Политика конфиденциальности

в соответствии со статьями 13 и 14 Регламента (ЕС) 2016/679 (GDPR)

Последнее обновление: 07.02.2026

1. Оператор данных

Culturae Heritage Services srls (далее также «Контролер»), с зарегистрированным офисом по адресу Via dei Banchi 6, 50123 Флоренция (FI), Италия, НДС № IT07519170489, налоговый код 07519170489, REA FI-709102.

Контактная информация по вопросам конфиденциальности: legal@vatican.museum

Контролер не назначил уполномоченного по защите данных (DPO), поскольку на него не распространяются обязательные случаи, предусмотренные статьей 37 GDPR (Контролер не осуществляет широкомасштабную обработку особых категорий данных, а также регулярный и систематический широкомасштабный мониторинг). По любым вопросам, касающимся защиты персональных данных, просьба обращаться по указанному выше адресу.

2. Сфера применения

Настоящее уведомление о конфиденциальности описывает, как Контролер обрабатывает персональные данные пользователей (далее «Пользователь» или «Субъект данных»), которые посещают и взаимодействуют с веб-сайтом vatican.museum (далее «Веб-сайт») и с другими веб-сайтами, принадлежащими Контролеру.

Настоящее уведомление применяется ко всей обработке, осуществляемой через Веб-сайт, включая контактные формы, системы регистрации, службы статистического анализа (аналитика), инструменты рекламы и измерения конверсии, антиспам-системы и системы безопасности, а также коммуникационные услуги (информационные бюллетени, транзакционные электронные письма), активируемые исключительно с предварительного согласия Пользователя, когда это требуется по закону, через Платформу управления согласием (CMP), интегрированную в Веб-сайт.

Веб-сайт носит редакционный и информационный характер. Контролер не является туроператором, туристическим агентством или туристическим посредником в соответствии с действующим законодательством. Для получения более подробной информации о характере услуги, пожалуйста, ознакомьтесь с Отказом от ответственности и Условиями использования.

3. Типы обрабатываемых данных

3.1 Данные о просмотре и технические данные

В ходе обычного просмотра веб-сайта компьютерные системы и программные процедуры, используемые для работы Веб-сайта, автоматически собирают определенные данные, передача которых подразумевается при использовании протоколов интернет-связи. К таким данным относятся: IP-адрес, тип и версия браузера, операционная система, язык, запрашиваемые URL-адреса, дата и время запросов, метод HTTP, код ответа сервера, технические идентификаторы сеанса, события безопасности.

3.2 Данные, добровольно предоставленные Пользователем

Персональные данные, которые Пользователь добровольно предоставляет через контактные формы, регистрационные формы или непосредственно по электронной почте, могут включать:

• имя и фамилию;
• адрес электронной почты;
• номер телефона;
• страну происхождения;
• содержание свободного текста сообщения;
• учетные данные для входа (электронная почта и пароль) в случае регистрации;
• любая другая информация, которую Пользователь добровольно решает предоставить.

3.3 Данные, собираемые с помощью файлов cookie и аналогичных технологий

Веб-сайт использует файлы cookie и аналогичные технологии (локальное хранилище, пиксели, теги) для сбора онлайн-идентификаторов и информации об использовании Веб-сайта в соответствии с предпочтениями, выраженными Пользователем через CMP. Подробную информацию см. в Политике использования файлов cookie.

3.4 Данные, связанные с рекламными кампаниями и партнерскими программами

В рамках мероприятий по цифровому маркетингу могут собираться параметры отслеживания кампаний (например, gclid, fbclid, msclkid, ttclid, параметры utm_*) и агрегированные показатели конверсии, всегда в соответствии с выраженным согласием Пользователя.

3.5 Данные, связанные с бронированием

Когда Пользователь бронирует тур или экскурсию через Веб-сайт, данные, связанные с транзакцией (статус бронирования, ссылки на ваучеры), могут обрабатываться Контролером исключительно для отправки сообщений, связанных с транзакцией (например, подтверждение бронирования, изменения статуса, наличие ваучера). Данные о платежах (кредитные карты, банковские реквизиты, коды безопасности) никогда не собираются, не обрабатываются и не хранятся Контролером, так как ими управляет исключительно сторонний партнер, ответственный за обработку платежей (см. Раздел 7).

