Политика конфиденциальности

Политика конфиденциальности 

Дата вступления в силу: 11 Ноября 2025 года

Travel Tech L.L.C-FZ (далее — «Компания», «мы», «нас» или «наше») осуществляет управление онлайн-маркетплейсом (далее — «Платформа»), предназначенным для бронирования и продажи экскурсий и туристических услуг (далее — «Услуги»), предоставляемых сторонними поставщиками экскурсий (каждый — «Поставщик», совместно — «Поставщики»). Компания является обществом с ограниченной ответственностью, зарегистрированным во фризоне Майдан, Дубай, ОАЭ, под регистрационным номером  2535525, с юридическим адресом: Meydan Grandstand, 6th floor, Meydan Road, Nad Al Sheba, Dubai, United Arab Emirates.

В качестве контролера персональных данных в соответствии с Федеральным декрет-законом ОАЭ № 45/2021 «О защите персональных данных» (далее — PDPL) мы обязуемся осуществлять обработку ваших персональных данных добросовестно, прозрачно и в соответствии с требованиями законодательства, соблюдая положения PDPL, законодательства эмирата Дубай и применимых федеральных нормативных актов ОАЭ. Настоящая Политика конфиденциальности (далее — Политика) раскрывает применяемые нами практики обработки данных и права субъектов данных. Она распространяется на всех пользователей Платформы (далее - «вы» или «ваше»), включая посетителей, зарегистрированных пользователей, заказчиков и поставщиков экскурсионных услуг.

Использование Платформы подтверждает факт ознакомления, понимания и принятия условий настоящей Политики. В случае несогласия просим воздержаться от использования Платформы. Мы вправе периодически вносить изменения в Политику; о существенных изменениях будет сообщено посредством Платформы либо по электронной почте, а дальнейшее использование Платформы будет расцениваться как принятие таких изменений.

1. Персональные данные, подлежащие сбору

Мы осуществляем сбор персональных данных исключительно в объеме, необходимом для достижения заявленных целей. Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.

1.1 Категории персональных данных

- Идентификационные данные: фамилия, имя, отчество; дата рождения; пол; гражданство; номер паспорта или иного удостоверения личности; фотографическое изображение.

- Контактные данные: адрес электронной почты; номер телефона; почтовый адрес.

- Финансовые данные: реквизиты платежной карты (обрабатываются через защищенные сторонние платежные шлюзы; полные реквизиты карты не сохраняются); платежный адрес; история транзакций.

- Транзакционные данные: сведения о бронированиях, приобретённых экскурсиях, предпочтениях, численности группы, особых требованиях (включая требования доступности для маломобильных групп).

- Технические данные: IP-адрес; тип устройства; тип и версия браузера; операционная система; геолокационные данные (определяемые по IP-адресу или GPS при наличии согласия); аналитические данные использования (просмотренные страницы, продолжительность сессии).

- Маркетинговые и коммуникационные данные: предпочтения в отношении получения рекламных материалов, информационных бюллетеней или обновлений.

- Данные профиля: пользовательский контент (отзывы, обратная связь, фото- и видеоматериалы с экскурсий — исключительно при наличии согласия).

Мы не осуществляем систематический сбор чувствительных персональных данных (расовое или этническое происхождение, политические убеждения, религиозные вероисповедания, состояние здоровья, биометрические данные), за исключением случаев, когда такие данные предоставляются вами добровольно для конкретных целей (диетические ограничения, медицинские потребности). В указанных случаях обработка производится исключительно при наличии вашего явного согласия и с применением усиленных мер защиты.

1.2 Источники персональных данных

- Непосредственно от субъекта данных: при регистрации, оформлении бронирования, в ходе переписки (веб-формы, электронная почта, чат).

- Автоматизированные технологии: файлы cookie, веб-маяки, журналы серверов или аналогичных инструментов при взаимодействии с Платформой.

- Третьи лица: платежные шлюзы, поставщики экскурсионных услуг (для исполнения обязательств), аналитические сервисы.

