Соглашение об обработке данных
Между WeWander UAB и туроператором
В соответствии со статьёй 26 GDPR (Совместные контролёры данных)
Последнее обновление: 16 февраля 2026 г.
Дата вступления в силу: с момента принятия Оператором основных Условий и положений
Применимое право: Литовская Республика, Общий регламент по защите данных ЕС (GDPR)
1. Цель и сфера применения
1.1 Отношения совместных контролёров
Настоящее Соглашение об обработке данных ("DPA") включено в Условия и положения для Операторов WeWander ("Основные условия") и регулирует обработку персональных данных, при которой WeWander UAB ("WeWander") и туроператор ("Оператор") выступают в качестве Совместных контролёров данных в соответствии со статьёй 26 GDPR.
Определение совместного контроля:
- WeWander и Оператор совместно определяют цели и средства обработки персональных данных Путешественников в связи с бронированием туров
- Обе стороны независимо несут ответственность за соблюдение GDPR в своих соответствующих сферах
- Настоящее DPA определяет соответствующие обязанности, контактные пункты и порядок работы с правами субъектов данных
1.2 Категории обрабатываемых данных
Персональные данные, передаваемые между WeWander и Оператором:
(a) Данные о бронировании Путешественника:
- Имя, адрес электронной почты, номер телефона
- Гражданство, возраст (если требуется для тура)
- Особые пожелания или требования по доступности (если предоставлены)
- Номер подтверждения бронирования
- Статус подтверждения оплаты (без данных платёжных карт)
(b) Данные транзакции бронирования:
- Дата и время бронирования
- Дата, время и место проведения тура
- Количество участников
- Общая стоимость бронирования
- Статус бронирования (подтверждено, отменено, завершено)
(c) Данные коммуникации:
- Сообщения, которыми обмениваются Путешественник и Оператор через систему обмена сообщениями Платформы
- Подтверждения бронирований, напоминания, обновления
Исключения (не передаются Оператору):
- Данные платёжных карт (обрабатываются исключительно платёжными процессорами)
- Пароли учётных записей WeWander
- Внутренние аналитические данные Платформы
1.3 Субъекты данных
- Основные: Путешественники, бронирующие туры через Платформу WeWander
- Вторичные: Сотрудники или представители Оператора, создающие учётные записи (см. Раздел 4)
1.4 Цели обработки
(a) Основная цель:
Обеспечение возможности Оператору проводить забронированные туры для Путешественников, включая:
- Подтверждение бронирований и отправку информации перед туром
- Коммуникацию с Путешественниками о логистике тура
- Управление вместимостью тура и списками участников
- Обработку отмен и возвратов
- Ответы на запросы службы поддержки клиентов
(b) Вторичные цели:
- Соблюдение юридических обязательств (налоговых, по противодействию отмыванию денег)
- Предотвращение мошенничества и разрешение споров
- Обеспечение качества и соблюдение требований безопасности
2. Соответствующие обязанности
2.1 Обязанности WeWander как Совместного контролёра
(a) Сбор данных через Платформу:
- Сбор данных Путешественников через формы бронирования с прозрачными уведомлениями о конфиденциальности
- Поддержание Политики конфиденциальности с описанием практик обработки данных
- Реализация технических и организационных мер для защиты баз данных Платформы
- Обработка платежей через платёжные процессоры, соответствующие PCI-DSS (без передачи данных карт Оператору)
(b) Передача данных Оператору:
- Предоставление Оператору данных бронирования Путешественника, необходимых для проведения тура (Раздел 1.2)
- Обеспечение точности и актуальности передаваемых Оператору данных
- Уведомление Оператора о любых исправлениях или удалениях данных Путешественника
(c) Уведомления о конфиденциальности для Путешественников:
- Информирование Путешественников в Политике конфиденциальности о том, что их данные будут переданы Операторам для проведения тура
- Включение чётких механизмов согласия на передачу данных
- Предоставление Путешественникам ссылок на политики конфиденциальности Операторов (где доступно)
(d) Безопасность данных:
- Шифрование данных при передаче (TLS 1.2+) и хранении (AES-256)
- Реализация контроля доступа, ограничивающего доступ персонала WeWander к данным по принципу необходимости
- Проведение регулярных аудитов безопасности и оценок уязвимостей
- Уведомление Оператора о любых утечках данных, затрагивающих общие данные, в течение 24 часов
(e) Хранение данных:
- Хранение данных бронирования в течение 7 лет (требование литовского налогового законодательства)
- Удаление или анонимизация данных Путешественника по запросу (см. Раздел 3.3)
- Уведомление Оператора об удалении данных Путешественника с Платформы
2.2 Обязанности Оператора как Совместного контролёра
(a) Законная обработка:
- Обработка данных Путешественника только для целей, описанных в Разделе 1.4
- Запрет использования данных Путешественника для маркетинга или несвязанных целей без явного согласия Путешественника
- Соблюдение принципов GDPR (законность, справедливость, прозрачность, минимизация данных, точность, ограничение хранения, целостность, конфиденциальность)
(b) Уведомление о конфиденциальности:
- Поддержание Политики конфиденциальности (или Уведомления о защите данных) на собственном веб-сайте Оператора (если применимо)
- Если у Оператора нет отдельной политики конфиденциальности, Политика конфиденциальности WeWander распространяется на совместную обработку (Оператор подтверждает это, принимая настоящие Условия)
(c) Безопасность данных:
- Реализация соответствующих технических и организационных мер для защиты данных Путешественника:
- Минимально требуется: Защищённые паролем устройства, защищённая электронная почта, физическая безопасность документов
- Рекомендуется: Шифрование, контроль доступа, регулярные обновления ПО, обучение персонала
- Запрет передачи данных Путешественника несанкционированным третьим сторонам
- Немедленное уведомление WeWander о любой утечке данных, связанной с данными Путешественника (в течение 24 часов)
(d) Хранение данных:
- Хранение данных Путешественника только до тех пор, пока это необходимо для проведения тура и соблюдения юридических требований
- Удаление данных Путешественника в течение 90 дней после завершения тура, за исключением случаев, когда:
- Юридическое обязательство требует более длительного хранения (например, налоговая отчётность: 7 лет)
- Путешественник явно дал согласие на более длительное хранение (например, для повторных бронирований)
- Безопасное удаление данных (постоянное удаление, а не просто архивирование)
(e) Сторонние обработчики данных:
Если Оператор использует сторонних поставщиков услуг (например, синхронизацию календаря, CRM-инструменты), которые обрабатывают данные Путешественника:
- Оператор остаётся полностью ответственным за соблюдение GDPR такой третьей стороной
- Оператор должен убедиться, что третья сторона имеет адекватные меры защиты данных
- Оператор должен иметь письменный договор с третьей стороной (соглашение контролёр-обработчик в соответствии со статьёй 28)
(f) Обучение персонала:
- Обеспечение того, чтобы персонал, работающий с данными Путешественника, понимал основные обязательства по GDPR
- Реализация обязательств по конфиденциальности для персонала с доступом к данным Путешественника
2.3 Запрещённое использование данных
Оператор не должен:
- Использовать данные Путешественника для связи с Путешественниками в маркетинговых целях, не связанных с забронированным туром
- Продавать, сдавать в аренду или лицензировать данные Путешественника третьим сторонам
- Использовать данные Путешественника для обхода Платформы (например, повторного бронирования того же Путешественника вне Платформы)
- Объединять данные Путешественника с другими наборами данных для профилирования или автоматизированного принятия решений
- Передавать данные Путешественника за пределы ЕС/ЕЭЗ без надлежащих мер защиты (статьи 44-50)
3. Права субъектов данных
3.1 Распределение обязанностей
Общий принцип:
Сторона, получающая запрос субъекта данных (DSR), отвечает за ответ, но должна координировать действия с другой стороной, если запрос затрагивает общие данные.
