Политика обработки персональных данных
в соответствии с Законом Республики Узбекистан «О персональных данных» ЗРУ-547 от 02.07.2019
1. Общие положения
1.1. Настоящая Политика разработана в соответствии с Законом Республики Узбекистан «О персональных данных» от 02.07.2019 № ЗРУ-547 (далее — Закон о ПД) и иными нормативными правовыми актами РУз в области защиты персональных данных.
1.2. Политика определяет порядок обработки персональных данных Оператором — туроператором uzbeksafar.com (далее — «Оператор», «мы») в отношении физических лиц, использующих сайт uzbeksafar.com, Telegram-бота @uzbeksafarbot и канал @uzbeksafar, а также Туристов, заключающих договор реализации туристского продукта.
1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые Оператором с использованием средств автоматизации либо без таковых.
1.4. Политика является публичным документом и размещена в открытом доступе на сайте uzbeksafar.com/privacy.html.
2. Основные понятия
- Персональные данные (ПД) — сведения, относящиеся к определённому или определяемому на их основании физическому лицу — субъекту персональных данных.
- Субъект ПД — физическое лицо, к которому относятся персональные данные.
- Оператор — лицо, осуществляющее обработку персональных данных самостоятельно или совместно с третьими лицами.
- Обработка ПД — любое действие с персональными данными: сбор, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, уничтожение.
- Согласие субъекта — добровольное, конкретное, информированное и сознательное волеизъявление в письменной форме или форме электронного документа.
- Трансграничная передача — передача персональных данных за пределы Республики Узбекистан.
Основание: ст. 3 Закона РУз «О персональных данных» ЗРУ-547.
3. Состав обрабатываемых персональных данных
Оператор обрабатывает следующие категории персональных данных Туриста и контактных лиц:
| Категория | Состав данных | Источник получения |
|---|---|---|
| Идентификационные | ФИО, дата рождения, пол, гражданство | Заполнение формы на сайте, AI-помощник «Сафар» |
| Паспортные | Серия и номер загранпаспорта, дата выдачи и срок действия, орган выдачи, скан-копия | Загрузка Туристом для оформления тура |
| Контактные | Номер телефона, email, Telegram username/chat_id | Заявка, регистрация в Telegram-боте |
| Платёжные | Маскированный номер карты (BIN + последние 4 цифры), назначение платежа, сумма и валюта операции | Платёжные шлюзы Click, Payme, Xolis |
| Технические | IP-адрес, User-Agent браузера, cookies, сессии, время визита, источник перехода | Веб-сервер uzbeksafar.com |
| Чат-история | Сообщения Туриста с AI-помощником «Сафар», операторами поддержки | Чат на сайте, Telegram-бот |
Оператор не обрабатывает специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, биометрические данные), за исключением случаев, когда субъект самостоятельно сообщает такие сведения и прямо соглашается на их обработку (например, при оформлении медицинской страховки).
4. Цели обработки персональных данных
- Заключение и исполнение договора реализации туристского продукта (бронирование рейсов, отелей, оформление страховых полисов, виз, трансферов).
- Идентификация Туриста при обращении за поддержкой, при возврате средств, при разрешении претензий.
- Информирование Туриста о статусе брони, изменении расписания, отправка маршрутного листа, Ваучера, страхового полиса.
- Отправка предтравельных напоминаний (за 14, 7, 3 и 1 день до вылета): чек-лист документов, погода, рекомендации.
- Маркетинговые рассылки (с отдельным согласием Туриста): информация о новых направлениях, акциях, скидках. Согласие может быть отозвано в любой момент.
- Учёт операций для бухгалтерской и налоговой отчётности в соответствии с законодательством РУз.
- Аналитика посещаемости сайта, улучшение пользовательского опыта (обезличенные технические данные).
- Выполнение обязательств Оператора перед государственными органами Республики Узбекистан и страны въезда (при наличии запроса).
5. Правовые основания обработки
5.1. Обработка персональных данных осуществляется Оператором на следующих правовых основаниях:
- Согласие субъекта — получаемое посредством акцепта Договора публичной оферты и проставления отметки «Я согласен с обработкой персональных данных» при заполнении формы на сайте, при первом обращении к AI-помощнику или при запуске Telegram-бота.
- Исполнение договора, стороной которого является субъект персональных данных (ст. 9 Закона о ПД).
- Исполнение обязанностей, возложенных законодательством на Оператора (налоговый учёт, противодействие легализации доходов, статистическая отчётность Госкомтуризма).
- Защита законных интересов Оператора в рамках, не нарушающих права субъекта (предотвращение мошенничества, безопасность платежей).
5.2. В соответствии с ч. 2 ст. 17 Закона о ПД, при заключении публичного договора (оферты) с конкретными целями обработки персональных данных, акцепт оферты признаётся согласием субъекта на обработку.
6. Порядок и сроки обработки
6.1. Обработка осуществляется с использованием средств автоматизации (сервер в дата-центре {город, страна размещения}, СУБД SQLite/PostgreSQL, резервное копирование) и без использования таковых (бумажные документы при оформлении тура).
6.2. Сроки хранения персональных данных:
| Категория | Срок хранения | Основание |
|---|---|---|
| Договоры и первичные документы по сделке | 5 лет с даты окончания тура | Налоговый кодекс РУз, ст. 81 |
| Паспортные данные, бронирования | 3 года с даты окончания тура | Закон о туризме, отраслевая практика |
| Платёжные операции | 5 лет | Закон РУз о бухгалтерском учёте |
| Маркетинговая база (рассылки) | до отзыва согласия субъектом | Согласие субъекта |
| Технические логи, cookies | не более 12 месяцев | Внутренние политики Оператора |
| История чата с AI-помощником | 12 месяцев с даты последнего сообщения | Внутренние политики Оператора |
6.3. По истечении срока хранения персональные данные подлежат уничтожению либо обезличиванию.