2. Порядок использования персональных данных

Обработка персональных данных осуществляется исключительно в законных коммерческих целях с соблюдением принципов пропорциональности и минимизации. Обработка охватывает любые операции, включая сбор, хранение, использование, раскрытие или уничтожение.

2.1 Цели обработки

Обработка на основании согласия осуществляется исключительно при наличии явного утвердительного действия (непредзаполненные чекбоксы); согласие может быть отозвано в любой момент без ущерба для законности предшествующей обработки. Данные не используются в целях, несовместимых с заявленными, без получения дополнительного согласия или иного правового основания.

3. Раскрытие и передача персональных данных

Раскрытие персональных данных осуществляется следующим получателям при соблюдении строгих обязательств по конфиденциальности:

- Поставщики услуг: сторонние обработчики (облачный хостинг, платёжные шлюзы, сервисы электронной почты), связанные соглашениями об обработке данных, обеспечивающими соответствие PDPL.

-Поставщики экскурсионных услуг: исключительно необходимые транзакционные и контактные данные для исполнения обязательств.

- Аффилированные лица: внутри корпоративной группы в операционных целях.

- Профессиональные консультанты: аудиторы, юристы, страховщики — в объеме, необходимом для оказания услуг.

- Регулирующие органы: Офис по защите данных ОАЭ, органы эмирата Дубай — в целях соблюдения законодательства.

- При реорганизации бизнеса: потенциальным приобретателям в рамках слияний или поглощений (с предварительным уведомлением субъекта данных).

Мы не осуществляем продажу персональных данных. Объём раскрытия ограничивается строго необходимым.

4. Трансграничная передача персональных данных

Персональные данные могут передаваться за пределы ОАЭ, если это требуется для целей обработки. Такая передача допускается исключительно при условии:

- обеспечения адекватного уровня защиты (стандартные договорные оговорки, утвержденные в соответствии с PDPL); либо

- получения явного согласия субъекта данных; либо

- необходимости для исполнения договора или соблюдения юридических обязательств.

Мы проводим оценку адекватности в каждом конкретном случае и применяем соответствующие меры защиты (шифрование).

5. Меры безопасности и уведомление о нарушениях

Мы применяем соответствующие технические и организационные меры (шифрование, контроль доступа, регулярные аудиты) для предотвращения несанкционированного доступа, изменения, раскрытия или уничтожения персональных данных. Указанные меры учитывают риски, связанные с обработкой.

В случае нарушения защиты персональных данных, создающего риск для прав и свобод субъектов, мы уведомляем Офис по защите данных ОАЭ в течение 72 часов и, при наличии высокого риска, информируем субъекта данных напрямую с описанием характера нарушения, возможных последствий и принятых мер по устранению.

6. Сроки хранения персональных данных

Персональные данные хранятся исключительно в течение периода, необходимого для достижения заявленных целей либо требуемого законодательством (например, 5–7 лет для финансовой отчетности в соответствии с коммерческим законодательством ОАЭ). Примерные сроки:

- Данные бронирований: срок оказания услуги + 2 года (на случай споров).

- Маркетинговые данные: до момента отказа либо 3 года с даты последнего взаимодействия.

- Технические данные: 12 месяцев (аналитические цели).

По истечении срока данные безопасно уничтожаются, анонимизируются либо переводятся в архив. Субъект данных вправе запросить досрочное удаление (за исключением случаев наличия юридических оснований для сохранения).

7. Права субъекта персональных данных

В соответствии с PDPL субъект данных обладает следующими правами (реализуются бесплатно через DPO; ответ предоставляется в течение 1 месяца с возможностью продления при сложности):

 - Право на доступ: получение подтверждения обработки и копии данных.

- Право на исправление: корректировка неточных или неполных данных.

- Право на удаление («право на забвение»): удаление при отсутствии необходимости или отзыве согласия.

- Право на ограничение обработки: ограничение при спорной точности или возражении.

-Право на переносимость данных: получение данных в структурированном машиночитаемом формате.

- Право на возражение: против обработки на основании законных интересов, маркетинга или автоматизированных решений.

