данных, размещенных в сервисах, в объеме, необходимом для:

предоставления доступа к сервисам;
обеспечения технического функционирования платформы;
хранения, систематизации, отображения, передачи и резервного копирования данных;
обеспечения информационной безопасности;
управления учетными записями, ролями и доступом;
ведения журналов событий и логов;
технической поддержки, диагностики, сопровождения и устранения ошибок;
подключения и обслуживания интеграций;
исполнения договорных обязательств;
соблюдения требований законодательства;
защиты прав и законных интересов соответствующего оператора.

7.9. Если обработка персональных данных осуществляется одновременно в интересах клиента и в интересах соответствующего оператора, такая обработка осуществляется в пределах соответствующих целей, полномочий и правовых оснований, применимых к каждой стороне соответствующего процесса.
7.10. Компании группы вправе взаимодействовать между собой в целях:

координации предоставления сервисов;
развития, сопровождения и администрирования платформ;
организации клиентского обслуживания;
технической поддержки;
информационной безопасности;
миграции, переноса и маршрутизации данных;
исполнения договорных обязательств;
соблюдения требований законодательства;
защиты прав и законных интересов компаний группы и субъектов персональных данных.

7.11. Если для предоставления сервиса, технической поддержки, безопасности, миграции, переноса аккаунта, интеграции, сопровождения или иной законной цели требуется участие другой компании группы, доступ к персональным данным может быть предоставлен такой компании в объеме, необходимом для достижения соответствующей цели, при условии соблюдения требований применимого законодательства, настоящей Политики, внутренних регламентов группы и принципа минимально необходимого доступа.
7.12. Наличие у другой компании группы технического, организационного, административного, сервисного или иного доступа к персональным данным не означает, что такая компания автоматически становится единственным или основным оператором в отношении всех соответствующих данных. Роль каждой компании группы определяется с учетом характера доступа, объема операций, целей обработки, регионального сегмента и требований применимого законодательства.
7.13. Компании группы вправе использовать общие стандарты, правила, политики, процедуры, регламенты безопасности, требования к хранению данных, правила журналирования, внутренние инструкции, технические решения и иные единые подходы к организации обработки персональных данных, если такие подходы не противоречат требованиям законодательства соответствующего регионального сегмента.
7.14. Если для соответствующего сервиса, регионального сегмента или категории данных требуется отдельное распределение ролей между компаниями группы, такое распределение может быть определено:

настоящей Политикой;
отдельным уведомлением;
условиями использования сервиса;
договором, офертой или приложением к ним;
соглашением между компаниями группы;
внутренними регламентами соответствующего оператора;
иными документами, применимыми к соответствующему процессу обработки.

7.15. Компании группы вправе привлекать третьих лиц для выполнения отдельных операций по обработке персональных данных, включая хранение данных, эксплуатацию инфраструктуры, информационную безопасность, helpdesk, коммуникационные сервисы, интеграции, аналитику, обучение, документооборот, платежи, бронирования и иные процессы, связанные с предоставлением сервисов и исполнением обязательств перед клиентами и пользователями.
7.16. В случае если характер отношений между соответствующим оператором, клиентом, иной компанией группы либо привлеченным лицом требует дополнительного регулирования порядка обработки персональных данных, стороны вправе заключить отдельное соглашение, приложение, договор, поручение, уведомление либо иной документ, регулирующий соответствующие вопросы.
7.17. Если применимое законодательство соответствующего регионального сегмента требует выполнения специальных условий в отношении распределения ролей, локализации, доступа, передачи, поручения обработки, уведомления уполномоченных органов, трансграничной передачи или иных аспектов обработки персональных данных, такие требования применяются в приоритетном порядке в соответствующей части.
8. Категории обрабатываемых персональных данных
8.1. Соответствующий оператор обрабатывает персональные данные в объеме, необходимом для достижения целей, предусмотренных настоящей Политикой, договорами, офертами, условиями использования сервисов, интерфейсными уведомлениями и применимым законодательством.
8.2. В зависимости от категории субъекта персональных данных, используемого сервиса, регионального сегмента, способа взаимодействия и целей обработки соответствующий оператор может обрабатывать следующие категории персональных данных:
8.2.1. Идентификационные данные:

фамилия, имя, отчество;
дата рождения;
пол;
гражданство;
данные документа, удостоверяющего личность;
паспортные данные;
сведения о стране выдачи документа, сроке действия документа, регистрационных и идентификационных признаках документа;
адрес регистрации, адрес проживания и иные адресные данные, если их обработка необходима для соответствующей цели.

8.2.2. Контактные данные:

номер телефона;
адрес электронной почты;
адрес для корреспонденции;
данные аккаунтов в мессенджерах и иных каналах связи;
иные контактные сведения, предоставленные субъектом персональных данных, клиентом, представителем клиента либо иным уполномоченным лицом.

8.2.3. Договорные, учетные и расчетные данные:

сведения, необходимые для заключения, исполнения, изменения и прекращения договоров, оферт и иных соглашений;
сведения о клиенте, плательщике, заказчике, представителе, подписке, тарифе, конфигурации, оплаченных сервисах и доступах;
реквизиты, содержащиеся в счетах, актах, договорах, заявках, коммерческих предложениях и иных документах;
сведения о начислениях, задолженности, платежах, возвратах, статусах оплаты, платежных ссылках и расчетных операциях.

8.2.4. Данные о заявках, бронированиях и поездках:

сведения о запросах, заявках, бронированиях, заказах и туристических услугах;
маршрут, даты поездки, состав путешествующих лиц;
сведения о гостиницах, перелетах, трансферах, страховании, визовом сопровождении и иных сопутствующих услугах;
история изменений заявки или бронирования;
сведения о путешествующих лицах, включая детей, сопровождающих лиц и представителей;
иные данные, необходимые для подбора, оформления, бронирования, сопровождения и исполнения туристических услуг.

8.2.5. Данные пользователей аккаунтов и сервисов:

сведения об учетной записи;
логин, идентификатор пользователя, роль, статус, принадлежность к компании, офису, подразделению либо аккаунту;
настройки аккаунта;
история входов, действий, операций и изменений;
сведения о предоставленных правах доступа, ролях, ограничениях и действиях в сервисах;
сведения, связанные с управлением доступом, безопасностью и администрированием аккаунта.

8.2.6. Данные, содержащиеся в ERP-системе, Messenger, Academy, Helpdesk и иных сервисах:

карточки клиентов;
данные о сотрудниках, менеджерах, руководителях, директорах офисов, фрилансерах, администраторах и иных пользователях;
сообщения, переписка, комментарии, заметки, обращения, заявки, задания, отчеты, документы, вложения, файлы и иные материалы;
данные, внесенные в интерфейсы сервисов, модули, формы, таблицы, справочники, аналитические сущности и иные цифровые объекты;
сведения, формируемые при использовании сервисов и их функционала.

8.2.7. Данные обучения и использования образовательных сервисов:

сведения о прохождении обучения;
результаты тестирования, аттестации, проверки знаний и прохождения курсов;
история обучения;
данные о прогрессе, активности, завершении модулей и иных учебных действиях;
сведения о сертификации, оценках, статусах прохождения и иных показателях, связанных с использованием Academy и иных обучающих решений.

8.2.8. Данные обращений и коммуникаций:

содержание обращений, запросов, заявок, сообщений, жалоб, комментариев и иных коммуникаций;
история взаимодействия с соответствующим оператором;
сведения, переданные через формы обратной связи, электронную почту, телефон, helpdesk, мессенджеры, интерфейсы сервисов и иные каналы;
сведения о результатах обработки обращений, статусах, маршрутизации, ответах и действиях по обращению.

8.2.9. Технические данные и данные об использовании сервисов:

IP-адрес;
сведения о браузере, типе устройства, операционной системе, языке, часовом поясе, регионе и иных технических параметрах;
cookie, идентификаторы сессий и аналогичные технологии;
дата и время посещения сайта или использования сервиса;
сведения о маршрутах перехода по страницам, интерфейсам и разделам;
журналы событий, логи, сведения об ошибках, сбоях, действиях пользователей и иных событиях, связанных с использованием сервисов;
технические данные, необходимые для обеспечения безопасности, диагностики, аналитики, стабильности работы и сопровождения сервисов.

8.2.10. Данные, полученные от третьих лиц, клиентов и через интеграции:

сведения, передаваемые клиентами соответствующего оператора;
данные, поступающие от туроператоров, гостиниц, страховых компаний, платежных сервисов, операторов связи, провайдеров телефонии, интеграционных платформ, сервисов аналитики, документооборота и иных партнеров;
сведения, поступающие от представителей субъекта персональных данных либо иных уполномоченных лиц;
иные данные, получение которых необходимо для исполнения обязательств, предоставления сервисов, обработки заявок, бронирований, обучения, коммуникаций, безопасности и иных законных целей.

8.2.11. Данные несовершеннолетних лиц:

фамилия, имя, отчество;
дата рождения;
гражданство;
сведения о документе, удостоверяющем личность, если это требуется для соответствующей услуги;
сведения, необходимые для бронирования, поездки, сопровождения, подтверждения статуса путешествующего лица и исполнения иных законных целей;
иные данные в объеме, необходимом для обработки в рамках соответствующего сервиса или услуги.

8.3. Соответствующий оператор не осуществляет целенаправленную обработку специальных категорий персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, членства в общественных объединениях, а также данных, касающихся здоровья или интимной жизни, за исключением случаев, когда:

такие данные добровольно предоставлены субъектом персональных данных или уполномоченным лицом;
обработка таких данных необходима для исполнения конкретной услуги, заявки, бронирования, поездки, сопровождения либо иного законного действия;
такая обработка допускается применимым законодательством.

8.4. Соответствующий оператор исходит из принципа обработки только тех персональных данных, которые необходимы и достаточны для достижения заранее определенных и законных целей обработки.
8.5. Если персональные данные предоставляются соответствующему оператору клиентом, пользователем сервиса, представителем клиента, родственником, сопровождающим лицом, работодателем либо иным третьим лицом, соответствующий оператор исходит из того, что объем таких данных определен указанным лицом самостоятельно и соответствует целям использования соответствующего сервиса, если иное не вытекает из обстоятельств конкретного случая.
8.6. Соответствующий оператор вправе обрабатывать иные персональные данные, прямо не перечисленные в настоящем разделе, если такая обработка:

предусмотрена применимым законодательством;
необходима для исполнения договора, оферты, условий использования сервиса, законного запроса субъекта персональных данных либо обращения пользователя;
объективно вытекает из характера соответствующего сервиса, обращения, заявки, бронирования, обучения, коммуникации, интеграции, биллинга, обеспечения безопасности или иного процесса взаимодействия.

8.7. Перечень категорий обрабатываемых персональных данных может уточняться, дополняться или конкретизироваться в зависимости от:

регионального сегмента обработки;
применимого законодательства;
используемого сервиса;
функционала конкретного модуля или платформы;
договорной модели;
наличия интеграций;
характера обращения, заявки, бронирования, поездки, обучения, коммуникации или иного процесса обработки.

