1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – "Политика") подготовлена в соответствии с п. 2 ч .1 ст. 18.1 Федерального закона Российской Федерации "О персональных данных" No152-ФЗ от 27 июля 2006 года (далее – "Закон") и определяет позицию юридического лица ООО "НАИТ" (ОГРН: 1167746431280, ИНН: 5009120414, адрес - 142074, Московская область, г. Домодедово, с. Долматово, д. 1А ) (далее – "Оператор") в области обработки и защиты персональных данных пользователей мобильного приложения «МАЯК.ТРАНСПОРТ» (далее – «Приложение»), соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Понимая важность и ценность Данных, а также заботясь о соблюдении конституционных прав граждан Российской Федерации и граждан других государств, Общество обеспечивает надежную защиту Данных.
1.3. Настоящая Политика разработана на основании и в соответствии с Политикой в отношении обработки персональных данных в ООО "НАИТ", размещенной на сайте: https://mayak.travel.

2. Основные понятия

2.1. Для целей Политики используются следующие основные понятия:
• персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (далее – «данные»);
• персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»;
• субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
• оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
• угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
• уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
• приложение - мобильное приложение «МАЯК.ТРАНСПОРТ» на базе операционных систем Android и iOS для Пользователей.
• Пользователь — полностью дееспособное физическое лицо, использующее мобильное приложение «МАЯК.ТРАНСПОРТ» и являющееся субъектом персональных данных.

3. Основные права и обязанности Оператора
3.1. Оператор имеет право:
• получать от субъекта персональных данных достоверную информацию и (или) документы, содержащие персональные данные;
• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения исполнения обязанностей, предусмотренных законодательством Российской Федерации о персональных данных, если иное не установлено законом;
• поручать обработку персональных данных третьим лицам либо передавать персональные данные в случаях, предусмотренных законодательством, договором с субъектом персональных данных или согласием субъекта;
• в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации;
• направлять Пользователю информационные и сервисные сообщения, связанные с использованием Приложения, в пределах, допускаемых законодательством и условиями соответствующих согласий.
3.2. Оператор обязан:
• предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
• организовывать обработку персональных данных в порядке, установленном действующим законодательством Российской Федерации;
• отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями законодательства;
• принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
• прекратить передачу (распространение, предоставление, доступ), прекратить обработку и уничтожить персональные данные в случаях и порядке, предусмотренных законодательством;
• публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике;
  иные обязанности, прямо предусмотренные законодательством РФ.

4. Основные права и обязанности субъектов персональных данных
4.1. Субъекты персональных данных имеют право:
• получать информацию, касающуюся обработки их персональных данных, за исключением случаев, предусмотренных федеральными законами;
• требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать согласие на обработку персональных данных в случаях, когда обработка основана на согласии;
• обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора;
защищать свои права и законные интересы иными способами, предусмотренными законодательством Российской Федерации;
  иные права, прямо предусмотренные законодательством РФ.
4.2. Субъекты персональных данных обязаны:
• предоставлять Оператору достоверные данные о себе;
• своевременно сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных, когда это необходимо для корректного оказания услуг;
• не предоставлять персональные данные третьих лиц без наличия соответствующих правовых оснований,
  иные обязанности, прямо предусмотренные законодательством РФ.
4.3. Лица, передавшие Оператору недостоверные сведения о себе либо сведения о другом субъекте персональных данных без законных оснований, несут ответственность в соответствии с законодательством Российской Федерации.

