1. Введение
Компания Experience North Santorini («мы», «нас», «наш») стремится защищать ваши персональные данные. Настоящая Политика конфиденциальности объясняет, как мы собираем, используем, храним и передаем вашу информацию при использовании вами нашего веб-сайта. experience-northsantorini.com (далее «Сайт») и связанные с ним услуги.
В соответствии с Общим регламентом по защите данных (ЕС) 2016/679 («GDPR») мы являемся оператором персональных данных. Наши контактные данные указаны в [ссылка на документ]. Связаться с нами раздел ниже.
2. Собираемые нами данные
| Категория | Конкретные данные | Цель | Законное основание |
|---|---|---|---|
| Информация об учетной записи | Адрес электронной почты, имя, номер телефона | Создайте и управляйте своей учетной записью. | Исполнение контракта |
| Данные бронирования | Даты, количество гостей, предпочтения, особые пожелания | Обработайте и выполните ваши бронирования. | Исполнение контракта |
| Форма обратной связи | Имя, электронная почта, телефон, сообщение | Ответить на ваши запросы | Законный интерес |
| Платежные данные | Данные карты (обрабатываются компанией Viva, никогда не хранятся у нас) | Безопасная обработка платежей | Исполнение контракта |
| Технические данные | IP-адрес, тип браузера, информация об устройстве, посещенные страницы. | Безопасность, мониторинг производительности, предотвращение злоупотреблений | Законный интерес |
| Мониторинг ошибок | Ошибки JavaScript, трассировки стека, анонимизированные записи сеансов. | Выявление и устранение технических проблем | Законный интерес |
| Аналитика | Просмотры страниц, источник перехода, анонимные показатели посетителей, анонимизированные IP-адреса (Google Analytics) | Анализируем использование сайта и улучшаем наши услуги. | Согласие |
3. Как мы используем ваши данные
Мы обрабатываем ваши персональные данные в следующих целях:
- Выполнение бронирований — Обработка ваших бронирований на различные мероприятия, в том числе на питание, спа-процедуры, круизы и трансферы.
- Обработка платежей — Мы обеспечиваем безопасную обработку транзакций через Viva. Мы никогда не храним данные вашей карты на наших серверах.
- Транзакционные электронные письма — Отправка подтверждений бронирования, напоминаний и уведомлений об отмене через Resend.
- Безопасность сайта — Защита от злоупотреблений, бот-атак и мошеннических действий с помощью Cloudflare и Cloudflare Turnstile.
- Мониторинг ошибок — Выявление и устранение ошибок с помощью Sentry (с маскировкой всего текста и без сбора персональных данных).
- Аналитика — Мы отслеживаем, как посетители используют наш сайт, с помощью Google Analytics 4 (с анонимизацией IP-адресов) и Vercel Analytics (только с вашего согласия).
- Доставка медиаконтента — Оптимизированная передача изображений и видео осуществляется через Cloudflare R2 и Mux.
5. Услуги третьих сторон
Мы передаем данные следующим сторонним поставщикам услуг, каждый из которых выступает в качестве обработчика данных в соответствии с GDPR:
| Услуга | Обмен данными | Цель | Расположение |
|---|---|---|---|
| Supabase | Account data, bookings, profiles | Database and authentication | EU (Frankfurt) |
| Viva | Payment card details, billing info | Payment processing | EU / US |
| Vercel | Anonymous page views (with consent) | Hosting and analytics | Global edge network |
| Google Analytics | Anonymised IP, page views, referrer, device info (with consent) | Website analytics | US (EU DPF certified) |
| Sentry | Error logs, masked session replays (with consent) | Error monitoring | US (EU DPF certified) |
| Resend | Email address, name | Transactional emails | US (EU DPF certified) |
| Cloudflare | IP address, request metadata | CDN, DDoS protection, bot management | Global edge network |
| Cloudflare R2 | Uploaded files (admin only) | Image storage and delivery | Global edge network |
| Upstash | IP-based identifiers (hashed) | Rate limiting to prevent abuse | EU (Frankfurt) |
| Mux | IP address, playback metrics | Video streaming and delivery | US (EU DPF certified) |
6. Сохранение данных
Мы храним ваши персональные данные только до тех пор, пока это необходимо для достижения целей, для которых они были собраны:
| Тип данных | Срок хранения |
|---|---|
| Account data | While your account is active, plus 30 days after deletion request |
| Booking records | 7 years (Greek tax and accounting requirements) |
| Contact form submissions | 12 months |
| IP addresses (rate limiting) | 24 hours (auto-expire in Upstash) |
| Error logs (Sentry) | 90 days |
| Analytics data | 12 months (aggregated and anonymised) |
| Payment records | As required by Viva; we do not store card details |
7. Ваши права в соответствии с GDPR
В соответствии с GDPR, как субъект персональных данных, вы обладаете следующими правами в отношении ваших персональных данных:
- Право доступа — Запросите копию ваших персональных данных, которые мы храним.