9. Источники получения персональных данных
9.1. Соответствующий оператор получает персональные данные из следующих источников:
9.1.1. непосредственно от субъекта персональных данных при заполнении форм на сайтах, в интерфейсах сервисов, в мобильных приложениях, в формах регистрации, авторизации, обратной связи, заявок, бронирований, оплаты, подписки, подключения, поддержки, обучения и иных цифровых формах взаимодействия;
9.1.2. от клиента, представителя клиента, пользователя аккаунта, работодателя, законного представителя, родственника, сопровождающего лица либо иного уполномоченного лица, передающего персональные данные в связи с использованием сервисов, заключением и исполнением договоров, оформлением заявок, бронирований, поездок, обучением, коммуникацией, биллингом, поддержкой и иными процессами;
9.1.3. от пользователей ERP-системы, Messenger, Academy, Helpdesk и иных сервисов при создании аккаунтов, карточек клиентов, заявок, сообщений, задач, отчетов, комментариев, загрузке файлов, документов, вложений, а также при совершении иных действий в интерфейсах сервисов;
9.1.4. от посетителей сайтов, пользователей форм обратной связи, лиц, направляющих обращения, сообщения, жалобы, запросы, документы, файлы и иные сведения через электронную почту, helpdesk, телефонную связь, мессенджеры и иные каналы взаимодействия;
9.1.5. от субъектов персональных данных либо их представителей при обращении по телефону, через email, формы обратной связи, helpdesk, мессенджеры, интерфейсы сервисов, социальные сети, каналы поддержки, при личном взаимодействии либо иными способами, допускаемыми соответствующим оператором;
9.1.6. из документов, файлов, заявок, бронирований, списков путешествующих лиц, договоров, счетов, актов, реквизитов, подтверждающих документов, билетов, ваучеров, страховых документов, переписки, отчетов, учебных материалов, тестов и иных материалов, передаваемых соответствующему оператору либо загружаемых в сервисы;
9.1.7. от партнеров, подрядчиков, интеграционных платформ, туроператоров, гостиниц, страховых компаний, платежных сервисов, банков, операторов связи, провайдеров телефонии, систем документооборота, систем аналитики, API и иных внешних сервисов, если получение таких данных необходимо для исполнения обязательств, работы сервисов, обработки заявок, бронирований, платежей, коммуникаций, поддержки, обучения и иных законных целей;
9.1.8. из технических систем, логов, интерфейсов, журналов событий, cookie, аналитических инструментов, систем мониторинга, систем безопасности, средств аутентификации, систем контроля доступа и иных технических источников, возникающих при использовании сайтов, сервисов, программного обеспечения и цифровой инфраструктуры;
9.1.9. из общедоступных источников, если использование таких данных допускается применимым законодательством и необходимо для проверки сведений, идентификации, исполнения обязательств, обеспечения безопасности, защиты прав и законных интересов соответствующего оператора либо субъекта персональных данных;
9.1.10. из иных законных источников, предусмотренных применимым законодательством, договорами, условиями использования сервисов, соглашениями с клиентами, внутренними процедурами соответствующего оператора и характером конкретного процесса обработки.
9.2. Если персональные данные предоставляются не самим субъектом персональных данных, а иным лицом, соответствующий оператор исходит из того, что такое лицо обладает необходимыми правами, полномочиями, согласиями и иными законными основаниями для передачи соответствующих персональных данных.
9.3. Соответствующий оператор вправе не проверять в каждом случае достоверность источника получения персональных данных и наличие у передающего лица необходимых полномочий, если иное прямо не требуется применимым законодательством, однако вправе запросить дополнительные сведения, документы или подтверждения в случаях, когда это необходимо для соблюдения требований закона, исполнения обязательств, защиты прав субъектов персональных данных либо разрешения спорной ситуации.
9.4. Персональные данные могут поступать соответствующему оператору как в структурированном виде, так и в составе файлов, документов, текстов, сообщений, изображений, вложений, журналов, технических записей и иных материалов, если их получение связано с использованием сервисов, исполнением обязательств или иными законными целями обработки.
9.5. Если персональные данные поступают через интеграции, внешние платформы, API, партнерские сервисы или иные автоматизированные каналы обмена данными, соответствующий оператор вправе обрабатывать такие данные в объеме, необходимом для работы соответствующего сервиса, исполнения обязательств, обеспечения безопасности, диагностики, сопровождения, биллинга, бронирования, коммуникации и иных законных целей.
9.6. Соответствующий оператор вправе объединять персональные данные, полученные из разных законных источников, если такое объединение необходимо для достижения целей обработки, обеспечения корректной работы сервисов, идентификации субъекта персональных данных, предотвращения дублирования данных, исполнения договорных обязательств, обеспечения безопасности и соблюдения требований законодательства.
9.7. При получении персональных данных соответствующий оператор исходит из принципа минимальной достаточности и стремится использовать только те данные и источники, которые объективно необходимы для достижения соответствующей цели обработки.
9.8. Если соответствующий оператор получает персональные данные от другой компании группы, такая передача осуществляется в соответствии с настоящей Политикой, применимым законодательством, внутренними процедурами группы, правилами определения регионального сегмента и иными документами, регулирующими доступ, передачу, хранение и использование персональных данных.
9.9. Если персональные данные получены ошибочно, избыточно, без достаточных оснований либо не относятся к целям обработки соответствующего оператора, оператор вправе ограничить их обработку, удалить такие данные, запросить уточнение либо предпринять иные действия, предусмотренные применимым законодательством и внутренними процедурами.
9.10. Источник получения персональных данных, способ их поступления, объем данных и характер последующей обработки могут различаться в зависимости от регионального сегмента, применимого оператора, используемого сервиса, категории субъекта персональных данных, договорной модели, наличия интеграций и конкретной цели обработки.

10. Цели обработки персональных данных
10.1. Соответствующий оператор осуществляет обработку персональных данных исключительно в законных, заранее определенных и соответствующих характеру деятельности целях.
10.2. Персональные данные обрабатываются, в том числе, в следующих целях:
10.2.1. идентификация субъекта персональных данных, клиента, пользователя, представителя клиента, плательщика, туриста, путешествующего лица, сотрудника клиента и иного лица, взаимодействующего с соответствующим оператором;
10.2.2. регистрация пользователей, создание аккаунтов, предоставление доступа к сайтам, сервисам, программному обеспечению, интерфейсам, платформам, модулям, интеграциям и иным цифровым решениям;
10.2.3. заключение, исполнение, изменение и прекращение договоров, оферт, пользовательских соглашений, коммерческих предложений, счетов, актов, приложений и иных документов, регулирующих отношения между соответствующим оператором и клиентом либо иным лицом;
10.2.4. предоставление доступа к ERP-системе, Messenger, Academy, Helpdesk и иным сервисам, а также обеспечение их функционирования, настройки, сопровождения, обновления, развития и эксплуатации;
10.2.5. обработка заявок, обращений, запросов, консультаций, сообщений, документов, файлов, заявлений, жалоб, комментариев и иных материалов, направляемых субъектами персональных данных, клиентами, пользователями и иными лицами;
10.2.6. подключение клиентов к сервисам, настройка аккаунтов, создание офисов, учетных записей, ролей, прав доступа, пользовательских профилей, модулей, интеграций и иных параметров сервисов;
10.2.7. ведение клиентской базы, карточек клиентов, истории взаимодействия, истории обращений, истории бронирований, истории обучения, истории коммуникаций и иных данных, формируемых в рамках использования сервисов;
10.2.8. подбор, оформление, бронирование, изменение, сопровождение и исполнение туристических и сопутствующих услуг, включая работу с маршрутами, гостиницами, перелетами, трансферами, страхованием, визовым сопровождением, документами путешествующих лиц и иными связанными процессами;
10.2.9. организация, ведение и сопровождение коммуникаций между пользователями, клиентами, сотрудниками, представителями, туристами и иными лицами через Messenger, Helpdesk, email, телефонную связь, формы обратной связи, мессенджеры и иные каналы взаимодействия;
10.2.10. предоставление доступа к Academy и иным обучающим сервисам, организация обучения, тестирования, аттестации, учета прогресса, оценки результатов, контроля прохождения курсов и иных образовательных процессов;
10.2.11. выставление счетов, прием и учет оплат, формирование актов, закрывающих документов, ведение расчетов, проверка платежного статуса, сопровождение подписки, тарифа, конфигурации и иных расчетных и учетных процессов;
10.2.12. осуществление технической поддержки, helpdesk-обслуживания, сопровождения пользователей, диагностики проблем, исправления ошибок, консультирования, настройки сервисов, обработки инцидентов и иных действий, связанных с эксплуатацией сервисов;
10.2.13. обеспечение информационной безопасности, защиты инфраструктуры, контроля доступа, аутентификации, журналирования действий пользователей, резервного копирования, предотвращения несанкционированного доступа, предотвращения мошенничества, злоупотреблений и иных угроз;
10.2.14. обеспечение работоспособности сайтов, интерфейсов, платформ, мобильных приложений, технических модулей, аналитических систем, коммуникационных сервисов, интеграций, API и иных компонентов цифровой инфраструктуры;
10.2.15. сопровождение и обслуживание интеграций с внешними сервисами, включая платежные сервисы, туроператоров, гостиницы, страховые компании, операторов связи, телефонии, документооборота, аналитики, коммуникаций и иных партнерских или технологических решений;
10.2.16. ведение внутреннего учета, отчетности, контроля качества, аналитики, статистики, мониторинга, аудита, совершенствования продуктов, интерфейсов, процессов обслуживания, клиентского опыта и иных процессов развития сервисов;
10.2.17. направление субъектам персональных данных, клиентам, пользователям и иным лицам сервисных, организационных, технических, информационных, договорных, платежных, уведомительных и иных сообщений, связанных с использованием сервисов и исполнением обязательств;
10.2.18. направление информационных и маркетинговых сообщений, предложений, новостей, уведомлений о сервисах, продуктах, возможностях, изменениях, акциях, специальных предложениях и иных материалов, если такое направление допускается применимым законодательством и, при необходимости, осуществляется при наличии соответствующего согласия;
10.2.19. соблюдение требований применимого законодательства, исполнение обязанностей оператора персональных данных, выполнение требований государственных органов, судов, правоохранительных органов, регуляторов и иных уполномоченных лиц;
10.2.20. рассмотрение претензий, споров, обращений субъектов персональных данных, клиентов, пользователей, контрагентов и иных лиц, а также защита прав и законных интересов соответствующего оператора, других компаний группы, субъектов персональных данных, клиентов и пользователей;
10.2.21. хранение, архивирование, блокирование, удаление, обезличивание и иные действия с персональными данными в объеме, необходимом для соблюдения законодательства, исполнения договоров, внутренних процедур, обеспечения безопасности и защиты прав и законных интересов;
10.2.22. выполнение иных законных целей, непосредственно связанных с деятельностью соответствующего оператора, оказанием услуг, предоставлением сервисов, исполнением договоров, сопровождением клиентов, обеспечением функционирования цифровой инфраструктуры, а также с иными процессами, вытекающими из существа использования сервисов.
10.3. Соответствующий оператор не осуществляет обработку персональных данных в целях, несовместимых с целями, указанными в настоящей Политике, если иное прямо не предусмотрено применимым законодательством либо не основано на отдельном надлежащем правовом основании.
10.4. При определении целей обработки соответствующий оператор исходит из характера предоставляемого сервиса, применимого регионального сегмента, договорной модели, категории субъекта персональных данных, требований законодательства и принципа обработки только тех персональных данных, которые необходимы и достаточны для достижения соответствующей цели.
10.5. Если конкретная операция обработки персональных данных одновременно направлена на достижение нескольких законных целей, такая обработка допускается при условии, что каждая из соответствующих целей является допустимой, определенной и соразмерной характеру обрабатываемых персональных данных.
10.6. В зависимости от используемого сервиса, регионального сегмента, категории субъекта персональных данных и характера взаимодействия перечень целей обработки может уточняться, дополняться или конкретизироваться в договорах, офертах, условиях использования сервисов, интерфейсных уведомлениях, специальных политиках, соглашениях о поручении обработки персональных данных и иных документах соответствующего оператора.
11. Правовые основания обработки персональных данных
11.1. Соответствующий оператор осуществляет обработку персональных данных при наличии предусмотренных применимым законодательством правовых оснований.
11.2. Правовыми основаниями обработки персональных данных, в зависимости от регионального сегмента, категории субъекта персональных данных, характера сервиса и конкретной цели обработки, могут являться:
11.2.1. согласие субъекта персональных данных на обработку его персональных данных;
11.2.2. необходимость обработки персональных данных для заключения, исполнения, изменения или прекращения договора, оферты, пользовательского соглашения, заявки, бронирования, подписки, подключения, предоставления доступа к сервисам либо иных обязательств, стороной, выгодоприобретателем или иным участником которых является субъект персональных данных либо клиент, в интересах которого действует субъект;
11.2.3. необходимость обработки персональных данных для исполнения обязанностей, возложенных на соответствующего оператора применимым законодательством;
11.2.4. необходимость обработки персональных данных для рассмотрения обращения, запроса, сообщения, претензии, жалобы, заявки, запроса на подключение, запроса на консультацию, запроса на поддержку либо иного обращения субъекта персональных данных, клиента, пользователя или иного лица;
11.2.5. необходимость обработки персональных данных для предоставления доступа к сайтам, сервисам, программному обеспечению, интерфейсам, аккаунтам, модулям, интеграциям, платформам, helpdesk, обучающим и коммуникационным решениям;
11.2.6. необходимость обработки персональных данных для обеспечения информационной безопасности, предотвращения мошенничества, злоупотреблений, несанкционированного доступа, нарушения правил использования сервисов и иных угроз;
11.2.7. необходимость обработки персональных данных для осуществления расчетов, выставления счетов, ведения документооборота, подтверждения платежей, сопровождения подписки, учета тарифов, конфигураций и иных расчетных и договорных процессов;
11.2.8. необходимость обработки персональных данных для исполнения обязанностей и реализации прав соответствующего оператора в связи с рассмотрением претензий, споров, обращений субъектов персональных данных, клиентов, пользователей, контрагентов и иных лиц;
11.2.9. необходимость обработки персональных данных в связи с использованием клиентом сервисов для размещения, хранения, передачи, отображения, систематизации и иной обработки данных в рамках собственной деятельности клиента, если такая обработка допускается применимым законодательством и условиями использования соответствующего сервиса;
11.2.10. необходимость обработки персональных данных, переданных соответствующему оператору законным представителем, работодателем, родственником, сопровождающим лицом, уполномоченным сотрудником, представителем клиента либо иным уполномоченным лицом, если такая передача допускается применимым законодательством и имеет надлежащее правовое основание;
11.2.11. иные основания, предусмотренные применимым законодательством соответствующего регионального сегмента.
11.3. Если применимое законодательство требует получения отдельного, специального, письменного, электронного либо иным образом выраженного согласия субъекта персональных данных, соответствующий оператор осуществляет обработку персональных данных на основании такого согласия в объеме и на условиях, определяемых соответствующим согласием и законодательством.
11.4. Согласие на обработку персональных данных может выражаться, в том числе:

путем установки отметки в форме на сайте, в приложении, интерфейсе сервиса или ином цифровом канале;
путем акцепта оферты, пользовательского соглашения, условий подключения или иного документа, содержащего положения об обработке персональных данных;
путем направления данных через формы, сервисы, каналы связи, email, helpdesk, телефонную связь, мессенджеры и иные каналы взаимодействия;
путем продолжения использования соответствующего сайта, сервиса, интерфейса или иного решения в случаях, когда такое действие признается допустимым способом выражения согласия в соответствии с применимым законодательством;
иным способом, допускаемым применимым законодательством.