3.2 Запросы под управлением WeWander
WeWander обработает следующие запросы:
(a) Запросы доступа (статья 15):
- Путешественник запрашивает копию всех хранящихся о нём данных
- WeWander предоставляет: данные учётной записи, историю бронирований, активность на Платформе
- WeWander уведомляет Оператора, если Путешественник специально запрашивает данные, хранящиеся у Оператора
(b) Исправление (статья 16):
- Путешественник запрашивает исправление неточных данных
- WeWander обновляет записи Платформы и уведомляет Оператора в течение 2 рабочих дней
(c) Удаление / "Право быть забытым" (статья 17):
- Путешественник запрашивает удаление данных
- WeWander удаляет данные Платформы и уведомляет Оператора в течение 2 рабочих дней
- Оператор должен удалить данные Путешественника в течение 14 дней, если только юридическое обязательство не требует хранения
(d) Ограничение обработки (статья 18):
- Путешественник запрашивает временное ограничение использования данных
- WeWander ограничивает обработку на Платформе и уведомляет Оператора
- Оператор обязан соблюдать ограничение
(e) Переносимость данных (статья 20):
- Путешественник запрашивает экспорт данных в машиночитаемом формате
- WeWander предоставляет экспорт и уведомляет Оператора, если Путешественник также хочет получить данные, хранящиеся у Оператора
3.3 Запросы под управлением Оператора
Оператор обработает следующие запросы:
(a) Возражение против обработки (статья 21):
- Путешественник возражает против конкретного использования данных (например, последующих писем после тура)
- Оператор должен прекратить такую обработку, если только не существует убедительных законных оснований
- Оператор уведомляет WeWander о возражении, если оно затрагивает функциональность Платформы
(b) Запросы, специфичные для Оператора:
- Запросы относительно собственных практик конфиденциальности Оператора
- Запросы на отписку от маркетинговых рассылок Оператора (если есть)
3.4 Сроки ответа
- Первичный ответ: В течение 1 месяца с момента получения запроса (статья 12(3))
- Сложные запросы: Могут быть продлены ещё на 2 месяца с объяснением субъекту данных
- Содействие Оператора: Если WeWander запрашивает содействие Оператора по DSR, Оператор должен ответить в течение 7 рабочих дней
3.5 Перенаправление DSR-запросов
Если любая из сторон получает DSR, который должна обрабатывать другая сторона:
- Перенаправить запрос в течение 2 рабочих дней
- Уведомить субъекта данных о перенаправлении
- Предоставить контактные данные правильной стороны
3.6 Контактный пункт для субъектов данных
Путешественники должны направлять запросы субъекта данных по адресу:
- Email: privacy@wewander.tours
- WeWander будет координировать действия с Оператором по мере необходимости
Надзорный орган:
- Государственная инспекция по защите данных Литвы (https://vdai.lrv.lt)
4. Данные сотрудников Оператора
4.1 Сфера применения
Когда Оператор создаёт учётную запись на Платформе WeWander, Оператор предоставляет персональные данные сотрудников или представителей Оператора ("Пользователи Оператора").
4.2 WeWander как единоличный контролёр данных
В отношении данных Пользователей Оператора (имя, email, активность учётной записи) WeWander является единоличным Контролёром данных:
- WeWander определяет цели и средства обработки (доступ к Платформе, коммуникации)
- Оператор является субъектом данных (или работодателем субъектов данных)
- Применяется Политика конфиденциальности WeWander
4.3 Согласие Оператора
Регистрируя Пользователей Оператора, Оператор подтверждает, что:
- Оператор получил необходимые согласия от Пользователей Оператора
- Пользователи Оператора осведомлены о том, что их данные будут обрабатываться WeWander для работы Платформы
- Оператор проинформирует Пользователей Оператора об их правах в соответствии с GDPR
5. Безопасность данных
5.1 Технические и организационные меры
Меры WeWander:
- Шифрование: TLS 1.2+ при передаче, AES-256 при хранении
- Контроль доступа: Ролевой доступ, многофакторная аутентификация для административных учётных записей
- Мониторинг: Автоматизированное обнаружение вторжений, журналирование активности
- Резервное копирование: Ежедневные зашифрованные резервные копии с хранением 30 дней
- Реагирование на инциденты: План реагирования на инциденты безопасности с уведомлением о нарушении в срок <24 часа
Минимальные обязательные меры Оператора:
- Безопасность устройств: Защита паролем/PIN-кодом устройств, имеющих доступ к данным Путешественника