- Право на отзыв согласия: в любой момент без ущерба для предшествующей обработки.

- Право на подачу жалобы: в Офис по защите данных ОАЭ или органы эмирата Дубай.

Мы осуществляем верификацию личности и ведём учёт поступивших запросов. Автоматизированное принятие решений (профилирование для рекомендаций) не влечет юридических последствий; субъект данных вправе потребовать вмешательства человека.

8. Файлы cookie и аналогичные технологии

Платформа использует файлы cookie и аналогичные технологии в целях обеспечения функциональности, аналитики и таргетированной рекламы. Обязательные файлы cookie необходимы для работы Платформы; иные требуют согласия, предоставляемого через соответствующий баннер. Управление предпочтениями возможно через настройки браузера. Подробности изложены в Политике использования файлов cookie.

9. Защита персональных данных несовершеннолетних

Платформа не предназначена для лиц моложе 18 лет. Мы не осуществляем сознательный сбор персональных данных несовершеннолетних без проверяемого согласия законных представителей. При выявлении такие данные незамедлительно удаляются.

10. Применимое право и разрешение споров

Настоящая Политика регулируется законодательством ОАЭ и эмирата Дубай. Все споры, вытекающие из Политики, подлежат разрешению в судах эмирата Дубай.

Privacy Notice

Effective Date: 11 November, 2025

Travel Tech L.L.C-FZ (the "Company", "we", "us", or "our") operates an online marketplace platform (the "Platform") facilitating the booking and sale of excursions and tourism experiences (the "Services") provided by third-party excursion providers (each a "Provider" and collectively, the "Providers"). We are a limited liability company registered in Meydan Free Zone, Dubai, UAE, with registration number 2535525, and our registered office is located at Meydan Grandstand, 6th floor, Meydan Road, Nad Al Sheba, Dubai, United Arab Emirates.

As the data controller under the UAE Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data (the "PDPL"), we are committed to processing your personal data in a manner that is fair, transparent, and lawful, in compliance with the PDPL, the laws of the Emirate of Dubai, and applicable federal laws of the UAE. This Privacy Notice (the "Notice") describes our data processing practices and your rights as a data subject. It applies to all users of the Platform ("you" or "your"), including visitors, registered users, customers, and Providers.

By accessing or using the Platform, you acknowledge that you have read, understood, and agree to the terms of this Notice. If you do not agree, please do not use the Platform. We may update this Notice from time to time; material changes will be notified via the Platform or email, and continued use constitutes acceptance.

1. Personal Data We Collect

We collect personal data necessary for the provision of our services, limited to what is required for specified purposes. Personal data means any information relating to an identified or identifiable natural person.

1.1 Categories of Personal Data

- Identity Data: Full name, date of birth, gender, nationality, passport or ID number, and photographic identification.

- Contact Data: Email address, telephone number, postal address

- Financial Data: Payment card details (processed via secure third-party gateways; we do not store full card information), billing address, and transaction history.

- Transaction Data: Details of bookings, excursions purchased, tour preferences, group size, and special requirements (e.g., accessibility needs).

- Technical Data: Internet Protocol (IP) address, device type, browser type, operating system, location data (derived from IP or GPS with consent), and usage analytics (e.g., pages visited, time spent).

- Marketing and Communications Data: Preferences for receiving promotional materials, newsletters, or updates.

- Profile Data: User-generated content, such as reviews, feedback, or uploaded photos/videos from excursions (subject to your consent).

We do not routinely collect sensitive personal data (e.g., data revealing racial or ethnic origin, political opinions, religious beliefs, health data, or biometric data) unless explicitly provided by you for specific purposes, such as dietary restrictions or medical needs for excursions, in which case we process it only with your explicit consent and apply enhanced safeguards.

1.2 Sources of Personal Data

- Directly from You: Provided during registration, booking, or communication (e.g., via forms, emails, or chat).

- Automated Technologies: Collected via cookies, web beacons, server logs, or similar tools when you interact with the Platform.