7. Передача персональных данных третьим лицам
7.1. Оператор передаёт персональные данные следующим категориям третьих лиц исключительно в объёме, необходимом для оказания услуги:
- Авиакомпании и системы бронирования (Uzbekistan Airways, Turkish Airlines, Amadeus и др.) — ФИО, дата рождения, паспортные данные;
- Средства размещения (отели, гостевые дома) — ФИО, даты заселения и выезда, контакты;
- Страховые компании — ФИО, дата рождения, паспортные данные, маршрут;
- Платёжные сервисы (Click, Payme, Xolis, банки-эквайеры) — реквизиты для проведения платежа;
- Государственные органы РУз и страны въезда — при наличии законного запроса (миграционные службы, таможня, налоговая);
- Транспортные операторы (трансферы) — ФИО, контактный телефон, рейс/время прилёта.
7.2. Передача коммерческим контрагентам осуществляется только при наличии договора, обязывающего получателя обеспечивать конфиденциальность и защиту ПД на уровне, не ниже установленного законодательством РУз.
7.3. Передача персональных данных в рекламных и маркетинговых целях третьим лицам без отдельного письменного согласия субъекта не производится.
8. Трансграничная передача персональных данных
8.1. Учитывая характер деятельности (выездной туризм), Оператор осуществляет трансграничную передачу персональных данных в страну временного пребывания Туриста (отелям, перевозчикам, страховщикам, миграционным службам) в объёме, минимально необходимом для исполнения договора.
8.2. Согласие на трансграничную передачу даётся субъектом при акцепте Договора публичной оферты и оформляется в составе общего согласия на обработку ПД.
8.3. Перечень стран трансграничной передачи соответствует перечню направлений, реализуемых Оператором, и публикуется на странице uzbeksafar.com.
9. Cookies и web-аналитика
9.1. Сайт uzbeksafar.com использует cookies — небольшие текстовые файлы, размещаемые на устройстве пользователя, в целях:
- Технические cookies (сессии, корзина брони) — без них сайт не функционирует;
- Аналитические cookies (статистика посещений, источники трафика) — для улучшения сайта;
- Маркетинговые cookies — устанавливаются только с явного согласия пользователя.
9.2. Пользователь может отключить cookies в настройках своего браузера. В этом случае часть функциональности сайта (бронирование, сохранение прогресса диалога с AI-помощником) может быть недоступна.
10. Меры по защите персональных данных
10.1. Оператор принимает следующие правовые, организационные и технические меры по защите персональных данных:
- назначение лица, ответственного за организацию обработки ПД;
- ограничение доступа к ПД на основе ролевой модели (принцип минимально необходимых прав);
- шифрование канала передачи (HTTPS/TLS 1.3) при работе с сайтом и API;
- хранение паролей и ключей платёжных шлюзов в зашифрованном виде вне исходного кода приложения;
- регулярное резервное копирование с шифрованием резервных копий;
- журналирование действий администраторов с персональными данными;
- обучение персонала правилам работы с персональными данными;
- заключение соглашений о конфиденциальности с сотрудниками и контрагентами.
11. Права субъекта персональных данных
Субъект персональных данных имеет право:
- получать информацию о составе и содержании своих ПД, обрабатываемых Оператором;
- требовать уточнения, блокирования, уничтожения своих ПД в случае их неполноты, неточности, неактуальности или незаконного получения;
- отозвать согласие на обработку персональных данных в любое время;
- требовать прекращения обработки ПД, если иное не предусмотрено законом;
- обжаловать действия (бездействие) Оператора в Уполномоченный государственный орган по защите персональных данных при Государственном инспектировании «Узкомназорат» или в судебном порядке;
- на возмещение убытков и компенсацию морального вреда в судебном порядке при незаконной обработке.
Основания: ст. 21-24 Закона РУз «О персональных данных» ЗРУ-547.
12. Порядок отзыва согласия и обращения
12.1. Для реализации своих прав, отзыва согласия, получения справки о составе обрабатываемых ПД или подачи жалобы — субъект направляет письменное обращение по адресу:
12.2. Обращение должно содержать ФИО субъекта, контактные данные, суть требования и подтверждение личности (копия паспорта или иной документ).
12.3. Оператор рассматривает обращение и предоставляет ответ в течение 10 рабочих дней с даты его получения.
12.4. Отзыв согласия на обработку ПД, необходимых для исполнения уже заключённого договора, может быть произведён только после полного исполнения обязательств сторонами либо с одновременным расторжением договора и принятием Туристом риска неоказания услуг.
13. Уполномоченный государственный орган
Надзор за соблюдением законодательства о персональных данных в Республике Узбекистан осуществляется Государственной инспекцией по контролю в сфере связи, информатизации и телекоммуникационных технологий («Узкомназорат») и Государственным центром персонализации при Кабинете Министров РУз.
14. Заключительные положения
14.1. Настоящая Политика вступает в силу с даты её публикации на сайте uzbeksafar.com и действует бессрочно до её замены новой редакцией.
14.2. Оператор вправе вносить изменения в Политику. Новая редакция размещается на сайте и вступает в силу с момента публикации. Существенные изменения, затрагивающие права субъектов, дополнительно доводятся до сведения Туристов по электронной почте.
14.3. К отношениям, не урегулированным настоящей Политикой, применяются нормы Закона РУз «О персональных данных», Закона «Об информации, информатизации и защите информации» и иных нормативных правовых актов РУз.
Перед публикацией Политика должна быть согласована с лицензированным юристом РУз, специализирующимся в области персональных данных. Реквизиты Оператора (ИП, юр.адрес) заполняются после регистрации.