11.5. Если персональные данные передаются соответствующему оператору не самим субъектом персональных данных, а клиентом, представителем клиента, работодателем, законным представителем, родственником, сопровождающим лицом либо иным уполномоченным лицом, соответствующий оператор исходит из того, что такое лицо обладает необходимыми правовыми основаниями для передачи соответствующих данных и, при необходимости, получения соответствующих согласий.
11.6. В случаях, когда клиент использует сервисы соответствующего оператора для обработки персональных данных своих работников, туристов, клиентов, представителей, контрагентов и иных лиц, клиент самостоятельно обеспечивает наличие необходимых правовых оснований для внесения, хранения, использования, передачи и иной обработки таких персональных данных в сервисах.
11.7. Если конкретная цель обработки персональных данных допускает несколько правовых оснований, соответствующий оператор вправе использовать одно или несколько таких оснований одновременно, если это не противоречит применимому законодательству и характеру соответствующей обработки.
11.8. Отзыв согласия субъекта персональных данных не влияет на законность обработки, осуществленной до момента такого отзыва, а также не прекращает обработку в тех случаях, когда она может осуществляться на иных правовых основаниях, предусмотренных применимым законодательством.
11.9. Если применимое законодательство соответствующего регионального сегмента предусматривает специальные требования к обработке отдельных категорий персональных данных, к форме согласия, к порядку получения согласия, к подтверждению согласия, к обработке данных несовершеннолетних, к локализации данных, к трансграничной передаче данных либо к иным аспектам обработки, такие требования применяются в приоритетном порядке.
11.10. Правовые основания обработки персональных данных могут дополнительно конкретизироваться в:

договорах;
офертах;
пользовательских соглашениях;
условиях использования сервисов;
формах согласия;
интерфейсных уведомлениях;
соглашениях о поручении обработки персональных данных;
уведомлениях о cookie;
специальных политиках и иных документах соответствующего оператора.

11.11. Соответствующий оператор вправе отказать в предоставлении отдельных сервисов, функций, доступа, интеграций, обучающих материалов, коммуникационных возможностей либо иных решений, если обработка необходимых для этого персональных данных невозможна без отсутствующего правового основания или если субъект персональных данных не предоставляет данные, обязательные для соответствующей цели обработки.
11.12. При определении правового основания обработки соответствующий оператор исходит из необходимости соблюдения принципов законности, добросовестности, соразмерности, ограниченности целей обработки и минимально необходимого объема персональных данных.
12. Региональное хранение, локализация и маршрутизация персональных данных
12.1. Хранение, систематизация, накопление, локализация, резервирование, маршрутизация и иные операции с персональными данными осуществляются с учетом применимого регионального сегмента, соответствующего оператора, используемого сервиса, договорного контура, технической архитектуры и требований применимого законодательства.
12.2. Соответствующий оператор обеспечивает хранение персональных данных на технических средствах, серверах, базах данных, файловых хранилищах, резервных копиях, журналах событий и иных компонентах инфраструктуры в соответствии с требованиями законодательства той страны, к региональному сегменту которой отнесена соответствующая обработка.
12.3. Если иное прямо не установлено применимым законодательством, договором, условиями использования сервиса, архитектурой конкретного решения либо отдельным уведомлением соответствующего оператора, персональные данные хранятся в рамках того регионального сегмента, к которому относится соответствующий аккаунт, клиент, сервис, договорный контур либо иной процесс обработки.
12.4. Для Республики Казахстан и всех стран, кроме Российской Федерации и Республики Узбекистан, персональные данные, относящиеся к соответствующему региональному сегменту, подлежат хранению на технических средствах и серверах, расположенных на территории Республики Казахстан, если иное не допускается применимым законодательством и не обусловлено использованием внешних интеграций, партнерских сервисов, подрядчиков или иных законных механизмов обработки.
12.5. Для Российской Федерации персональные данные, относящиеся к российскому региональному сегменту, подлежат хранению на технических средствах, серверах и в базах данных, расположенных на территории Российской Федерации, в объеме и порядке, требуемых применимым законодательством Российской Федерации.
12.6. Для Республики Узбекистан персональные данные, относящиеся к узбекскому региональному сегменту, подлежат хранению на технических средствах, серверах и в базах данных, расположенных на территории Республики Узбекистан, в объеме и порядке, требуемых применимым законодательством Республики Узбекистан.
12.7. Региональное хранение и локализация персональных данных распространяются, в том числе, на:

основные базы данных;
учетные записи и профили пользователей;
карточки клиентов;
заявки, бронирования и связанные с ними сведения;
переписку, сообщения, обращения и комментарии;
документы, вложения, файлы и иные материалы;
данные Academy, результаты обучения, тестирования и аттестации;
данные Helpdesk;
журналы событий, логи, записи аутентификации и иные технические данные;
резервные копии и архивные копии данных;
иные массивы персональных данных, обрабатываемые в рамках соответствующего регионального сегмента.

12.8. Маршрутизация персональных данных в рамках инфраструктуры сервисов осуществляется исходя из необходимости:

соблюдения требований законодательства соответствующей страны;
обеспечения локализации данных;
корректной работы регионального сегмента;
технической устойчивости и безопасности сервисов;
раздельного обслуживания региональных контуров;
исполнения договорных обязательств;
поддержки миграции, резервирования, восстановления и сопровождения данных.

12.9. Соответствующий оператор вправе использовать раздельные или комбинированные технические решения для хранения и обработки персональных данных, включая раздельные базы данных, файловые хранилища, резервные контуры, балансировку нагрузки, выделенные среды, региональные инстансы, отдельные интеграционные слои и иные инфраструктурные механизмы, если это необходимо для соблюдения законодательства, обеспечения безопасности, отказоустойчивости и корректной работы сервисов.
12.10. Если для предоставления сервиса требуется использование нескольких технических компонентов, размещенных в разных инфраструктурных средах, соответствующий оператор обеспечивает организацию такого хранения и доступа таким образом, чтобы соблюдались обязательные требования применимого законодательства к локализации, хранению, доступу и передаче персональных данных.
12.11. Доступ к персональным данным из другого регионального сегмента, из другой страны либо со стороны иной компании группы допускается только при наличии законного основания, производственной необходимости, соблюдения требований применимого законодательства и внутренних правил соответствующего оператора.
12.12. Если в рамках одного клиентского контура используются сервисы, модули, аккаунты, интеграции или иные решения, относящиеся к разным региональным сегментам, соответствующий оператор вправе определить специальный порядок хранения, маршрутизации, разделения или миграции персональных данных с учетом требований применимого законодательства и технических возможностей сервисов.
12.13. Перенос персональных данных из одного регионального сегмента в другой, включая миграцию аккаунта, смену оператора, изменение сервисного контура, перенос клиентской базы, смену страны обслуживания либо изменение места хранения данных, допускается при наличии законного основания и в порядке, определяемом соответствующим оператором, договорами, внутренними процедурами и применимым законодательством.
12.14. При переносе персональных данных между региональными сегментами соответствующий оператор вправе:

определить новый применимый оператор;
изменить место хранения данных;
изменить инфраструктурный контур;
ограничить доступ к отдельным функциям до завершения миграции;
запросить дополнительные согласия, подтверждения или документы;
применить отдельные правила хранения, локализации, передачи и доступа, предусмотренные применимым законодательством.

12.15. Если определенные категории персональных данных, отдельные сервисы, функции, интеграции, коммуникационные каналы, платежные решения, внешние API, аналитические инструменты либо иные компоненты сервиса не могут быть использованы без выхода за пределы стандартного регионального контура хранения, соответствующий оператор вправе:

ограничить или не предоставлять такой функционал в соответствующем региональном сегменте;
внедрить специальный режим использования;
запросить отдельное согласие или иное правовое основание;
предложить альтернативный функционал;
использовать такой компонент только при соблюдении требований применимого законодательства.

12.16. Соответствующий оператор принимает разумные организационные и технические меры для предотвращения неправомерного перемещения, раскрытия, смешения, утраты, уничтожения или иного нарушения установленного порядка хранения и локализации персональных данных.
12.17. Если персональные данные были ошибочно отнесены к неверному региональному сегменту, размещены в неверной инфраструктурной среде либо стали доступны вне допустимого контура хранения, соответствующий оператор вправе принять меры по:

ограничению доступа;
блокированию соответствующей обработки;
переносу данных в надлежащий сегмент;
удалению ошибочно размещенных копий;
уведомлению затронутых лиц или органов, если такое уведомление требуется применимым законодательством;
иным действиям, необходимым для восстановления соблюдения требований законодательства и внутренней политики обработки данных.

12.18. Порядок хранения, локализации, маршрутизации и миграции персональных данных может дополнительно конкретизироваться в договорах, офертах, пользовательских соглашениях, соглашениях о поручении обработки персональных данных, интерфейсных уведомлениях, технической документации, внутренних регламентах и иных документах соответствующего оператора.

13. Трансграничная передача персональных данных и межрегиональный доступ
13.1. Трансграничная передача персональных данных, а также предоставление межрегионального доступа к персональным данным осуществляются соответствующим оператором только при наличии законных оснований, производственной необходимости, соблюдения требований применимого законодательства и в объеме, необходимом для достижения соответствующей цели обработки.
13.2. Под межрегиональным доступом для целей настоящей Политики понимается доступ к персональным данным со стороны иной компании группы, иного регионального сегмента, сотрудников, подрядчиков, партнеров, технических специалистов, операторов связи, интеграционных сервисов или иных лиц, находящихся вне основного регионального контура хранения соответствующих данных.
13.3. Трансграничная передача персональных данных и межрегиональный доступ могут осуществляться, в том числе, в следующих случаях:

при необходимости предоставления или сопровождения сервисов;
при технической поддержке, диагностике, устранении ошибок, сопровождении аккаунтов и инфраструктуры;
при обеспечении информационной безопасности, предотвращении инцидентов, расследовании нарушений и журналировании;
при подключении, сопровождении и обслуживании интеграций;
при маршрутизации, резервировании, восстановлении и миграции данных;
при использовании подрядчиков, партнеров, внешних платформ и технологических сервисов;
при исполнении договорных обязательств;
при рассмотрении обращений, претензий, жалоб, споров и запросов субъектов персональных данных;
при выполнении требований законодательства, обязательных предписаний и запросов уполномоченных органов;
в иных случаях, допускаемых применимым законодательством.

13.4. Если применимое законодательство соответствующего регионального сегмента требует получения согласия субъекта персональных данных, выполнения специальных условий, уведомления уполномоченных органов, соблюдения ограничений по странам получателям либо принятия дополнительных мер защиты при трансграничной передаче персональных данных, соответствующий оператор выполняет такие требования до начала либо в процессе осуществления соответствующей передачи.
13.5. Соответствующий оператор вправе предоставлять доступ к персональным данным другой компании группы в объеме, необходимом для:

координации работы сервисов;
сопровождения клиентов;
технической поддержки;
обеспечения информационной безопасности;
миграции клиентских аккаунтов и данных;
обработки обращений субъектов персональных данных;
исполнения договоров и обязательств внутри группы;
выполнения требований законодательства;
защиты прав и законных интересов компаний группы и субъектов персональных данных.

13.6. Предоставление доступа к персональным данным иной компании группы допускается при условии, что:

такая компания участвует в соответствующем процессе обработки на законных основаниях;
объем доступа ограничен необходимым минимумом;
соблюдаются требования применимого законодательства к локализации, доступу, передаче и защите данных;
используются организационные и технические меры защиты;
доступ осуществляется в соответствии с внутренними регламентами группы и настоящей Политикой.

13.7. Если в рамках межрегионального взаимодействия персональные данные передаются подрядчикам, партнерам, интеграционным платформам, внешним сервисам или иным третьим лицам, соответствующий оператор принимает разумные меры для обеспечения соблюдения такими лицами требований законодательства, конфиденциальности, безопасности и ограничений, установленных настоящей Политикой и договорами.
13.8. Трансграничная передача персональных данных и межрегиональный доступ не должны приводить к обходу требований применимого законодательства о локализации данных, если иное прямо не допускается таким законодательством.
13.9. Наличие трансграничной передачи персональных данных либо межрегионального доступа не означает автоматического изменения применимого оператора или основного регионального сегмента обработки, если иное прямо не следует из фактической модели обработки, миграции данных, смены оператора, изменения страны обслуживания либо требований применимого законодательства.
13.10. Если соответствующий сервис, интеграция, внешний API, подрядчик, коммуникационный канал, платежное решение, аналитический инструмент либо иное технологическое решение предполагает доступ к персональным данным из-за пределов основного регионального сегмента, соответствующий оператор вправе:

ограничить использование такого решения;
не предоставлять такой функционал в соответствующем региональном сегменте;
применять специальный режим обработки;
запросить отдельное согласие или иное правовое основание;
предложить альтернативное решение;
использовать такой сервис только при соблюдении требований применимого законодательства.

13.11. Межрегиональный доступ сотрудников соответствующего оператора, иных компаний группы, подрядчиков или партнеров к персональным данным допускается только в пределах служебной необходимости, с учетом полномочий соответствующего лица, категории данных, характера инцидента, обращения, задачи или иного процесса, ради которого такой доступ предоставляется.
13.12. Соответствующий оператор вправе вести учет, журналирование, контроль и аудит случаев трансграничной передачи персональных данных и межрегионального доступа, включая сведения о цели доступа, объеме данных, участвующих лицах, используемых системах, основаниях доступа и иных значимых параметрах.
13.13. Если применимое законодательство требует, чтобы отдельные категории персональных данных, отдельные действия с ними либо отдельные базы данных оставались исключительно в пределах конкретной страны, соответствующий оператор обеспечивает соблюдение такого ограничения и не осуществляет трансграничную передачу либо межрегиональный доступ в нарушение соответствующих требований.
13.14. В случае если межрегиональный доступ или трансграничная передача персональных данных были осуществлены ошибочно, без достаточного основания, с нарушением правил локализации либо вне допустимого объема, соответствующий оператор вправе принять меры по:

немедленному ограничению доступа;
блокированию соответствующей обработки;
прекращению передачи данных;
удалению неправомерно переданных копий, если это технически возможно;
внутреннему расследованию инцидента;
уведомлению затронутых лиц и уполномоченных органов, если такое уведомление требуется применимым законодательством;
иным действиям, необходимым для устранения последствий нарушения и восстановления соблюдения требований законодательства.