- Third Parties: From payment processors, excursion providers (for fulfillment), analytics providers.

2. How We Use Your Personal Data

We process personal data for legitimate business purposes, ensuring proportionality and minimisation. Processing includes any operation performed on data, such as collection, storage, use, disclosure, or deletion.

2.1 Purposes of Processing

Where processing relies on consent, it is obtained via clear affirmative action (e.g., unchecked opt-in boxes) and is freely revocable at any time without affecting prior lawfulness. We do not process data for purposes incompatible with those specified unless we obtain further consent or a new lawful basis applies.

3. Disclosure and Sharing of Personal Data

We may disclose personal data to the following recipients, always under strict confidentiality obligations:

- Service Providers: Third-party processors (e.g., cloud hosting, payment gateways, email services) acting on our instructions, bound by data processing agreements ensuring PDPL compliance.

- Excursion Providers: To fulfill bookings, sharing only necessary transactions and contact details.

- Affiliates: Within our corporate group for operational purposes.

- Professional Advisors: Auditors, lawyers, or insurers, as required.

- Regulatory Authorities: To comply with laws, including the UAE Data Office or Dubai authorities.

- In Case of Business Transfers: To potential buyers in mergers or acquisitions (with notice to you).

We do not sell personal data. Disclosures are limited to what is necessary.

4. International Transfers

Personal data may be transferred outside the UAE where required for processing. Such transfers occur only if:

- The recipient ensures an adequate level of protection (e.g., via standard contractual clauses approved under PDPL); or

- Explicit consent is obtained; or

- Necessary for contract performance or legal obligations.

We assess adequacy on a case-by-case basis and implement safeguards, such as encryption.

5. Data Security and Breach Notification

We implement appropriate technical and organizational measures to protect personal data against unauthorized access, alteration, disclosure, or destruction, including encryption, access controls, and regular audits. These measures consider risks associated with processing.

In the event of a personal data breach posing a risk to your rights, we will notify the UAE Data Office  without undue delay (within 72 hours) and, if high risk, inform you directly, describing the breach, impacts, and mitigation steps.

6. Data Retention

We retain personal data only for as long as necessary to fulfill the purposes outlined, or as required by law (e.g., 5-7 years for financial records under UAE commercial laws). Retention periods include:

- Booking data: Duration of the excursion plus 2 years for disputes.

- Marketing data: Until opt-out or 3 years from last interaction.

- Technical data: 12 months for analytics.

Thereafter, data is securely deleted, anonymized, or archived. You may request earlier deletion subject to legal holds.

7. Your Rights as a Data Subject

 Under the PDPL, you have the following rights, exercisable free of charge via our DPO (response within one month; extensions for complex requests):

- Right of Access: Obtain confirmation of processing and a copy of your data.

- Right to Rectification: Correct inaccurate or incomplete data.

- Right to Erasure ("Right to be Forgotten"): Request deletion where no longer necessary or consent withdrawn.

- Right to Restriction: Limit processing in cases of inaccuracy or objection.

- Right to Data Portability: Receive data in a structured, machine-readable format for transfer.

- Right to Object: To processing based on legitimate interests, marketing, or automated decisions.

- Right to Withdraw Consent: At any time, without affecting prior processing.

- Right to Lodge a Complaint: With the UAE Data Office or Dubai authorities.

We verify identity before responding and maintain records of exercises. Automated decision-making (e.g., profiling for recommendations) is not used in ways producing legal effects; where applied, you may request human intervention.

8. Cookies and Similar Technologies

The Platform uses cookies and tracking technologies for functionality, analytics, and advertising. Essential cookies are necessary for operation; others require consent via our cookie banner. You may manage preferences through browser settings. For details, see our Cookie Policy.

9. Children's Privacy

The Platform is not directed at children under 18. We do not knowingly collect data from minors without verifiable parental consent. If aware, we will delete such data promptly.

10. Governing Law and Dispute Resolution

This Notice is governed by the laws of the UAE and Dubai. Disputes arising shall be resolved in the courts of Dubai.