- Безопасность электронной почты: Защищённый поставщик email (а не незашифрованная электронная почта в открытом виде)
- Физическая безопасность: Безопасное хранение любых распечатанных данных Путешественника
- Ограничение доступа: Только уполномоченный персонал имеет доступ к данным Путешественника
- Конфиденциальность: Персонал связан обязательствами о конфиденциальности
Рекомендуемые меры Оператора:
- Полное шифрование диска на устройствах
- Двухфакторная аутентификация для учётных записей с данными Путешественника
- Регулярные обновления ПО и антивирусная защита
- Обучение персонала по GDPR (например, бесплатные онлайн-курсы)
- План реагирования на инциденты
5.2 Уведомление об утечке данных
Обязанности Оператора:
Если у Оператора произошла утечка данных, связанная с данными Путешественника:
(a) Немедленное уведомление WeWander:
- Срок: В течение 24 часов с момента осведомления об утечке
- Способ: Email на security@wewander.tours с темой "DATA BREACH"
- Требуемая информация:
- Характер утечки (например, потерянный ноутбук, взлом email, несанкционированный доступ)
- Категории и приблизительное количество затронутых Путешественников
- Вероятные последствия и риски для Путешественников
- Принятые или предлагаемые меры по смягчению утечки
(b) Координация с WeWander:
- WeWander оценит, должна ли утечка быть зарегистрирована в надзорном органе (в течение 72 часов согласно статье 33)
- WeWander определит, должны ли быть уведомлены затронутые Путешественники (статья 34)
- Оператор должен сотрудничать в расследовании и устранении последствий
(c) Регуляторная отчётность:
- Если утечка соответствует пороговым значениям статьи 33/34, WeWander обработает уведомления надзорного органа и Путешественников
- Оператор должен предоставить всю запрашиваемую информацию для регуляторных отчётов
Штрафы за несоблюдение:
- Несообщение об утечке в течение 24 часов: штраф до 10 000 € (Основные условия Раздел 10.6)
- Утечка, вызванная халатностью Оператора: полная ответственность за возмещение убытков (Основные условия Раздел 15.8)
5.3 Субобработчики
Субобработчики WeWander:
WeWander использует следующих субобработчиков (все базируются в ЕС или работают по Стандартным договорным условиям):
- Supabase (хостинг базы данных): Регион ЕС, соответствует GDPR
- Stripe (обработка платежей): Сертифицирован PCI-DSS уровня 1
- Поставщик email-сервиса: Resend
- Облачная инфраструктура: Supabase (регион ЕС)
WeWander уведомит Оператора об изменениях субобработчиков по email на адрес учётной записи. Оператор может возразить в течение 30 дней, если новый субобработчик вызывает озабоченность по GDPR.
Субобработчики Оператора:
Оператор должен уведомить WeWander о любых субобработчиках, обрабатывающих данные Путешественника:
- Отправить список субобработчиков на legal@wewander.tours в течение 30 дней с момента принятия настоящих Условий
- Уведомлять WeWander о новых субобработчиках до начала сотрудничества
- Обеспечивать наличие соглашений по статье 28 со всеми субобработчиками
6. Международная передача данных
6.1 По умолчанию: обработка в ЕС/ЕЭЗ
Обе стороны соглашаются обрабатывать данные Путешественника в пределах ЕС/ЕЭЗ, за исключением случаев, когда:
- Путешественник находится за пределами ЕС/ЕЭЗ (данные исходят из-за пределов ЕС)
- Передача необходима для проведения тура (например, тур в стране за пределами ЕС)
- Установлены надлежащие меры защиты (Раздел 6.2)
6.2 Разрешённая передача за пределы ЕС/ЕЭЗ
Оператор может передавать данные Путешественника за пределы ЕС/ЕЭЗ только при условии:
(a) Решение об адекватности (статья 45):
- Страна назначения имеет решение Еврокомиссии об адекватности (например, Великобритания, Швейцария, Япония)
ИЛИ
(b) Стандартные договорные условия (статья 46):
- Оператор внедряет Стандартные договорные условия ЕС (SCC) с получателем данных
- Оператор проводит Оценку влияния передачи данных (TIA), если получатель находится в стране с проблемами государственного надзора
ИЛИ
(c) Отступления (статья 49):
- Передача необходима для исполнения договора с Путешественником (например, проведение тура в США)
- Путешественник явно согласился на передачу
- Передача необходима для установления, осуществления или защиты юридических требований
Запрещённые передачи:
- Разовые передачи в неадекватные страны без мер защиты
- Передачи для удобства Оператора (например, использование CRM за пределами ЕС, когда доступен вариант в ЕС)
Требование уведомления:
Оператор должен уведомить WeWander в течение 14 дней о любых передачах данных за пределы ЕС, включая:
- Страна назначения
- Правовое основание для передачи (адекватность, SCC, отступление)
- Копия SCC, если применимо
7. Хранение и удаление данных
7.1 Сроки хранения
Хранение WeWander:
- Данные бронирования: 7 лет с даты тура (литовское налоговое законодательство)
- Данные учётной записи: До удаления учётной записи + 30 дней
- Журналы активности Платформы: 12 месяцев
- Записи о платежах: 7 лет (налоговое законодательство)
Хранение Оператором:
- Данные о проведении тура: Удалить в течение 90 дней после завершения тура
- Налоговые записи: Хранить в течение срока, требуемого местным налоговым законодательством Оператора (обычно 5-10 лет)
- Юридические претензии: Хранить, если необходимо для активных судебных разбирательств
7.2 Обязательства по удалению
(a) Регулярное удаление:
- Оператор должен внедрить автоматизированный или ручной процесс удаления данных Путешественника после 90-дневного периода после тура
- Удаление должно быть постоянным (не только архивирование или мягкое удаление)
(b) Запросы субъектов данных на удаление:
- Когда WeWander уведомляет Оператора о запросе Путешественника на удаление, Оператор должен удалить данные в течение 14 дней
- Оператор может сохранить данные, если этого требует юридическое обязательство (например, налоговая отчётность), но должен ограничить обработку только использованием для соблюдения требований
(c) Прекращение действия Основных условий:
- После прекращения действия Оператор должен удалить все данные Путешественника в течение 30 дней, если не применяется юридическое хранение
- Оператор должен подтвердить удаление в письменной форме по запросу WeWander
7.3 Подтверждение удаления
WeWander может запросить подтверждение удаления при аудитах (Основные условия Раздел 12). Оператор должен быть в состоянии продемонстрировать:
- График и процедуры удаления
- Журналы или записи, показывающие удаление данных
- Обучение персонала протоколам удаления
8. Аудиты и проверка соответствия
8.1 Право WeWander на аудит
WeWander может проверять практики защиты данных Оператора в соответствии с Основными условиями Раздел 12:
- Частота: Не более одного раза в год (или после утечки данных)
- Сфера: Меры безопасности данных, практики хранения, соглашения с субобработчиками
- Уведомление: За 14 дней (или немедленно, если подозревается утечка)
8.2 Сотрудничество Оператора
Оператор должен:
- Предоставить доступ к соответствующим записям, политикам и документации
- Разрешить интервью с персоналом, работающим с данными Путешественника
- Ответить на результаты аудита в течение 30 дней
- Внедрить корректирующие меры по выявленным недостаткам в течение 60 дней
8.3 Расходы на аудит
- Регулярные аудиты: Оператор несёт собственные расходы (рабочее время персонала)
- Аудиты после утечки: Оператор оплачивает разумные расходы WeWander на аудит, если утечка была вызвана халатностью Оператора
9. Ответственность и возмещение убытков
9.1 Солидарная ответственность
Согласно статье 82 GDPR:
- WeWander и Оператор несут солидарную ответственность перед субъектами данных за ущерб, причинённый нарушениями GDPR
- Если одна сторона выплачивает компенсацию субъекту данных, эта сторона может потребовать возврата вклада от другой стороны на основе распределения вины
9.2 Внутреннее распределение ответственности
Между WeWander и Оператором:
(a) Ответственность WeWander:
- Утечки, вызванные сбоями безопасности Платформы WeWander
- Невыполнение WeWander обязанности уведомить Оператора об исправлениях/удалениях данных
- Утечки субобработчиков WeWander
(b) Ответственность Оператора:
- Утечки, вызванные сбоями безопасности данных Оператора
- Несанкционированное использование данных Путешественника Оператором
- Невыполнение Оператором уведомления об утечке данных
- Утечки субобработчиков Оператора
- Невыполнение Оператором требуемого удаления данных
9.3 Возмещение убытков
Применяется Раздел 15.8 Основных условий. Кратко:
- Оператор возмещает WeWander штрафы/санкции по GDPR, вызванные нарушениями Оператора
- Оператор возмещает WeWander претензии третьих сторон, возникающие в связи с неправомерным использованием данных Оператором
Лимиты:
- Общие нарушения защиты данных: 100 000 € за инцидент
- Без лимита при умышленном неправомерном поведении или мошенничестве
10. Срок действия и прекращение
10.1 Срок действия
Настоящее DPA остаётся в силе до тех пор, пока Оператор обрабатывает данные Путешественника, полученные через Платформу WeWander.