5. Состав обрабатываемых персональных данных и цели обработки
5.1. Оператор может обрабатывать следующие персональные данные Пользователя, в том числе с учетом сведений, указанных в согласии на обработку персональных данных и пользовательском соглашении, применяемых к приложению «МАЯК.ТРАНСПОРТ»: фамилия, имя, отчество, телефон, адрес электронной почты, данные банковских карт, данные транспортной карты, номер учетной записи пользователя в системе, пароль от личного кабинета, пункт отправления, пункт назначения, даты/периоды поездок, файлы куки, и иные сведения о себе и данные, которые субъект персональных данных указывает по собственной инициативе как при регистрации в приложении, так и при использовании приложения в качестве авторизованного либо неавторизованного пользователя.
5.2. Оператор также может осуществлять сбор и обработку обезличенных персональных данных Пользователей с использованием программных средств интернет-статистики (в том числе файлов куки - в случае, если это разрешено в настройках браузера Пользователя) и вэб-аналитики «Яндекс Метрика»(правообладатель - Общество с ограниченной ответственностью «ЯНДЕКС» (г. Москва, ул. Льва Толстого, д.16), позволяющих собирать и обрабатывать обезличенные данные о пользователях приложения, просматриваемых страницах, видах и версиях браузера и операционной системы, географии пользователей, а также техническая информация об устройстве: производитель и модель устройства, версия операционной системы, магазин приложений, версия Мобильного приложения, идентификаторы устройств (Device ID, IMEI, MAC-адрес), IPадрес. Указанные данные обрабатываются в целях повышения качества Приложения.
5.3. Перечень персональных данных, указанный в настоящем разделе, не является исчерпывающим и определяется фактическим характером взаимодействия Пользователя с Приложением, условиями оказания услуг, требованиями законодательства и документами Оператора.
5.4. В случаях обработки персональных данных, разрешенных субъектом персональных данных для распространения, такое согласие оформляется отдельно от иных согласий на обработку персональных данных.
5.5. Обработка данных происходит с использованием средств автоматизации.
5.6. Цели обработки персональных данных пользователей:
5.6.1. предоставление субъектам персональных данных доступа к функционалу Приложения, исполнение Оператором пользовательского соглашения и условий использования Приложения.
5.6.2. продажа билетов на транспорт общего пользования, продажа иных сервисов и услуг партнеров Оператора, получение платежей за билеты на транспорт общего пользования для партнеров Оператора, за использование Сервисов и услуг партнеров Оператора.
5.7. В рамках цели обработки, указанной в п.5.6.1., Оператор в том числе, но не ограничиваясь, производит: идентификацию Пользователя в приложении для предоставления Пользователю полного функционала приложения; обеспечивает создание личного кабинета и предоставления Пользователю доступа к личному кабинету в приложении; производит аналитику действий Пользователя в приложении; устанавливает с Пользователем обратную связь, включая направление уведомлений, запросов, касающихся использования приложения, обработку обращений от Пользователя в связи с использованием приложения; определяет местонахождения Пользователя для обеспечения функций приложения; обрабатывает и получает платежи при использовании функционала приложения; предоставляет Пользователю клиентскую поддержку при возникновении проблем, связанных с использованием приложения; улучшает качество приложения путем анализа действия Пользователя в приложении.

6. Принципы обработки персональных данных
6.1. Обработка персональных данных осуществляется на законной и справедливой основе.
6.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.
6.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
6.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
6.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям.
6.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях — актуальность по отношению к целям обработки. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных.
6.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок не установлен федеральным законом, договором или иным правовым основанием.
6.8. По достижении целей обработки либо при утрате необходимости в достижении этих целей обрабатываемые персональные данные подлежат уничтожению, если иное не предусмотрено законодательством Российской Федерации.

7. Правовые основания обработки персональных данных
7.1. Правовыми основаниями обработки персональных данных Оператором являются:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• иные федеральные законы и нормативные правовые акты Российской Федерации в сфере обработки и защиты персональных данных;
• учредительные документы Оператора и внутренние локальные акты Оператора;
• пользовательское соглашение, согласие на обработку персональных данных, и иные документы, акцептуемые Пользователем при использовании Приложения.
7.2. Оператор обрабатывает персональные данные Пользователя в случае их самостоятельного предоставления Пользователем при регистрации, заполнении форм, использовании функционала Приложения, обращении в службу поддержки, привязке платежных средств, совершении поездок и иных действиях, связанных с использованием Приложения.
7.3. Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие свободно, своей волей и в своем интересе в случаях, когда такое согласие требуется законом.

8. Условия обработки персональных данных
8.1. Обработка иных категорий персональных данных осуществляется Обществом с соблюдением следующих условий:
– обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
– обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
– обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
- обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
8.2. Обработка персональных данных может быть поручена Оператором другому лицу с согласия субъекта персональных данных, с соблюдением требований законодательства о защите персональных данных.

