Политика в отношении обработки персональных данных

1.1. В настоящей Политике используются следующие основные понятия:

Оператор — самозанятое физическое лицо [ФИО], ИНН [ИНН], самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Сайт — информационный ресурс, размещённый в сети «Интернет» по адресу arrivy.ru, включая все его поддомены, страницы и интерфейсы.

Сервис (Arrivy) — программно-аппаратный комплекс, обеспечивающий Хостам возможность создания цифровых путеводителей по объектам краткосрочной аренды, управления информацией об объектах и гостях, а также предоставляющий Гостям доступ к указанным путеводителям и AI-консьержу по персональным ссылкам.

Пользователь — любое физическое лицо, использующее Сайт и/или Сервис, включая Хостов, Гостей и иных посетителей Сайта.

Хост — физическое лицо, зарегистрировавшее учётную запись в Сервисе для целей размещения информации о принадлежащих ему (или управляемых им) объектах краткосрочной аренды и предоставления доступа к ней своим гостям.

Гость — физическое лицо, получившее от Хоста уникальную ссылку на цифровой путеводитель, созданный Хостом для конкретного объекта и периода проживания.

Персональные данные (ПД) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка — обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и/или в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Файлы cookie — небольшие фрагменты данных, которые Сайт размещает в браузере Пользователя и которые используются для сохранения настроек, авторизации и сбора статистики. Обработка файлов cookie регулируется отдельным документом — Политикой в отношении обработки файлов cookie, которая является неотъемлемой частью настоящей Политики.

2.1. Оператор осуществляет обработку персональных данных в соответствии со следующими нормативными правовыми актами:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• иные нормативные правовые акты Российской Федерации в области защиты персональных данных.

2.2. Правовым основанием обработки персональных данных Оператором является:

• согласие субъекта персональных данных на обработку его персональных данных, предоставляемое Пользователем при использовании Сайта и Сервиса, в том числе путём заполнения регистрационной формы, форм обратной связи и иных форм, содержащих персональные данные, а также путём проставления соответствующей отметки (галочки);
• Пользовательское соглашение и иные соглашения, заключаемые между Оператором и субъектом персональных данных, стороной, выгодоприобретателем или поручителем по которым является субъект персональных данных;
• необходимость исполнения договора, стороной которого является субъект персональных данных, либо для заключения такого договора по инициативе субъекта персональных данных (п. 5 ч. 1 ст. 6 Закона о персональных данных);
• необходимость осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона о персональных данных);
• поручение на обработку персональных данных от другого оператора в случаях, предусмотренных разделом 5 настоящей Политики.

3.1. Обработка персональных данных у Оператора осуществляется на основе следующих принципов:

• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только те персональные данные, которые отвечают целям их обработки;
• содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
• обработка персональных данных не используется в целях причинения имущественного и/или морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.

3.2. Оператор не обрабатывает специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрические персональные данные.

3.3. Оператор не принимает решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

4.1. Хосты (зарегистрированные пользователи). Оператор обрабатывает следующие персональные данные Хостов, предоставляемые ими самостоятельно при регистрации и использовании Сервиса:

• фамилия, имя (отчество при наличии);
• адрес электронной почты;
• пароль учётной записи (хранится в виде необратимо хешированного значения);
• идентификатор пользователя в информационной системе Оператора;
• сведения о подписке (тарифный план, статус, сроки действия);
• история действий в личном кабинете, связанная с функционалом Сервиса (создание объектов, разделов путеводителей, записей о гостях, отправка сообщений и т. п.).

4.2. Информация об объектах, размещаемая Хостом. При добавлении объектов краткосрочной аренды Хост самостоятельно указывает сведения, которые могут содержать персональные данные Хоста или третьих лиц (принимающей стороны):

• название объекта, его тип, количество комнат, часовой пояс;
• адрес объекта и его географические координаты (широта и долгота);
• описание объекта и текстовое содержание разделов путеводителя;
• контактные данные принимающей стороны, указываемые Хостом по своему усмотрению, — имя, номер телефона, адрес электронной почты.

Хост предоставляет указанные сведения на свой риск и гарантирует, что имеет правовые основания для их передачи Оператору (см. раздел 5 настоящей Политики).