3.6 Данные, связанные с информационными бюллетенями и коммерческими сообщениями

Если Пользователь подписывается на информационную рассылку, Контролер собирает адрес электронной почты Пользователя и любые тематические предпочтения. Подписка является добровольной и осуществляется исключительно с явного предварительного согласия Пользователя.

3.7 Обязательный или факультативный характер предоставления данных

Предоставление данных о просмотре необходимо для технического функционирования Веб-сайта. Предоставление данных в контактных и регистрационных формах является добровольным; однако непредставление данных, помеченных как обязательные (например, имя, адрес электронной почты), может сделать невозможным для Контролера ответить на запрос Пользователя, создать учетную запись или предоставить запрошенную услугу.

Согласие на использование файлов cookie и технологий аналитики, маркетинга и профилирования является полностью добровольным, и отказ от предоставления такого согласия никоим образом не влияет на просмотр Веб-сайта или доступ к его контенту.

4. Цели, правовые основания и сроки хранения

Контролер обрабатывает персональные данные в целях, описанных в таблице ниже. В указанных случаях обработка осуществляется исключительно с предварительного явного согласия Пользователя.

Указанные сроки хранения являются разумными максимальными сроками и могут быть сокращены в соответствии с принципом ограничения хранения (статья 5(1)(e) GDPR).

В случаях, когда обработка основана на законных интересах Контролера (ст. 6(1)(f) GDPR), Контролер провел оценку соотношения интересов (Legitimate Interest Assessment — LIA), чтобы убедиться, что его законные интересы не преобладают над правами и основными свободами Субъектов данных. Пользователь может запросить копию такой оценки, написав по адресам, указанным в Разделе 1.

5. Файлы cookie и платформа управления согласием (CMP)

Веб-сайт использует платформу управления согласием (CMP), соответствующую Google Consent Mode v2 (обязательной с марта 2024 года для европейских рекламодателей), которая позволяет Пользователю:

• принимать, отклонять или настраивать категории нетехнических файлов cookie и инструментов;
• изменять свои настройки в любое время с помощью инструмента «Управление настройками файлов cookie», доступного на Веб-сайте;
• быть информированным о том, что аналитические, маркетинговые и профилирующие файлы cookie и технологии активируются только после получения действительного согласия.

Превентивная блокировка: никакие файлы cookie или технологии, не являющиеся строго необходимыми,не устанавливаются на устройство Пользователя до тех пор, пока Пользователь не выразит свое согласие через CMP. В отсутствие согласия активны только технические/необходимые файлы cookie.

Отзыв согласия: Пользователь может отозватьсвое согласие в любое время с той же легкостью, с которой оно было дано, с помощью инструмента «Управление настройками файлов cookie», доступного на Веб-сайте, без ущерба для законности обработки данных на основании согласия, данного до его отзыва (ст. 7(3) GDPR).

Технические/необходимые файлы cookie (включая файл cookie _GRECAPTCHA от Google reCAPTCHA) не требуют согласия и активны по умолчанию, поскольку они необходимы для работы и безопасности Веб-сайта.

Для получения полной информации, включая полный список используемых файлов cookie, пожалуйста, ознакомьтесь с Политикой использования файлов cookie.

6. Получатели данных

Персональные данные могут быть раскрыты следующим сторонам, выступающим в качестве обработчиков данных (ст. 28 GDPR), независимых контролеров или уполномоченных лиц:

Поставщики ИТ-услуг и услуг хостинга

• OVH SAS (OVHcloud): хостинг, выделенные серверы, инфраструктура — дата-центр в Лимбурге, Германия (ЕЭЗ). Действует в качестве обработчика данных в соответствии со ст. 28 GDPR.

Поставщики аналитических, рекламных и безопасности услуг (активируются по согласию CMP)

• Google Ireland Ltd / Google LLC: Google Tag Manager, Google Analytics 4, Google Ads (конверсии/ремаркетинг), Google reCAPTCHA v3.
• Microsoft Corporation / Microsoft Ireland Operations Ltd: Bing Ads (UET), Microsoft Clarity.
• Meta Platforms Ireland Ltd / Meta Platforms Inc.: Facebook Pixel, Instagram Ads.
• TikTok Technology Ltd / ByteDance Ltd: TikTok Pixel.
• Hotjar Ltd: анализ поведения и тепловые карты.