13.15. Условия трансграничной передачи персональных данных и межрегионального доступа могут дополнительно конкретизироваться в договорах, офертах, пользовательских соглашениях, соглашениях о поручении обработки персональных данных, технической документации, интерфейсных уведомлениях, внутренних регламентах группы и иных документах соответствующего оператора.
14. Третьи лица, подрядчики, партнеры, интеграции и иные получатели персональных данных
14.1. Соответствующий оператор вправе передавать персональные данные третьим лицам либо предоставлять им доступ к персональным данным в случаях, когда такая передача или доступ:

необходимы для достижения целей обработки, предусмотренных настоящей Политикой;
требуются для предоставления сервисов, исполнения договоров, обработки заявок, бронирований, платежей, обучения, коммуникаций, поддержки и иных процессов;
допускаются применимым законодательством;
осуществляются на основании согласия субъекта персональных данных либо иного надлежащего правового основания.

14.2. К третьим лицам, которым могут передаваться персональные данные либо предоставляться к ним доступ, могут относиться:

туроператоры;
гостиницы;
страховые компании;
перевозчики;
визовые, миграционные, консульские и иные сервисы, участвующие в организации поездки;
банки, платежные организации, платежные агрегаторы и иные платежные сервисы;
операторы связи, провайдеры телефонии, email-сервисы, мессенджеры и иные коммуникационные платформы;
хостинг-провайдеры, дата-центры, провайдеры облачной инфраструктуры и иные поставщики технической инфраструктуры;
подрядчики по технической поддержке, сопровождению, информационной безопасности, мониторингу, резервному копированию и администрированию;
системы электронного документооборота;
сервисы аналитики, статистики, мониторинга и маркетинга;
интеграционные платформы, API-провайдеры, разработчики и поставщики внешних сервисов;
иные подрядчики, партнеры и поставщики услуг, участвующие в предоставлении сервисов, исполнении обязательств либо обеспечении работы соответствующего оператора.

14.3. Передача персональных данных третьим лицам может осуществляться, в том числе, в следующих целях:

предоставление доступа к сервисам и обеспечение их работы;
исполнение договоров и оферт;
обработка заявок, бронирований и сопутствующих услуг;
проведение платежей и расчетов;
техническая поддержка и сопровождение;
обеспечение информационной безопасности;
подключение, настройка, обслуживание и поддержка интеграций;
документооборот;
аналитика и улучшение сервисов;
маркетинговые коммуникации, если они допускаются применимым законодательством;
выполнение требований законодательства и законных запросов уполномоченных органов;
защита прав и законных интересов соответствующего оператора.

14.4. Соответствующий оператор передает персональные данные третьим лицам в объеме, необходимом и достаточном для достижения соответствующей цели обработки, и стремится ограничивать объем передаваемых данных принципом минимальной достаточности.
14.5. Если третье лицо обрабатывает персональные данные по поручению соответствующего оператора либо в рамках предоставления технологического, инфраструктурного, интеграционного, сервисного или иного обеспечения, соответствующий оператор вправе устанавливать для такого лица требования о конфиденциальности, безопасности, ограничении целей обработки, соблюдении применимого законодательства и иных обязательных условий обработки персональных данных.
14.6. Если третье лицо действует как самостоятельный оператор персональных данных, обработка персональных данных таким лицом осуществляется в соответствии с его собственными правилами, политиками и условиями, если иное не предусмотрено законодательством, договором или характером соответствующего взаимодействия.
14.7. Соответствующий оператор не несет ответственность за содержание, полноту, актуальность и законность правил обработки персональных данных третьих лиц, являющихся самостоятельными операторами, если иное прямо не предусмотрено применимым законодательством либо отдельным соглашением.
14.8. Если сервисы соответствующего оператора предполагают использование интеграций с внешними системами, API, платформами, модулями, платежными сервисами, операторами связи, документооборотом, системами бронирования, страхования, аналитики, коммуникаций либо иными решениями, соответствующий оператор вправе передавать персональные данные либо предоставлять к ним доступ в объеме, необходимом для работы соответствующей интеграции.
14.9. Соответствующий оператор вправе временно или постоянно ограничить передачу персональных данных конкретному подрядчику, партнеру, интеграции или иному третьему лицу, если:

изменились требования законодательства;
возникли риски безопасности;
выявлены нарушения условий обработки;
изменились условия работы соответствующего сервиса;
прекращено сотрудничество с таким лицом;
использование такого лица более не требуется для предоставления сервиса.

14.10. Если передача персональных данных третьему лицу предполагает трансграничную передачу либо межрегиональный доступ, такая передача осуществляется с соблюдением требований настоящей Политики, применимого законодательства и внутренних процедур соответствующего оператора.
14.11. Соответствующий оператор вправе передавать персональные данные уполномоченным государственным органам, судам, правоохранительным органам, надзорным органам, регуляторам и иным лицам, если такая передача:

предусмотрена применимым законодательством;
необходима для исполнения законного запроса;
требуется для защиты прав и законных интересов соответствующего оператора, субъекта персональных данных, клиента или иного лица;
осуществляется в связи с рассмотрением спора, претензии, судебного или иного разбирательства.

14.12. Если персональные данные передаются в рамках корпоративного взаимодействия между компаниями группы, такая передача осуществляется в объеме, необходимом для координации сервисов, технической поддержки, безопасности, миграции, сопровождения, исполнения договорных обязательств, обработки обращений и иных законных целей, при условии соблюдения требований применимого законодательства и настоящей Политики.
14.13. Соответствующий оператор вправе использовать подрядчиков и партнеров, расположенных в различных странах, если такое использование не противоречит применимому законодательству, требованиям локализации, ограничениям на трансграничную передачу и иным обязательным нормам, применимым к соответствующему региональному сегменту.
14.14. Если предоставление отдельного сервиса, функции, интеграции, модуля либо технологического решения невозможно без передачи персональных данных третьему лицу, субъект персональных данных либо клиент понимает и соглашается, что использование такого сервиса, функции, интеграции или модуля может быть связано с соответствующей передачей персональных данных в объеме, необходимом для его работы, при наличии у соответствующего оператора законного основания для такой передачи.
14.15. Перечень третьих лиц, категорий получателей, интеграций, подрядчиков и партнеров может изменяться, дополняться и уточняться в зависимости от:

используемого сервиса;
регионального сегмента;
договорной модели;
применимого законодательства;
развития инфраструктуры и функционала;
состава подключенных интеграций;
характера услуг, заявок, бронирований, обучения, коммуникаций, платежей и иных процессов обработки.

14.16. Дополнительные условия передачи персональных данных третьим лицам могут устанавливаться в договорах, офертах, пользовательских соглашениях, условиях использования сервисов, соглашениях о поручении обработки персональных данных, интерфейсных уведомлениях, технической документации, условиях интеграций и иных документах соответствующего оператора.

15. Cookies, аналитика, пиксели и иные технологии
15.1. Соответствующий оператор вправе использовать cookie, пиксели, SDK, теги, локальное хранилище браузера, идентификаторы устройств, системные журналы, аналитические инструменты и иные аналогичные технологии для обеспечения работы сайтов, сервисов, интерфейсов, мобильных приложений и иных цифровых решений, на которые распространяется настоящая Политика.
15.2. Указанные технологии могут использоваться, в том числе, в следующих целях:

обеспечение корректной работы сайтов и сервисов;
поддержание пользовательской сессии;
авторизация и идентификация пользователя;
сохранение пользовательских настроек;
обеспечение безопасности, предотвращение мошенничества и злоупотреблений;
анализ использования сайтов и сервисов;
диагностика ошибок и технических сбоев;
оценка производительности и стабильности работы;
улучшение интерфейсов, функционала и пользовательского опыта;
статистика посещаемости и поведения пользователей;
направление релевантной информации, уведомлений и предложений, если это допускается применимым законодательством;
выполнение иных законных целей, связанных с работой сайтов и сервисов.

15.3. Соответствующий оператор может использовать следующие категории cookie и аналогичных технологий:
15.3.1. Обязательные (технические) cookie — используются для обеспечения базовой работоспособности сайтов, сервисов, интерфейсов, авторизации, безопасности, маршрутизации запросов, сохранения пользовательской сессии и выполнения иных функций, без которых корректная работа соответствующего ресурса невозможна.
15.3.2. Функциональные cookie — используются для сохранения пользовательских настроек, параметров интерфейса, языка, региона, предпочтений, истории отдельных действий и иных параметров, влияющих на удобство использования сайта или сервиса.
15.3.3. Аналитические cookie и технологии — используются для сбора статистических и технических данных о посещении сайтов, использовании интерфейсов, поведении пользователей, маршрутах переходов, ошибках, производительности и иных показателях, необходимых для анализа и совершенствования сервисов.
15.3.4. Маркетинговые cookie и технологии — используются для оценки эффективности рекламных кампаний, показа релевантной информации, формирования аудиторий, ограничения частоты показа материалов и выполнения иных маркетинговых задач, если такое использование допускается применимым законодательством и, при необходимости, осуществляется на основании согласия субъекта персональных данных.
15.3.5. Идентификаторы мобильных приложений и устройств — могут использоваться в мобильных приложениях и иных цифровых решениях для авторизации, аналитики, диагностики, безопасности, связи устройства с учетной записью пользователя и выполнения иных законных целей.
15.4. С использованием cookie и иных аналогичных технологий соответствующий оператор может получать, в том числе, следующие данные:

IP-адрес;
дата и время посещения;
сведения о браузере, операционной системе, устройстве и его параметрах;
идентификаторы сессий и устройств;
язык интерфейса;
страна, регион и иные приблизительные географические данные;
сведения о посещенных страницах, разделах, действиях и переходах;
сведения о времени, проведенном на сайте или в сервисе;
сведения о технических ошибках, сбоях и производительности;
иные технические и статистические данные, необходимые для целей, предусмотренных настоящей Политикой.

15.5. Cookie и иные аналогичные технологии могут устанавливаться как самим соответствующим оператором, так и привлеченными им подрядчиками, партнерами, аналитическими сервисами, рекламными платформами, техническими провайдерами и иными третьими лицами, если такое использование необходимо для работы сайта, сервиса, аналитики, маркетинга, безопасности или иных законных целей.
15.6. Если использование отдельных cookie, пикселей, SDK, аналитических или маркетинговых технологий требует получения предварительного согласия пользователя в соответствии с применимым законодательством, соответствующий оператор запрашивает такое согласие в форме, допускаемой применимым законодательством.
15.7. Согласие на использование cookie и аналогичных технологий может выражаться, в том числе:

путем нажатия кнопки согласия в баннере или интерфейсном уведомлении;
путем выбора соответствующих настроек в панели управления cookie;
путем продолжения использования сайта или сервиса в случаях, когда такая форма допускается применимым законодательством;
иным способом, предусмотренным интерфейсом сайта, сервиса, мобильного приложения или применимым законодательством.

15.8. Пользователь вправе в любой момент изменить настройки использования cookie и иных аналогичных технологий:

через настройки браузера;
через интерфейс управления cookie, если такой интерфейс предоставлен;
через настройки устройства или мобильного приложения;
иными доступными техническими способами.

15.9. Отключение обязательных (технических) cookie может привести к ограничению работоспособности сайта, сервиса, отдельных функций, модулей, авторизации, интерфейсов, безопасности и иных компонентов цифровых решений.
15.10. Отключение аналитических, маркетинговых и иных необязательных cookie может повлиять на точность статистики, персонализацию интерфейса, релевантность отображаемой информации, работу отдельных интеграций и удобство использования сайта или сервиса, однако, если иное не следует из характера конкретной функции, не должно препятствовать базовому доступу к основному функционалу.
15.11. Соответствующий оператор вправе использовать обезличенные, агрегированные, статистические и технические данные, полученные с помощью cookie и иных аналогичных технологий, для анализа, мониторинга, улучшения сервисов, оценки производительности, внутренней отчетности, разработки новых функций, обеспечения безопасности и иных законных целей.
15.12. Если аналитические или маркетинговые технологии используются сторонними сервисами, такими сервисами могут самостоятельно устанавливаться правила обработки данных, их хранения, удаления и использования, и в такой части обработка данных может дополнительно регулироваться документами соответствующих третьих лиц.
15.13. Соответствующий оператор вправе в любое время изменять состав используемых cookie, аналитических, маркетинговых и иных аналогичных технологий, если такие изменения необходимы для:

развития сайтов и сервисов;
подключения новых функций;
повышения безопасности;
изменения инфраструктуры;
исполнения требований законодательства;
изменения состава используемых подрядчиков, интеграций, аналитических или технических решений.

15.14. Дополнительные сведения об использовании cookie, аналитических, маркетинговых и иных аналогичных технологий могут содержаться в баннерах, интерфейсных уведомлениях, настройках сервисов, пользовательских соглашениях, технической документации, отдельных уведомлениях и иных документах соответствующего оператора.
16. Безопасность и меры защиты персональных данных
16.1. Соответствующий оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, утраты и иных неправомерных действий в отношении персональных данных.
16.2. Меры защиты персональных данных принимаются с учетом:

характера и объема обрабатываемых персональных данных;
категории субъектов персональных данных;
целей обработки;
применимого законодательства;
регионального сегмента обработки;
используемых сервисов, информационных систем и инфраструктуры;
актуальных угроз безопасности;
вероятности причинения вреда субъектам персональных данных в случае нарушения безопасности данных.