10.2 Последствия прекращения Основных условий
Если Основные условия прекращены:
- Оператор должен удалить все данные Путешественника в течение 30 дней (с учётом Раздела 7.2(c))
- Оператор должен подтвердить удаление по запросу
- Разделы 9 (Ответственность) и 7.2(c) (Юридическое хранение) сохраняют силу после прекращения
10.3 Возврат данных
По запросу WeWander Оператор должен вернуть или безопасно уничтожить:
- Копии данных Путешественника
- Документацию, содержащую персональные данные Путешественника
11. Изменения
11.1 Изменения в законодательстве GDPR
Если GDPR будет изменён или заменён, либо если изменится литовское законодательство о защите данных:
- WeWander может обновить настоящее DPA, направив уведомление за 30 дней по email
- Обновлённое DPA будет опубликовано на веб-сайте WeWander
- Продолжение использования Платформы по истечении 30-дневного периода уведомления означает принятие
11.2 Регуляторные руководства
WeWander может обновлять настоящее DPA в соответствии с руководствами:
- Европейского совета по защите данных (EDPB)
- Государственной инспекции по защите данных Литвы
- Суда Европейского союза (CJEU)
11.3 Существенные изменения
Существенные изменения (например, значительное расширение обмена данными) требуют утвердительного согласия Оператора.
12. Контакты и сотрудничество
12.1 Контакты по защите данных
WeWander:
- Email: privacy@wewander.tours
- Отвечает за координацию DSR, уведомлений об утечках и запросов о соответствии
Оператор:
- Email: адрес электронной почты, зарегистрированный в учётной записи Оператора
- Оператор должен отвечать на запросы WeWander по защите данных в течение 7 рабочих дней
12.2 Запросы надзорного органа
Если любая из сторон получает запрос от надзорного органа относительно совместной обработки:
- Уведомить другую сторону в течение 2 рабочих дней
- Сотрудничать в подготовке ответов
- Не делать заявления, обязывающие другую сторону, без предварительного согласия
12.3 Разрешение споров
Споры в отношении настоящего DPA регулируются Разделом 16 Основных условий (Разрешение споров).
13. Подтверждение
Принимая Основные условия, Оператор подтверждает, что:
- Оператор прочитал и понял настоящее Соглашение об обработке данных.
- Оператор соглашается выступать в качестве Совместного контролёра данных совместно с WeWander согласно статье 26 GDPR.
- Оператор внедрит соответствующие технические и организационные меры для защиты данных Путешественника.
- Оператор будет соблюдать обязательства по хранению, удалению данных и уведомлению об утечках.
- Оператор понимает, что несоблюдение настоящего DPA может привести к:
- Приостановке или прекращению учётной записи (Основные условия Раздел 14)
- Финансовым штрафам (Основные условия Раздел 10.6)
- Штрафам по GDPR от надзорного органа (до 20 миллионов € или 4% годового оборота)
- Ответственности за ущерб субъектам данных (статья 82)
- Оператор немедленно уведомит WeWander по адресу privacy@wewander.tours, если у Оператора возникнут вопросы или он не сможет соблюдать настоящее DPA.