4.3. Сведения о Гостях, вносимые Хостом. Для формирования персональных ссылок на цифровые путеводители Хост самостоятельно вводит в Сервис следующие данные своих гостей:

• фамилия и имя (либо иное имя, под которым Хост ведёт учёт гостя);
• даты и время заезда и выезда.

В отношении персональных данных Гостей, загружаемых Хостом, Оператор выступает как лицо, осуществляющее обработку персональных данных по поручению другого оператора (Хоста) в смысле части 3 статьи 6 Закона о персональных данных. Хост обязан самостоятельно получить от Гостей согласия на обработку их персональных данных и нести ответственность перед Гостями и Роскомнадзором за соблюдение Закона о персональных данных в части взаимодействия с Гостями. Соответствующие обязательства Хоста закреплены в Пользовательском соглашении.

4.4. Содержимое чата AI-консьержа. При использовании Гостем встроенного чата с AI-консьержем обрабатываются:

• текст сообщений, направленных Гостем AI-консьержу, и сгенерированные ответы;
• метки времени и идентификатор сессии.

Гостю не следует сообщать AI-консьержу сведения, прямо идентифицирующие его личность (паспортные данные, данные платёжных карт, пароли и т. п.). Оператор не обрабатывает такие сведения для целей идентификации.

4.5. Данные, собираемые автоматически. При посещении Сайта и использовании Сервиса Оператор может автоматически собирать следующие технические данные:

• IP-адрес;
• информацию о типе и версии браузера, операционной системы, типе устройства, размере экрана, языковых настройках;
• дата и время доступа, адреса запрашиваемых страниц, источник перехода (Referer);
• идентификаторы файлов cookie и иных аналогичных технологий;
• сведения об ошибках в работе клиентской части Сервиса (стек вызовов, название ошибки, контекст), собираемые с использованием сервиса мониторинга ошибок (раздел 7).

4.6. Оператор не запрашивает и не обрабатывает паспортные данные, реквизиты документов, удостоверяющих личность, номера банковских карт, сведения о состоянии здоровья и иные категории персональных данных, явным образом не перечисленные в настоящем разделе.

5.1. Оператор обрабатывает персональные данные исключительно в следующих целях:

• регистрация Хоста на Сайте, создание, идентификация и поддержание работоспособности его учётной записи;
• предоставление Хосту доступа к функциональности Сервиса в соответствии с Пользовательским соглашением и условиями выбранного тарифного плана;
• исполнение обязательств Оператора по Пользовательскому соглашению, включая техническую поддержку, уведомления об изменениях в Сервисе, восстановление доступа;
• формирование и отображение цифровых путеводителей по объектам Хоста и предоставление Гостям доступа к ним по уникальным ссылкам;
• обеспечение работы чата с AI-консьержем, формирование ответов на вопросы Гостей;
• обеспечение безопасности Сайта и Сервиса, предотвращение мошеннических действий, несанкционированного доступа и иных нарушений;
• мониторинг и устранение ошибок, улучшение качества и работоспособности Сервиса, разработка новых функций;
• формирование обезличенной статистики использования Сервиса;
• исполнение обязанностей, возложенных на Оператора законодательством Российской Федерации, в том числе ответы на запросы уполномоченных государственных органов;
• защита прав и законных интересов Оператора, в том числе в рамках досудебного урегулирования споров и судебных разбирательств.

5.2. Обработка персональных данных Пользователей для целей маркетинговых рассылок, прямого продвижения товаров, работ и услуг Оператора и третьих лиц допускается только при наличии отдельно выраженного согласия Пользователя. Пользователь вправе в любой момент отозвать такое согласие, направив соответствующее уведомление по адресу электронной почты, указанному в разделе 13 настоящей Политики.

6.1. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных, выраженного в форме, установленной пунктом 2.2 настоящей Политики, либо на иных законных основаниях, предусмотренных Законом о персональных данных.

6.2. Обработка персональных данных осуществляется смешанным способом — как с использованием средств автоматизации, так и без использования таких средств.

6.3. Обработка персональных данных включает следующие действия (операции) с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

6.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с частью 5 статьи 18 Закона о персональных данных.

6.5. Трансграничная передача персональных данных (передача персональных данных на территорию иностранного государства) Оператором не осуществляется. В случае появления такой необходимости в будущем трансграничная передача будет осуществляться в порядке, установленном статьёй 12 Закона о персональных данных, и об этом будет указано в настоящей Политике заблаговременно.