16.3. Соответствующий оператор вправе использовать, в том числе, следующие меры защиты персональных данных:

разграничение прав доступа к персональным данным;
использование учетных записей, ролей и моделей доступа;
применение аутентификации и, при необходимости, многофакторной аутентификации;
журналирование действий пользователей, сотрудников, подрядчиков и иных лиц, имеющих доступ к данным;
контроль доступа к информационным системам, серверам, интерфейсам и административным панелям;
резервное копирование и восстановление данных;
использование средств антивирусной защиты, мониторинга, обнаружения инцидентов и иных технических средств защиты;
шифрование, псевдонимизацию, обезличивание либо иные меры защиты, если это необходимо и применяется соответствующим оператором;
защиту каналов передачи данных;
ограничение физического доступа к серверам, оборудованию, базам данных и носителям информации;
внутренние регламенты, политики, инструкции и процедуры по защите персональных данных;
контроль и аудит соблюдения установленных мер защиты;
иные меры, необходимые для соблюдения требований применимого законодательства и обеспечения безопасности персональных данных.

16.4. Доступ к персональным данным предоставляется только тем лицам, которым он необходим для исполнения служебных, договорных, технических, административных, сервисных или иных законных обязанностей, и только в объеме, необходимом для выполнения соответствующих функций.
16.5. Соответствующий оператор принимает меры по предотвращению несанкционированного доступа к аккаунтам, интерфейсам, сервисам, платформам, административным панелям, базам данных и иным компонентам инфраструктуры, связанным с обработкой персональных данных.
16.6. В целях обеспечения безопасности соответствующий оператор вправе:

контролировать активность пользователей и учетных записей;
анализировать логи, события, инциденты и иные технические сведения;
временно ограничивать доступ к сервисам или данным;
запрашивать подтверждение полномочий и личности;
принудительно изменять параметры доступа;
блокировать подозрительные сессии, устройства, IP-адреса, токены и иные средства доступа;
предпринимать иные разумные действия, направленные на защиту персональных данных и инфраструктуры.

16.7. Соответствующий оператор вправе привлекать подрядчиков, партнеров, провайдеров инфраструктуры, сервисов безопасности, мониторинга, резервного копирования, связи и иных технологических решений, если это необходимо для обеспечения защиты персональных данных, при условии соблюдения требований применимого законодательства и разумных мер контроля.
16.8. Если доступ к персональным данным предоставляется подрядчикам, партнерам, иным компаниям группы либо иным третьим лицам, соответствующий оператор вправе устанавливать для них обязательные требования к конфиденциальности, ограничению доступа, информационной безопасности, соблюдению региональных требований хранения и локализации данных, а также иные условия обработки и защиты персональных данных.
16.9. Соответствующий оператор вправе проводить внутренние проверки, аудит, мониторинг, оценку рисков, анализ защищенности, тестирование процессов и иные мероприятия, направленные на выявление и снижение рисков, связанных с обработкой и защитой персональных данных.
16.10. В случае выявления инцидента, связанного с безопасностью персональных данных, соответствующий оператор вправе:

ограничить доступ к отдельным данным, сервисам, аккаунтам или сегментам;
заблокировать учетные записи, интеграции, сессии или иные каналы доступа;
провести внутреннее расследование;
запросить у клиента, пользователя, подрядчика или иного лица дополнительные сведения;
восстановить данные из резервных копий;
устранить выявленные нарушения и последствия инцидента;
уведомить уполномоченные органы, клиентов, пользователей, субъектов персональных данных либо иные лица, если такое уведомление требуется применимым законодательством или признается необходимым соответствующим оператором;
предпринять иные меры, направленные на защиту прав субъектов персональных данных и восстановление безопасности обработки.

16.11. Соответствующий оператор принимает меры по защите персональных данных как при их автоматизированной обработке, так и при обработке без использования средств автоматизации, включая защиту бумажных носителей, документов, переписки, заявок, договоров, файлов и иных материалов, содержащих персональные данные.
16.12. Пользователи, клиенты, представители клиентов, сотрудники клиентов и иные лица, использующие сервисы, обязаны самостоятельно принимать меры по защите своих средств доступа, включая логины, пароли, коды подтверждения, устройства, адреса электронной почты, телефонные номера, токены, браузерные сессии и иные средства аутентификации.
16.13. Соответствующий оператор не несет ответственность за нарушение безопасности персональных данных, если такое нарушение произошло вследствие:

действий или бездействия самого субъекта персональных данных;
передачи субъектом персональных данных либо клиентом данных доступа третьим лицам;
использования небезопасных устройств, каналов связи, браузеров, программного обеспечения или сетей, находящихся вне контроля соответствующего оператора;
нарушения пользователем, клиентом или иным лицом правил использования сервисов;
действий третьих лиц, подрядчиков, партнеров, интеграционных сервисов, операторов связи, банков, платформ и иных лиц вне зоны разумного контроля соответствующего оператора;
обстоятельств непреодолимой силы;
иных обстоятельств, возникших вне разумного контроля соответствующего оператора, если иное не предусмотрено применимым законодательством.

16.14. При этом соответствующий оператор не гарантирует абсолютную защищенность персональных данных от всех возможных угроз, однако принимает разумные и достаточные меры, направленные на обеспечение надлежащего уровня безопасности персональных данных с учетом применимого законодательства, характера сервисов и объема обрабатываемых данных.
16.15. Дополнительные меры защиты персональных данных, требования к безопасности, правила доступа, регламенты реагирования на инциденты, требования к подрядчикам, пользователям и сотрудникам, а также иные положения, связанные с обеспечением безопасности персональных данных, могут устанавливаться в договорах, офертах, пользовательских соглашениях, внутренних регламентах, технической документации, соглашениях о поручении обработки персональных данных и иных документах соответствующего оператора.
17. Права субъектов персональных данных
17.1. Субъект персональных данных обладает правами в отношении своих персональных данных в объеме, предусмотренном применимым законодательством соответствующего регионального сегмента, настоящей Политикой и иными документами соответствующего оператора.
17.2. Субъект персональных данных вправе, если иное не ограничено применимым законодательством:
17.2.1. получать информацию о факте обработки его персональных данных соответствующим оператором;
17.2.2. получать сведения о целях обработки персональных данных, правовых основаниях обработки, категориях обрабатываемых персональных данных, категориях получателей данных, сроках хранения, источниках получения данных и иных условиях обработки, если предоставление таких сведений предусмотрено применимым законодательством;
17.2.3. требовать уточнения, обновления, исправления или актуализации своих персональных данных, если персональные данные являются неполными, устаревшими, неточными или более не соответствуют заявленным целям обработки;
17.2.4. требовать блокирования персональных данных в случаях, предусмотренных применимым законодательством;
17.2.5. требовать удаления или уничтожения персональных данных в случаях, предусмотренных применимым законодательством;
17.2.6. отзывать ранее предоставленное согласие на обработку персональных данных, если обработка осуществляется на основании такого согласия и если иное не вытекает из применимого законодательства, договора, законных обязанностей соответствующего оператора либо иных самостоятельных правовых оснований обработки;
17.2.7. возражать против обработки персональных данных в случаях и порядке, допускаемых применимым законодательством;
17.2.8. требовать ограничения отдельных способов обработки персональных данных, если такое право предусмотрено применимым законодательством;
17.2.9. получать сведения о лицах, которым были переданы персональные данные, если такое раскрытие допускается применимым законодательством и не нарушает права и законные интересы соответствующего оператора, иных субъектов персональных данных, клиентов, подрядчиков, партнеров или третьих лиц;
17.2.10. обжаловать действия или бездействие соответствующего оператора в уполномоченный орган, суд либо иным способом, предусмотренным применимым законодательством;
17.2.11. осуществлять иные права, предусмотренные применимым законодательством соответствующего регионального сегмента.
17.3. Реализация прав субъекта персональных данных осуществляется с учетом:

применимого оператора;
регионального сегмента обработки;
характера сервиса;
статуса субъекта персональных данных;
источника получения данных;
правовых оснований обработки;
обязательных требований применимого законодательства;
прав и законных интересов соответствующего оператора, клиента, других субъектов персональных данных и иных лиц.

17.4. Если персональные данные были предоставлены соответствующему оператору не самим субъектом персональных данных, а клиентом, представителем клиента, работодателем, законным представителем, родственником, сопровождающим лицом либо иным уполномоченным лицом, соответствующий оператор вправе учитывать характер такой передачи, договорную модель, распределение ролей между сторонами и применимые ограничения при рассмотрении обращения субъекта персональных данных.
17.5. Если персональные данные обрабатываются в сервисах в рамках использования клиентом соответствующего сервиса для собственных целей, соответствующий оператор вправе:

направить субъекта персональных данных к соответствующему клиенту как к лицу, определившему цели и содержание обработки;
рассмотреть обращение совместно с таким клиентом;
запросить дополнительные сведения, подтверждающие связь обращения с конкретным аккаунтом, клиентом, бронированием, поездкой, пользователем либо иным контуром обработки;
ограничить удовлетворение обращения в части, в которой соответствующий оператор не определяет цели и содержание обработки либо не вправе самостоятельно принять решение по существу такого обращения.

17.6. Соответствующий оператор вправе отказать в удовлетворении обращения субъекта персональных данных полностью или частично, если:

такое обращение не позволяет идентифицировать заявителя;
заявитель не подтвердил свою личность или полномочия, когда такое подтверждение необходимо;
удовлетворение обращения невозможно в силу требований применимого законодательства;
персональные данные подлежат обязательному хранению в течение установленного срока;
обработка осуществляется на ином самостоятельном правовом основании, не зависящем от согласия субъекта персональных данных;
удовлетворение обращения нарушит права и законные интересы других лиц;
обращение касается данных, которые соответствующий оператор не обрабатывает либо не может идентифицировать;
обращение является повторным, явно необоснованным, чрезмерным либо злоупотребляет правом;
иные основания отказа предусмотрены применимым законодательством.

17.7. Отзыв согласия на обработку персональных данных не влечет автоматического прекращения обработки в случаях, когда:

обработка необходима для исполнения договора;
обработка необходима для исполнения обязанностей, возложенных на соответствующего оператора законом;
обработка необходима для защиты прав и законных интересов соответствующего оператора, клиента, других субъектов персональных данных или иных лиц;
обработка осуществляется в рамках хранения документов и данных в течение обязательных сроков;
обработка осуществляется на иных законных основаниях, предусмотренных применимым законодательством.

17.8. Субъект персональных данных обязан при направлении обращения предоставить достоверные сведения о себе, а также сведения, достаточные для идентификации соответствующего аккаунта, сервиса, обращения, бронирования, заявки, поездки, пользователя либо иного процесса обработки, если такие сведения необходимы для рассмотрения обращения.
17.9. Если обращение связано с удалением, блокированием, ограничением обработки либо изменением персональных данных, соответствующий оператор вправе до исполнения такого обращения:

запросить уточнение требований;
запросить подтверждающие документы;
проверить полномочия заявителя;
оценить наличие иных правовых оснований для продолжения обработки;
уведомить клиента, если данные обрабатываются в рамках B2B-сервиса и такое уведомление допустимо по закону;
принять иные действия, необходимые для соблюдения применимого законодательства и защиты прав сторон.

17.10. Если удовлетворение требования субъекта персональных данных затрагивает работоспособность сервиса, данные других лиц, целостность учета, безопасность обработки, исполнение договоров, требования локализации, журналирование, хранение резервных копий либо иные обязательные процессы, соответствующий оператор вправе исполнить такое требование в допустимом законом объеме и способом, который обеспечивает баланс интересов субъекта персональных данных и иных затронутых лиц.
17.11. Реализация прав субъекта персональных данных осуществляется безвозмездно, если иное не допускается применимым законодательством в случаях повторных, чрезмерных, необоснованных либо технически сложных обращений.
17.12. Порядок подачи обращений, перечень необходимых сведений, применимые контакты, правила идентификации заявителя, сроки рассмотрения обращений и иные процедурные вопросы определяются настоящей Политикой, внутренними процедурами соответствующего оператора и применимым законодательством.

18. Порядок подачи запросов и обращений по вопросам персональных данных
18.1. Субъект персональных данных вправе направить запрос, обращение, требование, отзыв согласия, заявление об уточнении, блокировании, удалении персональных данных, жалобу либо иное сообщение, связанное с обработкой его персональных данных, соответствующему оператору по контактам, указанным в настоящей Политике.
18.2. Обращения по вопросам обработки персональных данных могут направляться:

по электронной почте;
через формы обратной связи;
через helpdesk;
через интерфейсы сервисов, если такой функционал предусмотрен;
почтовым отправлением;
иными способами, допускаемыми соответствующим оператором и применимым законодательством.

18.3. Для Республики Казахстан и всех стран, кроме Российской Федерации и Республики Узбекистан, обращения по вопросам персональных данных могут направляться:

на email: support@solncetur.com;
через форму обратной связи: https://solncetur.kz/support.

18.4. Для Российской Федерации обращения по вопросам персональных данных могут направляться:

на email: support@solncetur.ru;
через форму обратной связи: https://solncetur.ru/support.
по почтовому адресу: 153000, Российская Федерация, Ивановская область, г. Иваново, ул. Варенцовой, д. 9/18, оф. 412, если иной адрес не указан соответствующим оператором дополнительно.

18.5. Для Республики Узбекистан обращения по вопросам персональных данных могут направляться:

на email: support@tourvision.uk;
через форму обратной связи: https://tour.vision/support.

18.6. Обращение субъекта персональных данных должно содержать сведения, достаточные для его рассмотрения, включая, при необходимости:

фамилию, имя, отчество заявителя;
контактные данные для обратной связи;
указание на соответствующий сервис, сайт, аккаунт, заявку, бронирование, поездку, обращение либо иной процесс, к которому относится запрос;
описание существа обращения и требование заявителя;
сведения, позволяющие идентифицировать заявителя и определить соответствующего оператора;
документы или материалы, подтверждающие доводы заявителя, если это необходимо.

