Туристический информационный центр Ярославля является оператором персональных данных в части обращений, заявок на экскурсии и сопутствующей коммуникации через сайт.

По вопросам обработки персональных данных можно использовать контактные данные, размещённые на сайте.

Если фактическим владельцем сайта выступает иное юридическое лицо, индивидуальный предприниматель или учреждение, до публичного запуска в этом разделе необходимо указать полное наименование оператора, ОГРН или ОГРНИП при наличии, ИНН, адрес и действующий канал связи для обращений субъектов персональных данных.

Сайт обрабатывает данные посетителей, отправляющих обращения, заявки на экскурсии, сообщения о проблемах сайта, а также экскурсоводов и представителей организаций, направляющих заявку на размещение профиля.

Через формы сайта могут обрабатываться имя, адрес электронной почты, телефон, текст обращения, желаемая дата, размер группы, выбранный экскурсовод, выбранное событие, сведения о языках экскурсий, специализации, опыте, сайте или социальной сети, фото экскурсовода или организации, если пользователь сам прикрепил его к заявке.

Также автоматически могут фиксироваться технические данные, необходимые для защиты сайта и расследования злоупотреблений: IP-адрес, user-agent, временные метки, anti-spam и captcha-параметры, сведения о результате отправки формы, а при включённой аналитике - cookie и обезличенные метрики посещаемости.

Обработка ведётся для приёма и рассмотрения обращений, ответа пользователю, сопровождения заявок на экскурсии, обработки заявок экскурсоводов, уточнения опубликованной туристической информации, предотвращения спама и злоупотреблений, обеспечения информационной безопасности сайта, ведения внутреннего учёта обращений и подтверждения факта получения согласия.

Основным правовым основанием обработки является согласие субъекта персональных данных, предоставляемое при отправке формы на сайте.

Технические журналы, anti-spam проверки, captcha и меры защиты сайта применяются для обеспечения безопасности обработки персональных данных и устойчивой работы информационной системы.

Согласие является конкретным, предметным, информированным, сознательным и однозначным: пользователь видит ссылку на согласие и настоящую политику до отправки формы и подтверждает согласие отдельным чекбоксом.

С персональными данными могут совершаться сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача уполномоченным сотрудникам и подрядчикам, обезличивание, блокирование, удаление и уничтожение.

Обработка выполняется смешанным способом: автоматизированно в информационной системе сайта и неавтоматизированно при рассмотрении обращений сотрудниками оператора.

При сборе персональных данных граждан РФ оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение таких данных с использованием баз данных, находящихся на территории РФ, если иное не предусмотрено законодательством РФ.

Данные хранятся в административной системе сайта и не публикуются в открытом доступе.

Доступ к данным предоставляется только уполномоченным лицам оператора и подрядчикам, которым данные необходимы для хостинга, администрирования, доставки уведомлений, защиты сайта, аналитики или обработки обращений. Такие лица должны действовать по поручению оператора и обрабатывать данные только в объёме, необходимом для соответствующей функции.

Если используются captcha, почтовая доставка, веб-аналитика, CDN, облачная защита трафика или иные сервисы, оператор обязан до запуска проверить их состав, страны обработки, договоры и настройки. При трансграничной передаче персональных данных оператор должен выполнить требования законодательства РФ о такой передаче, включая предварительное уведомление Роскомнадзора, если оно требуется для конкретного сервиса и сценария.

Персональные данные хранятся до достижения целей обработки, отзыва согласия или прекращения необходимости в хранении, если более длительный срок не требуется законодательством РФ, договором с субъектом персональных данных или внутренними регламентами оператора, связанными с учётом обращений и информационной безопасностью.

После утраты цели обработки данные подлежат удалению, уничтожению или обезличиванию в сроки, установленные законодательством РФ и внутренними процедурами оператора.

Пользователь вправе получать сведения об обработке своих персональных данных, требовать уточнения, блокирования или уничтожения неполных, устаревших, неточных, незаконно полученных или не являющихся необходимыми для заявленной цели данных, а также отозвать согласие на обработку.

Обращение можно направить по опубликованным контактам оператора. В обращении рекомендуется указать имя, контакт для ответа, суть требования и сведения, позволяющие найти отправленную ранее заявку или обращение.

Оператор рассматривает обращения субъектов персональных данных в сроки, установленные законодательством РФ. Отзыв согласия не влияет на законность обработки, выполненной до получения отзыва.

Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.

К таким мерам относятся разграничение доступа в административной панели, аутентификация пользователей, журналирование значимых действий, anti-spam и rate limiting для публичных форм, резервное копирование, обновление компонентов, контроль прав доступа и удаление данных после утраты цели обработки.

Сайт может использовать cookies и аналогичные технологии для сохранения пользовательских настроек, работы anti-spam механизмов, статистики посещаемости и улучшения качества сервиса.

Если на сайте подключаются аналитические или рекламные системы, до публичного запуска необходимо убедиться, что баннер или иное уведомление о cookies, настройки приватности, договоры с поставщиками и текст политики соответствуют фактическому составу используемых сервисов.

Политика применяется к формам обратной связи, заявкам экскурсоводов и бронирования, размещённым на сайте. При изменении процессов обработки, состава сервисов, контактных реквизитов, целей обработки или инфраструктуры политика подлежит обновлению.

До публичного запуска оператору также следует проверить необходимость подачи уведомления об обработке персональных данных в Роскомнадзор и актуальность реестровых сведений оператора.