6.6. Сроки обработки персональных данных определяются достижением целей, для которых были собраны персональные данные, если иной срок не установлен федеральным законом, Пользовательским соглашением или согласием субъекта персональных данных. В частности:

• персональные данные Хоста обрабатываются в течение всего срока действия учётной записи Хоста в Сервисе и в течение 3 (трёх) лет после её удаления — для защиты прав и законных интересов Оператора и исполнения обязанностей, предусмотренных законодательством;
• сведения о Гостях, внесённые Хостом, обрабатываются в течение срока действия учётной записи Хоста либо до момента их удаления Хостом, в зависимости от того, что наступит ранее;
• содержимое чата с AI-консьержем обрабатывается в течение срока действия учётной записи Хоста, к которой относится соответствующий объект;
• автоматически собираемые технические данные и журналы действий обрабатываются в течение срока, необходимого для обеспечения безопасности и поддержки Сервиса, но не более 1 (одного) года с момента сбора, если иное не требуется законодательством.

6.7. По достижении целей обработки или в случае утраты необходимости в их достижении, а также в случае отзыва субъектом персональных данных согласия на обработку, персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.1. Оператор не продаёт и не передаёт персональные данные Пользователей третьим лицам иначе как на условиях и в случаях, прямо предусмотренных настоящей Политикой и законодательством Российской Федерации.

7.2. Оператор привлекает к обработке персональных данных следующих лиц (обработчиков), действующих на основании поручения Оператора и обеспечивающих конфиденциальность и безопасность персональных данных при их обработке:

• Functional Software, Inc. (Sentry) — сервис мониторинга ошибок и производительности. В целях диагностики и устранения технических неисправностей Сервиса передаются технические данные об ошибках клиентской и серверной частей, которые могут включать идентификатор пользователя и адрес электронной почты Хоста, а также сведения об используемом устройстве и браузере. Передача указанных данных ограничена объёмом, необходимым для диагностики инцидентов.

Перечень лиц, которым Оператор поручает обработку персональных данных, может обновляться. Актуальный перечень размещается в настоящей Политике. О существенных изменениях в составе таких лиц Оператор уведомляет путём публикации новой редакции Политики на Сайте.

7.3. В отношении сведений о Гостях, вносимых Хостом в Сервис, Оператор выступает лицом, осуществляющим обработку персональных данных по поручению Хоста (оператора) в соответствии с частью 3 статьи 6 Закона о персональных данных. Оператор обязуется соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, обеспечивать конфиденциальность и безопасность таких персональных данных, не раскрывать их третьим лицам и не распространять без согласия Хоста, если иное не предусмотрено федеральным законом.

7.4. Персональные данные субъекта без его согласия могут быть переданы по мотивированному запросу уполномоченного органа и исключительно в рамках выполнения действующего законодательства Российской Федерации:

• в судебные органы в связи с осуществлением правосудия;
• в органы федеральной службы безопасности;
• в органы прокуратуры;
• в органы внутренних дел (полиции);
• в иные органы и организации в случаях, установленных нормативными правовыми актами.

7.5. Информация о Гостях, содержащаяся в цифровом путеводителе, становится доступна непосредственно Гостю, получившему от Хоста уникальную ссылку на путеводитель. Такое предоставление осуществляется по инициативе Хоста и в интересах Хоста и соответствующего Гостя.

8.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в соответствии со статьёй 19 Закона о персональных данных.

8.2. К мерам, принимаемым Оператором, относятся, в частности:

• назначение лица, ответственного за организацию обработки персональных данных;
• издание локальных актов, определяющих политику и процедуры обработки и защиты персональных данных;
• ознакомление лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и локальными актами Оператора;
• хранение персональных данных граждан Российской Федерации в базах данных, размещённых на серверах, находящихся на территории Российской Федерации;
• применение шифрования при передаче персональных данных по открытым каналам связи (HTTPS/TLS);
• хранение паролей пользователей исключительно в виде необратимо хешированных значений;
• разграничение прав доступа к персональным данным, ведение журналов действий;
• применение средств антивирусной защиты, резервного копирования, межсетевого экранирования;
• ограничение доступа к персональным данным лицами, обязавшимися сохранять конфиденциальность таких данных;
• проведение внутренних проверок соблюдения установленных требований.