18.7. Соответствующий оператор вправе запросить у заявителя дополнительные сведения, документы или подтверждения, если без них невозможно:

идентифицировать заявителя;
установить его полномочия;
определить применимого оператора;
установить связь обращения с конкретными персональными данными, сервисом, аккаунтом, заявкой, бронированием, поездкой или иным процессом обработки;
исполнить обращение в соответствии с применимым законодательством.

18.8. Если обращение направляется представителем субъекта персональных данных, соответствующий оператор вправе запросить документы, подтверждающие полномочия такого представителя, в объеме, необходимом для рассмотрения обращения.
18.9. Если обращение касается персональных данных, обрабатываемых в сервисах в рамках использования клиентом B2B-сервиса для собственных целей, соответствующий оператор вправе:

запросить сведения о клиенте, аккаунте, пользователе, офисе, заявке, бронировании или ином контуре обработки;
привлечь соответствующего клиента к рассмотрению обращения, если это допустимо применимым законодательством;
перенаправить заявителя к клиенту, если такой клиент определяет цели и содержание соответствующей обработки;
рассмотреть обращение совместно с клиентом либо в пределах собственной зоны ответственности.

18.10. Если обращение поступило не тому оператору, который является применимым в отношении соответствующего регионального сегмента, получивший обращение оператор вправе:

перенаправить обращение применимому оператору;
уведомить заявителя о необходимости обращения к иному оператору;
запросить уточняющие сведения;
обработать обращение совместно с применимым оператором, если это допускается законодательством и внутренними процедурами группы.

18.11. Обращения рассматриваются в сроки, предусмотренные применимым законодательством соответствующего регионального сегмента. Если применимое законодательство не устанавливает конкретного срока, обращение рассматривается в разумный срок с учетом характера обращения, объема запрашиваемых данных, необходимости идентификации заявителя, взаимодействия с клиентом, подрядчиком, партнером, иной компанией группы либо уполномоченным органом.
18.12. Ответ на обращение может быть предоставлен:

по электронной почте;
через helpdesk;
через интерфейс сервиса;
почтовым отправлением;
иным способом, позволяющим довести ответ до заявителя и, при необходимости, подтвердить факт его направления.

18.13. Соответствующий оператор вправе отказать в рассмотрении обращения либо оставить его без удовлетворения полностью или частично в случаях, предусмотренных настоящей Политикой и применимым законодательством, в том числе если:

обращение не позволяет идентифицировать заявителя;
заявитель не подтвердил свои полномочия;
обращение не содержит достаточных сведений для его рассмотрения;
соответствующий оператор не обрабатывает указанные персональные данные;
обращение явно необоснованно, повторно, чрезмерно либо носит злоупотребительный характер;
удовлетворение обращения невозможно в силу требований законодательства, обязательств по хранению данных, защиты прав иных лиц либо иных законных оснований.

18.14. Если для рассмотрения обращения требуется участие подрядчиков, партнеров, клиентов, иных компаний группы, внешних сервисов либо уполномоченных органов, срок рассмотрения обращения может определяться с учетом такого взаимодействия в пределах, допускаемых применимым законодательством.
18.15. Соответствующий оператор вправе вести учет поступивших обращений, запросов, отзывов согласия, заявлений, жалоб и иных сообщений, а также хранить сведения о содержании обращения, ходе его рассмотрения, результатах и принятых мерах в целях соблюдения законодательства, защиты прав субъектов персональных данных и обеспечения качества обработки обращений.
18.16. Направление обращения по вопросам персональных данных не приостанавливает автоматически обработку персональных данных, использование сервисов, исполнение договоров, действие аккаунтов, выставление счетов, обработку бронирований, предоставление доступа к сервисам и иные процессы, если иное прямо не предусмотрено применимым законодательством либо не вытекает из существа удовлетворенного требования заявителя.
18.17. Дополнительные требования к форме, содержанию, способу подачи, идентификации заявителя, подтверждению полномочий, срокам рассмотрения и порядку ответа на обращения могут определяться применимым законодательством соответствующего регионального сегмента, внутренними процедурами соответствующего оператора и иными документами, регулирующими соответствующую обработку персональных данных.
19. Сроки хранения, архивирование, блокирование, удаление и уничтожение персональных данных
19.1. Соответствующий оператор хранит персональные данные не дольше, чем этого требуют цели обработки, настоящая Политика, договоры, оферты, условия использования сервисов, внутренние процедуры соответствующего оператора и применимое законодательство.
19.2. Срок хранения персональных данных определяется с учетом:

цели обработки;
категории субъекта персональных данных;
категории персональных данных;
регионального сегмента обработки;
используемого сервиса;
договорной модели;
срока действия договора, подписки, аккаунта, заявки, бронирования, обучения, обращения или иного процесса;
требований применимого законодательства;
сроков обязательного хранения документов и сведений;
необходимости защиты прав и законных интересов соответствующего оператора, клиента, пользователя, субъекта персональных данных и иных лиц;
необходимости резервного копирования, архивирования, журналирования и восстановления данных.

19.3. Персональные данные могут храниться в течение:

срока, необходимого для достижения целей обработки;
срока действия договорных отношений;
срока использования аккаунта, сервиса, подписки, модуля или иного цифрового решения;
срока рассмотрения обращения, жалобы, запроса, претензии, спора или иного сообщения;
срока действия бронирования, поездки, обучения, поддержки, интеграции либо иного процесса;
срока, установленного применимым законодательством для хранения документов, сведений, журналов, отчетности, бухгалтерской, налоговой, договорной и иной информации;
иного срока, необходимого для соблюдения требований законодательства и защиты прав и законных интересов соответствующего оператора.

19.4. Персональные данные посетителей сайтов, лиц, направивших обращение, заявку, запрос, сообщение либо иную коммуникацию, хранятся в течение срока, необходимого для обработки такого обращения, исполнения связанных с ним обязательств, последующего взаимодействия, внутреннего учета и соблюдения требований законодательства, если более длительный срок не требуется в связи с договорными отношениями, спором, обязательным хранением либо иным законным основанием.
19.5. Персональные данные клиентов, их представителей, работников, пользователей аккаунтов и иных лиц, связанных с договорным или сервисным контуром, хранятся в течение срока действия соответствующих отношений, а также после их прекращения в течение срока, необходимого для:

исполнения обязательств;
ведения учета и документооборота;
соблюдения обязательных сроков хранения;
разрешения возможных споров;
подтверждения факта оказания услуг, предоставления доступа, оплаты, использования сервисов и иных юридически значимых обстоятельств;
защиты прав и законных интересов соответствующего оператора.

19.6. Персональные данные, содержащиеся в аккаунтах, заявках, бронированиях, карточках клиентов, сообщениях, документах, вложениях, файлах, обучающих материалах, результатах обучения, журналах событий, логах, отчетах и иных сущностях сервисов, хранятся в течение срока использования соответствующего сервиса, аккаунта, клиентского контура, а также в течение дополнительных сроков хранения, необходимых для исполнения обязательств, соблюдения законодательства, резервного копирования, архивирования, безопасности и защиты прав.
19.7. Если клиент прекращает использование сервиса, не продлевает подписку, теряет доступ к аккаунту либо соответствующий сервис блокируется или отключается, персональные данные, относящиеся к такому аккаунту или клиентскому контуру, могут храниться в течение срока, установленного договором, офертой, настоящей Политикой, внутренними правилами соответствующего оператора и применимым законодательством.
19.8. Если иной срок прямо не установлен договором, офертой, внутренними правилами соответствующего оператора либо применимым законодательством, персональные данные, связанные с аккаунтом клиента, доступ к которому прекращен или заблокирован, могут храниться в течение 60 (шестидесяти) календарных дней с даты блокировки, отключения либо прекращения доступа, после чего соответствующий оператор вправе удалить, обезличить, архивировать либо иным образом прекратить их активную обработку.
19.9. В течение срока, указанного в пункте 19.8 настоящей Политики, клиент либо субъект персональных данных, если это допускается применимым законодательством и характером соответствующей обработки, вправе обратиться к соответствующему оператору с запросом о:

выгрузке данных;
удалении данных;
блокировании данных;
уточнении данных;
ином обращении с данными, если такое обращение не противоречит законодательству, правам третьих лиц, обязательным срокам хранения и внутренним процедурам соответствующего оператора.

19.10. По истечении сроков хранения соответствующий оператор вправе:

удалить персональные данные;
уничтожить персональные данные;
обезличить персональные данные;
перевести персональные данные в архив;
ограничить доступ к персональным данным;
прекратить их активное использование;
осуществить иные действия, предусмотренные применимым законодательством и внутренними процедурами.

19.11. Архивирование персональных данных допускается в случаях, когда:

активная обработка данных более не требуется;
данные должны храниться в силу закона;
данные необходимы для подтверждения исполнения обязательств;
данные могут потребоваться для защиты прав и законных интересов соответствующего оператора;
данные включены в резервные копии, архивные хранилища, журналирование или иные технические процессы хранения;
архивирование необходимо для соблюдения принципов безопасности, учета, документирования, восстановления и непрерывности работы сервисов.

19.12. При архивировании персональных данных соответствующий оператор вправе ограничить доступ к таким данным, вывести их из активного пользовательского интерфейса, перевести в режим ограниченного доступа либо хранить их только в составе резервных, архивных, бухгалтерских, юридических, технических или иных служебных контуров.
19.13. Блокирование персональных данных допускается, в том числе, в случаях:

получения обращения субъекта персональных данных;
проверки достоверности данных;
проверки правовых оснований обработки;
рассмотрения спора, жалобы, претензии либо требования;
выявления инцидента безопасности;
необходимости временного ограничения обработки по требованию закона, уполномоченного органа либо внутренней процедуры соответствующего оператора.

19.14. Удаление или уничтожение персональных данных не осуществляется, если:

соответствующий оператор обязан хранить такие данные в силу закона;
данные необходимы для исполнения действующего договора;
данные необходимы для рассмотрения спора, претензии, жалобы, обращения либо судебного или иного разбирательства;
данные содержатся в документах, подлежащих обязательному хранению;
данные включены в резервные копии, журналы, архивы либо иные технические контуры, немедленное удаление из которых объективно невозможно либо не требуется по закону;
обработка допускается на иных самостоятельных правовых основаниях.

19.15. Если удаление персональных данных из резервных копий, архивов, журналов, технических систем, логов или иных служебных контуров не может быть произведено немедленно, соответствующий оператор вправе удалить такие данные по мере завершения соответствующих циклов хранения, архивирования, ротации резервных копий, обновления инфраструктуры или иных технических процессов.
19.16. Персональные данные могут храниться в обезличенном виде после прекращения активной обработки, если такое хранение необходимо для статистики, аналитики, мониторинга, улучшения сервисов, внутренней отчетности, разработки новых функций, обеспечения безопасности и иных законных целей, при условии, что из таких данных невозможно прямо или косвенно определить конкретного субъекта персональных данных без использования дополнительной информации.
19.17. Сроки хранения отдельных категорий персональных данных могут различаться в зависимости от:

регионального сегмента;
применимого законодательства;
используемого сервиса;
статуса клиента, пользователя или субъекта персональных данных;
характера обращения, заявки, бронирования, поездки, обучения, коммуникации или иного процесса;
состава договорных обязательств;
требований к бухгалтерскому, налоговому, юридическому и иному обязательному хранению;
наличия споров, претензий, проверок, расследований, инцидентов безопасности и иных значимых обстоятельств.

19.18. Сведения о сроках хранения персональных данных могут дополнительно определяться и конкретизироваться в договорах, офертах, пользовательских соглашениях, условиях использования сервисов, соглашениях о поручении обработки персональных данных, внутренних регламентах, правилах документооборота, технической документации и иных документах соответствующего оператора.
19.19. После достижения целей обработки либо утраты необходимости в достижении таких целей соответствующий оператор прекращает обработку персональных данных и обеспечивает их удаление, уничтожение, обезличивание, архивирование либо иное законное завершение обработки в порядке, предусмотренном настоящей Политикой, внутренними процедурами и применимым законодательством.
20. Персональные данные детей и совместных поездок
20.1. Соответствующий оператор вправе обрабатывать персональные данные детей и иных несовершеннолетних лиц исключительно в объеме, необходимом для достижения законных и заранее определенных целей обработки, связанных с использованием сервисов, оформлением заявок, бронирований, поездок, сопровождением путешествий, исполнением договоров, соблюдением требований законодательства и иными законными процессами.
20.2. Обработка персональных данных детей и иных несовершеннолетних лиц допускается, в том числе, в следующих целях:

включение несовершеннолетнего лица в заявку, бронирование, поездку или иной связанный процесс;
оформление туристических, транспортных, гостиничных, страховых, визовых и иных сопутствующих услуг;
подтверждение состава путешествующих лиц;
оформление документов, необходимых для поездки;
сопровождение поездки, маршрута, проживания, трансфера и иных услуг;
исполнение требований законодательства, а также требований контрагентов, участвующих в оформлении и сопровождении поездки;
иные законные цели, непосредственно связанные с оказанием соответствующих услуг и использованием сервисов.

20.3. Персональные данные детей и иных несовершеннолетних лиц могут передаваться соответствующему оператору:

родителями;
усыновителями;
опекунами;
попечителями;
иными законными представителями;
совершеннолетними сопровождающими лицами;
клиентами, представителями клиентов, пользователями сервисов и иными лицами, действующими на законных основаниях и обладающими необходимыми полномочиями для передачи таких данных.