9. Порядок сбора, хранения, передачи и иных видов обработки персональных данных
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения требований законодательства Российской Федерации в области защиты персональных данных.
9.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
9.2. Персональные данные Пользователя не передаются третьим лицам, за исключением случаев, связанных с исполнением законодательства Российской Федерации, пользовательского соглашения, иных документов, принятых Пользователем, согласия субъекта персональных данных, либо когда передача необходима для исполнения обязательств Оператора перед Пользователем и осуществляется на надлежащем правовом основании.
9.3. В целях функционирования Приложения Оператор вправе передавать персональные данные партнерам, платежным сервисам, операторам фискальных данных, провайдерам связи, хостинга, аналитики, и иным привлеченным лицам в объеме, объективно необходимом для достижения соответствующей цели обработки на основании согласия субъекта персональных данных и/или в целях исполнения соглашения с Пользователем.
9.4. В случаях, предусмотренных согласием субъекта персональных данных и/или пользовательским соглашением, персональные данные Пользователя могут передаваться партнерам Оператора для рассмотрения обращений Пользователей, взаимодействия по вопросам оказания услуг, урегулирования претензий, обработки инцидентов и исполнения требований законодательства. Объем передаваемых данных определяется конкретной целью передачи и принципом минимизации. Информация, переданная таким лицам, хранится и обрабатывается ими в соответствии с их собственными пользовательскими соглашениями и политиками конфиденциальности. Пользователь обязан самостоятельно ознакомиться с такими документами.
9.5. В случае выявления неточностей в персональных данных Пользователь может актуализировать их самостоятельно либо путем направления Оператору уведомления на адрес электронной почты: privacy@mayak.travel с пометкой «Актуализация персональных данных».
9.6. Пользователь вправе в любой момент отозвать согласие на обработку персональных данных, если обработка основана на согласии, путем направления уведомления на адрес электронной почты: privacy@mayak.travel с пометкой «Отзыв согласия на обработку персональных данных» или путем направления письменного заявления в адрес Оператора. Отзыв согласия не влияет на правомерность обработки, осуществленной до момента его получения Оператором, и не прекращает обработку данных, если у Оператора имеются иные законные основания для их обработки.
9.7. Оператор не несет ответственность за действия третьих лиц, если иное не предусмотрено законодательством Российской Федерации или договором между Оператором и таким лицом.
9.8. Условием прекращения обработки персональных данных может являться достижение целей обработки, истечение срока действия согласия, отзыв согласия субъектом персональных данных, прекращение договора, а также выявление неправомерной обработки персональных данных.
9.9. В случае направления Пользователем заявления об отзыве согласия на обработку персональных данных Оператор вправе прекратить регистрацию и доступ Пользователя к Приложению в объеме, в котором дальнейшее использование Приложения невозможно без соответствующей обработки персональных данных.

10. Перечень действий, производимых Оператором с персональными данными
10.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление и уничтожение персональных данных.

11. Трансграничная передача персональных данных
11.1. Трансграничная передача персональных данных не осуществляется.

12. Конфиденциальность и защита персональных данных
12.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
12.2. Для защиты персональных данных Оператор принимает необходимые и достаточные правовые, организационные и технические меры, включая, но не ограничиваясь: разграничением доступа к информационным системам, использованием антивирусных средств и средств защиты информации, резервным копированием, учетом носителей информации, контролем действий уполномоченных лиц, использованием средств криптографической защиты при необходимости и иными мерами в соответствии с законодательством Российской Федерации.
12.3. Оператор организует внутренний контроль и, при необходимости, оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства о персональных данных.
12.4. При утрате или разглашении персональных данных Оператор действует в соответствии с требованиями законодательства Российской Федерации, включая принятие необходимых мер по минимизации возможных последствий.

13. Заключительные положения
13.1. Пользователь может получить разъяснения по вопросам, касающимся обработки его персональных данных, обратившись к Оператору по адресу электронной почты:privacy@mayak.travel.
13.2. Настоящая Политика действует бессрочно до замены ее новой редакцией.
13.3. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения по адресу: https://mayakcard.tilda.ws/privacy, если иной срок не предусмотрен новой редакцией Политики.

13.4. В части, не урегулированной настоящей Политикой, Оператор и Пользователь руководствуются законодательством Российской Федерации, Политикой в отношении обработки персональных данных в ООО "НАИТ", пользовательским соглашением, согласием на обработку персональных данных и иными документами, регулирующими использование Приложения «МАЯК.ТРАНСПОРТ».