8.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов персональных данных, Оператор уведомляет об этом субъектов персональных данных и уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) в порядке и сроки, предусмотренные Законом о персональных данных.

9.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование (фамилию, имя, отчество) и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании поручения Оператора или федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, и источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
• информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
• иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

9.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.3. Субъект персональных данных вправе в любой момент отозвать своё согласие на обработку персональных данных, направив Оператору соответствующее письменное уведомление по адресу электронной почты, указанному в разделе 13 настоящей Политики. По получении такого уведомления Оператор прекращает обработку персональных данных субъекта и уничтожает их в срок, не превышающий 30 (тридцати) дней с даты поступления отзыва, за исключением случаев, когда продолжение обработки необходимо в соответствии с федеральным законом.

9.4. Отзыв согласия Хостом на обработку его персональных данных влечёт невозможность дальнейшего использования Хостом Сервиса и прекращение Пользовательского соглашения. Соответствующие объекты, путеводители и сведения о Гостях, внесённые таким Хостом, также подлежат удалению, за исключением данных, подлежащих хранению в соответствии с законодательством Российской Федерации.

9.5. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — или в судебном порядке.

9.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

10.1. Используя функционал Сервиса, позволяющий вносить сведения о Гостях, Хост самостоятельно выступает оператором персональных данных в отношении Гостей в смысле пункта 2 статьи 3 Закона о персональных данных.

10.2. Хост обязуется:

• получать от Гостей согласие на обработку их персональных данных в объёме, необходимом для размещения сведений о них в Сервисе и направления Гостю ссылки на цифровой путеводитель;
• доводить до сведения Гостей информацию об Операторе как о лице, осуществляющем обработку персональных данных по поручению Хоста, и о содержании настоящей Политики;
• не вносить в Сервис сведения, содержащие специальные категории персональных данных, биометрические персональные данные, а также данные, не имеющие отношения к целям использования Сервиса;
• своевременно удалять или обновлять сведения о Гостях в случае отзыва ими согласия на обработку персональных данных или изменения обстоятельств;
• самостоятельно нести ответственность перед Гостями и уполномоченными органами за соблюдение требований Закона о персональных данных в части взаимодействия с Гостями.

10.3. Хост гарантирует, что на момент внесения сведений о Гостях в Сервис им получены все необходимые согласия и соблюдены все применимые требования законодательства Российской Федерации о персональных данных. Все риски, связанные с несоблюдением Хостом обязанностей, предусмотренных настоящим разделом, несёт исключительно Хост.

11.1. Во время посещения Пользователями Сайта и использования Сервиса возможен сбор технической информации с использованием различных технологий, включая файлы cookie, которые позволяют обеспечивать работоспособность Сайта, отслеживать качество его работы и характеристики использования.

11.2. Подробные сведения о типах используемых файлов cookie, целях их использования, сроках хранения и способах управления ими изложены в Политике в отношении обработки файлов cookie, которая является неотъемлемой частью настоящей Политики.

12.1. Оператор вправе в любое время в одностороннем порядке изменять условия настоящей Политики без предварительного уведомления Пользователей. Новая редакция Политики вступает в силу с момента её размещения на Сайте по адресу arrivy.ru/privacy, если иной срок не установлен новой редакцией Политики.

12.2. Продолжение использования Сайта и Сервиса после внесения изменений в Политику означает согласие Пользователя с новой редакцией Политики. Если Пользователь не согласен с изменениями, он обязан прекратить использование Сайта и Сервиса.

12.3. Действующая редакция Политики постоянно доступна Пользователю по адресу arrivy.ru/privacy.

13.1. По всем вопросам, связанным с обработкой персональных данных, в том числе для реализации прав субъекта персональных данных (отзыв согласия, запросы на уточнение, блокирование или уничтожение персональных данных), Пользователь может обратиться к Оператору:

• Оператор: самозанятое физическое лицо [ФИО], ИНН [ИНН];
• адрес электронной почты для обращений: [EMAIL_PD];
• сайт: arrivy.ru.

13.2. Обращение должно содержать сведения, позволяющие идентифицировать субъекта персональных данных (в том числе адрес электронной почты, использованный при регистрации в Сервисе), а также суть запроса. Оператор рассматривает обращения субъектов персональных данных в срок, установленный законодательством Российской Федерации.