20.4. Соответствующий оператор исходит из того, что лицо, передающее персональные данные ребенка или иного несовершеннолетнего лица, обладает всеми необходимыми правами, полномочиями, согласиями и иными законными основаниями для такой передачи и последующей обработки соответствующих данных.
20.5. Соответствующий оператор не осуществляет целенаправленный сбор персональных данных детей и иных несовершеннолетних лиц вне случаев, когда такая обработка объективно необходима для оказания услуг, использования сервисов, оформления заявок, бронирований, поездок, сопровождения клиентов либо исполнения требований законодательства.
20.6. В зависимости от конкретной цели обработки соответствующий оператор может обрабатывать, в том числе, следующие персональные данные детей и иных несовершеннолетних лиц:

фамилию, имя, отчество;
дату рождения;
гражданство;
сведения о документе, удостоверяющем личность;
данные, необходимые для бронирования, поездки, страхования, визового сопровождения, размещения, перевозки и иных сопутствующих процессов;
сведения о связи с родителями, законными представителями или сопровождающими лицами;
иные данные, необходимые и достаточные для достижения соответствующей цели обработки.

20.7. Соответствующий оператор применяет к персональным данным детей и иных несовершеннолетних лиц те же принципы законности, соразмерности, минимизации, ограничения целей обработки, конфиденциальности и безопасности, что и к иным персональным данным, с учетом требований применимого законодательства и повышенной чувствительности таких данных.
20.8. Персональные данные детей и иных несовершеннолетних лиц могут передаваться третьим лицам, подрядчикам, партнерам, интеграционным сервисам, туроператорам, гостиницам, перевозчикам, страховым компаниям, государственным органам и иным получателям только в объеме, необходимом для достижения целей обработки, оформления и сопровождения соответствующих услуг, исполнения обязательств и соблюдения требований законодательства.
20.9. Если применимое законодательство требует получения отдельного согласия, подтверждения полномочий законного представителя либо соблюдения иных специальных условий при обработке персональных данных детей и иных несовершеннолетних лиц, соответствующий оператор осуществляет такую обработку с учетом указанных требований.
20.10. Если соответствующему оператору станет известно, что персональные данные ребенка или иного несовершеннолетнего лица были переданы без достаточных правовых оснований, с нарушением закона либо в объеме, очевидно не соответствующем целям обработки, соответствующий оператор вправе:

запросить подтверждение полномочий и законных оснований;
ограничить обработку соответствующих данных;
удалить такие данные;
отказать в предоставлении соответствующего сервиса или функции до устранения нарушений;
принять иные меры, предусмотренные применимым законодательством и внутренними процедурами.

20.11. Права в отношении персональных данных детей и иных несовершеннолетних лиц реализуются их законными представителями либо иными лицами в случаях, допускаемых применимым законодательством, с учетом требований настоящей Политики, порядка идентификации заявителя, подтверждения полномочий и иных обязательных условий.
20.12. Сроки хранения, порядок блокирования, удаления, архивирования, обезличивания и иные условия обработки персональных данных детей и иных несовершеннолетних лиц определяются в соответствии с настоящей Политикой, характером соответствующей услуги, договорной моделью, требованиями законодательства и необходимостью защиты прав и законных интересов субъектов персональных данных, клиентов, пользователей и соответствующего оператора.

21. Сообщения, файлы, пользовательский контент и коммуникации
21.1. В рамках использования сервисов соответствующий оператор может обрабатывать персональные данные, содержащиеся в сообщениях, переписке, файлах, документах, вложениях, комментариях, заявках, карточках клиентов, задачах, отчетах, учебных материалах, обращениях, формах, чатах, заметках и иных материалах, создаваемых, загружаемых, передаваемых, сохраняемых или иным образом используемых в сервисах.
21.2. К таким данным могут относиться, в том числе:

текст сообщений;
вложенные файлы и документы;
изображения, сканы, аудио-, видео- и иные материалы;
комментарии, заметки, внутренние записи и служебные пометки;
сведения о заявках, бронированиях, поездках, клиентах, пользователях и сотрудниках;
данные, содержащиеся в чатах, тикетах, переписке, заявках на поддержку и иных коммуникационных объектах;
данные, содержащиеся в учебных материалах, тестах, результатах обучения, оценках и связанных с ними материалах;
иные сведения, включенные пользователями, клиентами, представителями клиентов и иными лицами в пользовательский контент и коммуникации.

21.3. Соответствующий оператор обрабатывает такие данные в целях:

обеспечения функционирования сервисов;
отображения, хранения, передачи и систематизации пользовательского контента;
организации и сопровождения коммуникаций;
предоставления доступа к сообщениям, файлам, обращениям и иным материалам в интерфейсах сервисов;
технической поддержки, диагностики и устранения ошибок;
информационной безопасности, журналирования и предотвращения злоупотреблений;
исполнения договоров, заявок, бронирований, обучающих процессов и иных обязательств;
соблюдения требований законодательства;
защиты прав и законных интересов соответствующего оператора, клиентов, пользователей и иных лиц.

21.4. Если сообщения, файлы, пользовательский контент и иные материалы создаются или загружаются в сервисы клиентом, пользователем сервиса, представителем клиента либо иным лицом, такое лицо самостоятельно несет ответственность за:

законность размещения соответствующих материалов;
наличие прав и полномочий на их передачу и использование;
соблюдение требований законодательства о персональных данных, конфиденциальности, коммерческой тайне, авторских правах и иных применимых требований;
отсутствие в таких материалах сведений, размещение которых запрещено законом или условиями использования сервисов.

21.5. Соответствующий оператор не осуществляет предварительную сплошную проверку всех сообщений, файлов, документов, комментариев и иных материалов, размещаемых в сервисах, однако вправе осуществлять выборочную, автоматизированную, техническую, сервисную или иную проверку таких материалов в случаях, когда это необходимо для:

обеспечения безопасности сервисов;
диагностики и устранения ошибок;
рассмотрения обращений, жалоб, претензий и инцидентов;
исполнения требований законодательства;
предотвращения нарушений прав и законных интересов соответствующего оператора, клиентов, пользователей и иных лиц;
обеспечения корректной работы сервисов и интеграций.

21.6. Соответствующий оператор вправе получать доступ к сообщениям, файлам, пользовательскому контенту и иным коммуникационным материалам в объеме, необходимом для:

обработки обращений через helpdesk;
технической поддержки;
сопровождения клиента;
расследования инцидентов безопасности;
устранения технических сбоев;
выполнения требований законодательства;
защиты прав и законных интересов соответствующего оператора;
исполнения договорных обязательств;
работы интеграций, если такой доступ необходим для их функционирования.

21.7. Доступ к сообщениям, файлам, пользовательскому контенту и иным коммуникационным материалам предоставляется только уполномоченным лицам в объеме, необходимом для выполнения соответствующих функций, с учетом принципа минимально необходимого доступа.
21.8. Соответствующий оператор вправе хранить сообщения, файлы, пользовательский контент и иные коммуникационные материалы в течение сроков, определяемых:

настоящей Политикой;
условиями использования соответствующего сервиса;
договором, офертой или иной договорной документацией;
внутренними правилами соответствующего оператора;
требованиями применимого законодательства;
необходимостью обеспечения резервного копирования, архивирования, безопасности, разрешения споров, рассмотрения обращений и защиты прав и законных интересов.

21.9. Если сообщения, файлы, пользовательский контент или иные коммуникационные материалы содержат персональные данные третьих лиц, лицо, разместившее такие материалы, подтверждает наличие у него законных оснований для включения соответствующих данных в сервисы.
21.10. Соответствующий оператор вправе ограничить доступ к сообщениям, файлам, пользовательскому контенту и иным коммуникационным материалам, заблокировать их, удалить, архивировать либо иным образом прекратить их обработку в случаях, если:

такие материалы размещены с нарушением законодательства;
такие материалы нарушают права и законные интересы третьих лиц;
такие материалы содержат вредоносный код, запрещенную информацию либо создают угрозу безопасности;
дальнейшее хранение или использование таких материалов невозможно или недопустимо по закону;
поступило надлежащее требование уполномоченного органа;
это необходимо для исполнения настоящей Политики, условий использования сервисов, договорных обязательств либо внутренних процедур соответствующего оператора.

21.11. Если сообщения, файлы, пользовательский контент или иные коммуникационные материалы обрабатываются в рамках B2B-сервиса в интересах клиента, соответствующий оператор вправе учитывать указания клиента, договорную модель и распределение ролей между сторонами при решении вопросов о доступе, удалении, блокировании, выгрузке либо ином обращении с такими материалами, если это допускается применимым законодательством.
21.12. Соответствующий оператор вправе использовать технические и организационные средства для:

хранения и маршрутизации сообщений;
индексации файлов и документов;
обеспечения поиска по сервисам;
учета обращений и переписки;
формирования журналов событий;
обеспечения восстановления данных;
контроля целостности пользовательского контента;
ограничения доступа к отдельным категориям коммуникационных материалов.

21.13. Если соответствующий сервис предусматривает обмен сообщениями, загрузку файлов, хранение вложений, проведение обучения, ведение helpdesk-тикетов либо иные формы пользовательского контента, субъект персональных данных, клиент и пользователь понимают и соглашаются, что обработка соответствующих материалов является необходимой частью функционирования такого сервиса.
21.14. Дополнительные правила обработки сообщений, файлов, пользовательского контента, переписки, обращений и иных коммуникационных материалов могут устанавливаться в условиях использования сервисов, договорах, офертах, регламентах работы helpdesk, правилах использования Messenger, Academy и иных сервисов, а также в иных документах соответствующего оператора
22. Маркетинг, рассылки, уведомления и коммуникации
22.1. Соответствующий оператор вправе направлять субъектам персональных данных, клиентам, пользователям, представителям клиентов и иным лицам сообщения, уведомления и иные коммуникации, связанные с использованием сайтов, сервисов, программного обеспечения, аккаунтов, заявок, бронирований, обучающих решений, helpdesk, договоров и иных процессов взаимодействия.
22.2. Коммуникации, направляемые соответствующим оператором, могут подразделяться на:

сервисные;
организационные;
договорные;
расчетные;
технические;
информационные;
маркетинговые;
иные виды коммуникаций, допускаемые применимым законодательством.

22.3. К сервисным, организационным, договорным, расчетным и техническим коммуникациям могут относиться, в том числе:

уведомления о регистрации, авторизации, подтверждении аккаунта и изменении параметров доступа;
уведомления о работе сервисов, технических работах, изменениях функционала, инцидентах безопасности и иных событиях, влияющих на использование сервисов;
уведомления о подключении, настройке, сопровождении, обучении, helpdesk-обращениях и иных действиях, связанных с использованием сервисов;
уведомления о заявках, бронированиях, поездках, обращениях, файлах, сообщениях, задачах, документах и иных действиях в сервисах;
уведомления о счетах, оплатах, задолженности, актах, закрывающих документах, подписке, тарифах, конфигурации и иных договорных и расчетных вопросах;
ответы на запросы, обращения, жалобы, претензии, отзывы и иные сообщения;
иные сообщения, необходимые для исполнения договора, оферты, предоставления сервиса, соблюдения требований законодательства и защиты прав и законных интересов соответствующего оператора.

22.4. Сервисные, организационные, договорные, расчетные и технические коммуникации могут направляться без отдельного дополнительного согласия субъекта персональных данных в той мере, в которой такие коммуникации необходимы для исполнения договора, предоставления сервиса, сопровождения аккаунта, соблюдения законодательства, обеспечения безопасности, обработки обращений либо достижения иных законных целей обработки персональных данных.
22.5. К маркетинговым и информационным коммуникациям могут относиться, в том числе:

сообщения о продуктах, услугах, сервисах, модулях, функциях и возможностях;
предложения о подключении, продлении, расширении конфигурации, тарифах, скидках, акциях, специальных условиях и иных коммерческих предложениях;
новости, обзоры, анонсы, обучающие материалы, вебинары, мероприятия, обновления сервисов и иные материалы рекламного или информационного характера;
персонализированные предложения, если их направление допускается применимым законодательством;
иные сообщения маркетингового, рекламного или информационного характера.

22.6. Маркетинговые и информационные коммуникации направляются соответствующим оператором при наличии правового основания, предусмотренного применимым законодательством, включая согласие субъекта персональных данных, если такое согласие требуется.
22.7. Субъект персональных данных вправе отказаться от получения маркетинговых и информационных коммуникаций:

путем использования ссылки или функции отказа, если она предусмотрена в соответствующем сообщении;
путем изменения настроек в интерфейсе сервиса, если такой функционал предусмотрен;
путем направления обращения соответствующему оператору;
иным способом, допускаемым соответствующим оператором и применимым законодательством.

22.8. Отказ от получения маркетинговых и информационных коммуникаций не влияет на возможность получения сервисных, организационных, договорных, расчетных и технических сообщений, если такие сообщения необходимы для использования сервисов, исполнения обязательств, обеспечения безопасности, обработки обращений либо соблюдения требований законодательства.
22.9. Соответствующий оператор вправе использовать для направления коммуникаций, в том числе:

электронную почту;
телефонную связь;
SMS;
мессенджеры;
push-уведомления;
интерфейсы сервисов;
уведомления в аккаунте;
helpdesk;
иные каналы связи, предоставленные субъектом персональных данных, клиентом, пользователем либо используемые в рамках соответствующего сервиса.

22.10. Соответствующий оператор вправе обрабатывать персональные данные, связанные с коммуникациями, в том числе:

контактные данные;
сведения о канале связи;
сведения о факте отправки, доставки, открытия, просмотра, перехода, ответа и ином взаимодействии с сообщением;
историю коммуникаций;
содержание запросов, обращений и ответов;
иные данные, необходимые для организации, отправки, учета и анализа коммуникаций.