- Право на исправление — Запросить исправление неточных или неполных данных.
- Право на удаление — Запросить удаление ваших персональных данных (с учетом установленных законом обязательств по хранению).
- Право на ограничение — Просим ограничить обработку ваших данных.
- Право на переносимость данных — Получайте свои данные в структурированном машиночитаемом формате.
- Право возражать — возражать против обработки данных на основании законного интереса.
- Право отозвать согласие — Вы можете отозвать свое согласие на обработку данных, основанную на согласии (например, аналитические файлы cookie), в любое время, без ущерба для законности обработки данных до отзыва согласия.
- Право подать жалобу — Вы можете подать жалобу в Греческое управление по защите данных (HDPA) по адресу: www.dpa.gr или в местный надзорный орган ЕС.
Для осуществления любого из этих прав, пожалуйста, свяжитесь с нами по адресу:infonorthsantorini.com Мы ответим в течение 30 дней.
8. Международная передача данных
Некоторые из наших поставщиков услуг обрабатывают данные за пределами Европейской экономической зоны (ЕЭЗ). В таких случаях мы обеспечиваем наличие соответствующих мер защиты:
- EU-US Data Privacy Framework — Google, Sentry, Resend, Mux, and Vercel are certified under the EU-US Data Privacy Framework.
- Standard Contractual Clauses (SCCs) — where the DPF does not apply, we rely on EU-approved Standard Contractual Clauses.
- EU-based processing — our primary database (Supabase) and rate limiting infrastructure (Upstash) are hosted in the EU (Frankfurt).
9. Безопасность данных
Мы внедряем соответствующие технические и организационные меры для защиты ваших персональных данных:
- Encryption in transit — all connections use HTTPS/TLS, enforced by Cloudflare.
- Password security — passwords are hashed using bcrypt via Supabase Auth.
- Row Level Security — database access is restricted so users can only access their own data.
- Rate limiting — API endpoints are rate-limited to prevent brute-force and abuse attacks.
- Bot protection — Cloudflare Turnstile verifies human users on sensitive forms.
- Error monitoring — Sentry provides real-time alerting with all PII masked.
10. Конфиденциальность детей
Наши услуги не предназначены для лиц младше 18 лет. Мы сознательно не собираем персональные данные детей. Если вы считаете, что мы непреднамеренно собрали данные ребенка, пожалуйста, свяжитесь с нами, и мы незамедлительно удалим их.
11. Изменения в настоящей Политике
Мы можем периодически обновлять настоящую Политику конфиденциальности, чтобы отразить изменения в нашей практике или применимом законодательстве. При внесении существенных изменений мы обновим дату «Последнее обновление» в верхней части этой страницы. В случае значительных изменений мы также можем уведомить вас по электронной почте или посредством заметного уведомления на нашем веб-сайте.
12. Свяжитесь с нами
Если у вас есть вопросы по поводу данной Политики конфиденциальности или вы хотите воспользоваться своими правами на защиту данных, пожалуйста, свяжитесь с нами:
Experience North SantoriniПиргос, Санторини 847 00
Киклады, Греция
Электронная почта: infonorthsantorini.com
Телефон: +30 22860 71234