22.11. Соответствующий оператор вправе использовать коммуникационные, аналитические, маркетинговые, антиспамовые, технические и иные сервисы для направления сообщений, оценки их доставки, взаимодействия с ними, обеспечения безопасности коммуникаций, предотвращения мошенничества и повышения качества взаимодействия с пользователями и клиентами.
22.12. Если коммуникации направляются через подрядчиков, партнеров, коммуникационные платформы, email-сервисы, операторов связи, push-сервисы, мессенджеры или иные внешние решения, соответствующий оператор вправе передавать таким лицам персональные данные в объеме, необходимом для организации и сопровождения соответствующих коммуникаций, при наличии правового основания и соблюдении требований применимого законодательства.
22.13. Соответствующий оператор вправе сегментировать аудиторию получателей коммуникаций по признакам, связанным с:

региональным сегментом;
используемым сервисом;
статусом клиента или пользователя;
наличием аккаунта, подписки, заявки, бронирования, обращения, обучения или иной формы взаимодействия;
интересом к продуктам и услугам;
историей использования сервисов;
иными законными критериями, допускаемыми применимым законодательством.

22.14. Если применимое законодательство соответствующего регионального сегмента требует отдельного порядка получения согласия на маркетинговые коммуникации, специальных правил для электронной рекламы, ограничений по отдельным каналам связи либо иных обязательных условий, соответствующий оператор осуществляет направление таких коммуникаций с учетом указанных требований.
22.15. Соответствующий оператор вправе хранить сведения о согласиях, отказах, настройках коммуникаций, истории направления сообщений, доставке, взаимодействии с сообщениями и иных параметрах коммуникаций в течение срока, необходимого для исполнения обязательств, соблюдения законодательства, подтверждения правомерности коммуникаций, разрешения споров и защиты прав и законных интересов соответствующего оператора.
22.16. Дополнительные правила направления маркетинговых, информационных, сервисных, договорных, расчетных и иных коммуникаций могут устанавливаться в договорах, офертах, пользовательских соглашениях, интерфейсных уведомлениях, настройках аккаунта, отдельных согласиях, правилах использования сервисов и иных документах соответствующего оператора.
23. Жалобы, уполномоченные органы и защита прав
23.1. Субъект персональных данных, клиент, пользователь либо иное лицо, считающее, что его права и законные интересы в сфере обработки персональных данных нарушены, вправе обратиться к соответствующему оператору с жалобой, претензией, запросом, требованием либо иным обращением в порядке, установленном настоящей Политикой и применимым законодательством.
23.2. Соответствующий оператор рассматривает обращения, связанные с обработкой персональных данных, в пределах своей компетенции, применимого регионального сегмента, фактической роли в обработке персональных данных и с учетом требований законодательства соответствующей страны.
23.3. Если обращение связано с персональными данными, обрабатываемыми в рамках использования сервисов клиентом для собственных целей, соответствующий оператор вправе:

рассмотреть обращение в пределах своей зоны ответственности;
запросить дополнительные сведения у клиента, если это допускается применимым законодательством;
предложить заявителю обратиться также к соответствующему клиенту;
обработать обращение совместно с клиентом либо перенаправить его в допустимом законом порядке.

23.4. Если жалоба, претензия или обращение поступили не тому оператору, который является применимым в отношении соответствующего регионального сегмента, получивший обращение оператор вправе:

перенаправить обращение применимому оператору;
уведомить заявителя о необходимости обращения к иному оператору;
запросить уточняющие сведения;
рассмотреть обращение совместно с иным оператором группы, если это допускается законодательством и внутренними процедурами.

23.5. Если субъект персональных данных не согласен с действиями или бездействием соответствующего оператора, он вправе использовать предусмотренные применимым законодательством способы защиты своих прав, включая обращение:

в уполномоченный государственный орган;
в суд;
в иной компетентный орган или инстанцию, если такой способ предусмотрен применимым законодательством.

23.6. Для Республики Казахстан субъект персональных данных вправе защищать свои права и законные интересы в порядке, установленном законодательством Республики Казахстан, включая обращение в уполномоченные государственные органы и суд.
23.7. Для Российской Федерации субъект персональных данных вправе обращаться в уполномоченный орган по защите прав субъектов персональных данных, а также использовать иные способы защиты прав, предусмотренные законодательством Российской Федерации.
23.8. Для Республики Узбекистан субъект персональных данных вправе защищать свои права и законные интересы в порядке, установленном законодательством Республики Узбекистан, включая обращение в уполномоченные органы и суд.
23.9. Соответствующий оператор вправе хранить сведения о жалобах, претензиях, запросах, обращениях, результатах их рассмотрения, принятых мерах, переписке, документах, внутренних заключениях и иных материалах, связанных с защитой прав субъектов персональных данных, в течение срока, необходимого для:

соблюдения законодательства;
подтверждения правомерности действий оператора;
урегулирования споров;
рассмотрения повторных обращений;
защиты прав и законных интересов соответствующего оператора и иных лиц.

23.10. Если рассмотрение жалобы, претензии или иного обращения требует участия иных компаний группы, клиентов, подрядчиков, партнеров, внешних сервисов, интеграционных платформ, уполномоченных органов либо иных лиц, соответствующий оператор вправе взаимодействовать с такими лицами в объеме, необходимом для рассмотрения обращения, при наличии правового основания и с соблюдением требований применимого законодательства.
23.11. Направление жалобы, претензии, запроса или иного обращения не прекращает автоматически обработку персональных данных, действие договора, оферты, аккаунта, подписки, заявки, бронирования, доступа к сервисам либо иных отношений, если иное прямо не предусмотрено применимым законодательством или не вытекает из удовлетворенного требования заявителя.
23.12. Соответствующий оператор принимает разумные меры для досудебного урегулирования вопросов, связанных с обработкой персональных данных, однако субъект персональных данных сохраняет право на использование иных способов защиты прав, предусмотренных применимым законодательством.

24. Изменение Политики
24.1. Соответствующий оператор вправе вносить изменения и дополнения в настоящую Политику в одностороннем порядке.
24.2. Новая редакция Политики вступает в силу с момента ее размещения на соответствующем сайте, в интерфейсе сервиса либо в ином официальном источнике соответствующего оператора, если иной срок вступления в силу прямо не указан в новой редакции Политики.
24.3. Соответствующий оператор вправе изменять настоящую Политику, в том числе, в случаях:

изменения применимого законодательства;
изменения состава операторов, компаний группы, подрядчиков, партнеров либо интеграций;
изменения архитектуры сервисов, инфраструктуры, доменов, интерфейсов, мобильных приложений и иных цифровых решений;
изменения целей, способов, состава или условий обработки персональных данных;
введения новых сервисов, модулей, функций, интеграций, каналов коммуникации либо способов взаимодействия;
изменения порядка локализации, хранения, маршрутизации, передачи, защиты либо удаления персональных данных;
изменения внутренних процедур, регламентов и процессов обработки персональных данных;
иных обстоятельств, требующих обновления настоящей Политики.

24.4. Актуальная редакция Политики подлежит размещению в открытом доступе на соответствующем сайте, либо в ином официальном источнике соответствующего оператора, через который обеспечивается доступ к Политике.
24.5. Соответствующий оператор вправе уведомлять пользователей, клиентов, субъектов персональных данных и иных лиц об изменении Политики путем:

размещения новой редакции на сайте;
размещения уведомления в интерфейсе сервиса;
направления уведомления по электронной почте;
размещения уведомления в аккаунте пользователя;
использования иных каналов коммуникации, применяемых соответствующим оператором.

24.6. Если иное не предусмотрено применимым законодательством, продолжение использования сайтов, сервисов, программного обеспечения, аккаунтов, интерфейсов, helpdesk, коммуникационных каналов и иных решений после вступления в силу новой редакции Политики означает согласие пользователя с новой редакцией Политики в части, применимой к соответствующему способу взаимодействия.
24.7. Если пользователь, клиент, субъект персональных данных либо иное лицо не согласен с новой редакцией Политики, он обязан прекратить использование соответствующих сайтов, сервисов, программного обеспечения, аккаунтов, интерфейсов и иных решений, если иное не вытекает из характера обязательных договорных, расчетных, архивных, правовых или иных отношений с соответствующим оператором.
24.8. Изменение настоящей Политики не означает автоматического прекращения обработки персональных данных, если такая обработка осуществляется на законных основаниях, предусмотренных применимым законодательством, договором, офертой, пользовательским соглашением, обязательством по хранению данных либо иным правовым основанием.
24.9. Если для отдельных региональных сегментов, сервисов, категорий субъектов персональных данных, отдельных операторов либо отдельных процессов обработки требуется специальная редакция положений настоящей Политики, соответствующий оператор вправе:

включить такие положения в новую редакцию Политики;
оформить их в виде отдельного приложения, уведомления, раздела, специального документа либо интерфейсного условия;
обновлять такие положения независимо от иных частей Политики, если это допускается применимым законодательством.

24.10. Дата актуальной редакции Политики указывается в тексте Политики либо в ином официальном источнике ее размещения.
25. Контакты операторов и реквизиты для обращений
25.1. По вопросам, связанным с обработкой персональных данных, реализацией прав субъектов персональных данных, подачей запросов, отзывом согласия, уточнением, блокированием, удалением, ограничением обработки, направлением жалоб, претензий и иных обращений, субъект персональных данных вправе обратиться к соответствующему оператору по контактам, указанным в настоящем разделе.
25.2. Для Республики Казахстан и всех стран, кроме Российской Федерации и Республики Узбекистан, оператором персональных данных является:
Товарищество с ограниченной ответственностью «V-holding»
БИН: 220440002233
Юридический адрес: Республика Казахстан, 050042, г. Алматы, Ауэзовский район, ул. Рыскулбекова, д. 39А, офис 200
Email: support@solncetur.com
Форма обратной связи: https://solncetur.kz/support
25.3. Для Российской Федерации оператором персональных данных является:
Общество с ограниченной ответственностью «Р-Холдинг»
ИНН: 3702578479
ОГРН: 1093702003306
Юридический адрес: 153000, Российская Федерация, Ивановская область, г. Иваново, ул. Багаева, д. 39, кв. 5
Почтовый адрес: 153000, Российская Федерация, Ивановская область, г. Иваново, ул. Варенцовой, д. 9/18, оф. 412
Email: support@solncetur.ru
Форма обратной связи: https://solncetur.ru/support
25.4. Для Республики Узбекистан оператором персональных данных является:
Общество с ограниченной ответственностью «TVISION»
ИНН: 311474686
Юридический и почтовый адрес: 100128, Республика Узбекистан, г. Ташкент, Мирабадский район, махалля Минг Орик, ул. Шахрисабз, д. 23
Email: support@tourvision.uk
Форма обратной связи: https://tour.vision/support
25.5. Соответствующий оператор вправе использовать и иные официальные каналы связи, указанные на сайтах, в интерфейсах сервисов, в helpdesk, в уведомлениях, договорах, офертах, формах обратной связи, пользовательских соглашениях и иных официальных источниках соответствующего оператора.
25.6. Если субъект персональных данных не может самостоятельно определить применимого оператора, он вправе направить обращение по любому из официальных каналов связи, указанных в настоящей Политике, после чего такое обращение подлежит рассмотрению, перенаправлению или обработке в порядке, предусмотренном настоящей Политикой и применимым законодательством.
25.7. Актуальные контактные данные операторов, официальные каналы связи, сайты, формы обратной связи, helpdesk, почтовые адреса и иные реквизиты для обращений по вопросам персональных данных могут обновляться соответствующим оператором путем внесения изменений в настоящую Политику, размещения новой редакции Политики либо опубликования обновленных данных в иных официальных источниках соответствующего оператора.
26. Заключительные положения
26.1. Настоящая Политика подлежит применению в совокупности с договорами, офертами, пользовательскими соглашениями, условиями использования сервисов, условиями подключения, соглашениями о поручении обработки персональных данных, интерфейсными уведомлениями, уведомлениями о cookie, правилами использования отдельных сервисов, внутренними регламентами соответствующего оператора и иными документами, регулирующими отдельные процессы обработки персональных данных.
26.2. В случае противоречия между положениями настоящей Политики и обязательными требованиями применимого законодательства соответствующего регионального сегмента применяются нормы такого законодательства.
26.3. Если отдельные положения настоящей Политики будут признаны недействительными, незаконными, неисполнимыми либо не подлежащими применению полностью или частично, это не влияет на действительность и применимость остальных положений Политики, которые сохраняют юридическую силу в максимально допустимом применимым законодательством объеме.
26.4. Если отдельный сервис, модуль, интеграция, канал связи, инфраструктурный контур, интерфейс, мобильное приложение либо иной цифровой продукт требует специальных условий обработки персональных данных, такие условия могут устанавливаться в отдельных документах, приложениях, уведомлениях, интерфейсных правилах либо специальных редакциях положений настоящей Политики.
26.5. Настоящая Политика не ограничивает право соответствующего оператора устанавливать дополнительные требования к защите персональных данных, порядку доступа к сервисам, маршрутизации данных, локализации, трансграничной передаче, безопасности, коммуникациям, порядку взаимодействия с субъектами персональных данных и иным вопросам обработки, если такие требования не противоречат применимому законодательству.
26.6. Пользователь, клиент, субъект персональных данных, представитель клиента, пользователь аккаунта и иное лицо, использующее сайты, сервисы, программное обеспечение, интерфейсы, helpdesk, коммуникационные каналы и иные решения, на которые распространяется настоящая Политика, подтверждает, что ознакомлен с настоящей Политикой и понимает порядок обработки персональных данных в объеме, применимом к соответствующему способу взаимодействия.
26.7. Настоящая Политика действует в редакции, размещенной в официальном источнике соответствующего оператора, и применяется с даты вступления такой редакции в силу.
26.8. Если иное не предусмотрено применимым законодательством или специальными документами соответствующего оператора, русскоязычная редакция настоящей Политики имеет приоритетное значение при толковании ее положений.