Поставщики услуг связи

• Amazon Web Services EMEA SARL (AWS): Amazon SES и SNS для транзакционных писем и информационных бюллетеней — регион eu-west-1 (Ирландия, ЕЭЗ). Выступает в качестве обработчика данных в соответствии со ст. 28 GDPR.

Коммерческие партнеры (независимые контролеры)

• Viator Inc. (Tripadvisor Group): партнер по бронированию и оплате туров и развлечений посредством интеграции iframe. Viator выступает в качестве независимого контролера данных в отношении платежных данных и предоставления туристических услуг.
• GetYourGuide Deutschland GmbH: партнер по турам и развлечениям.
• LivTours: партнер по турам и развлечениям.

Когда Пользователь перенаправляется на веб-сайты сторонних партнеров (партнерский маркетинг), обработка персональных данных Пользователя регулируется политикой конфиденциальности соответствующего партнера.

Другие получатели

• Юридические, налоговые и коммерческие консультанты в качестве обработчиков или уполномоченных лиц.
• Компетентные органы, если это требуется по закону.

Контролер не продает персональные данные Пользователей.

7. Оплата через стороннего партнера (Viator)

Веб-сайт предлагает возможность приобретать туры и впечатления непосредственно на его страницах. Процесс оплаты осуществляется полностью через интегрированный модуль (iframe), предоставленный компанией Viator Inc. (Tripadvisor Group).

Контролер никоим образом не собирает, не обрабатывает и не хранит платежные данные Пользователя (номера кредитных карт, банковские реквизиты, коды безопасности). Такие данные собираются, обрабатываются и хранятся исключительно компанией Viator, которая выступает в качестве независимого Контролера данных в отношении платежных данных и предоставления туристических услуг.

Контролер получает от Viator исключительно:

• агрегированные и статистические данные о конверсиях;
• информацию о статусе бронирования (для отправки пользователю сообщений о транзакциях);
• коммерческие комиссионные.

Счет-фактура и ваучер на приобретенный тур выдаются непосредственно компанией Viator.

Что касается обработки платежных данных, пожалуйста, ознакомьтесь с Политикой конфиденциальности Viator.

8. Передача данных за пределы ЕЭЗ

Некоторые поставщики (в частности, группы с головными офисами в США) могут осуществлять передачу персональных данных в страны за пределами Европейской экономической зоны (ЕЭЗ). В таких случаях Контролер принимает адекватные меры безопасности в соответствии со статьями 44 и последующими GDPR, включая:

• Стандартные договорные условия (SCC) Европейской комиссии (ст. 46(2)(c) GDPR) в обновленной версии (2-й квартал 2025 г.) и, при необходимости, оценки воздействия передачи данных (TIA) и дополнительные меры в соответствии с Рекомендациями EDPB 01/2020;
• решений Европейской комиссии об адекватности, если таковые имеются (например, Рамочная соглашение между ЕС и США о конфиденциальности данных для сертифицированных организаций в США);
• дополнительные технические и организационные меры (минимизация данных, псевдонимизация, шифрование при передаче и хранении, разделение доступа).

К основным поставщикам, подпадающим под передачу данных за пределы ЕЭЗ, относятся: Google LLC, Meta Platforms Inc., Microsoft Corporation, TikTok/ByteDance, Amazon Web Services Inc., Viator Inc.

Пользователь может запросить информацию о конкретных принятых мерах безопасности и копию применимых стандартных договорных условий, написав по адресам, указанным в разделе 1.

9. Права субъекта данных

Пользователь может в любое время реализовать права, предусмотренные статьями 15–22 GDPR:

• право на доступ к персональным данным (ст. 15);
• право на исправление и обновление (ст. 16);
• право на удаление («право на забвение»), где это применимо (ст. 17);
• право на ограничение обработки (ст. 18);
• право на переносимость данных, если это применимо (ст. 20);
• право на возражение, в частности против обработки на основании законных интересов (ст. 21); в случае возражения Контролер должен воздержаться от дальнейшей обработки данных, если только он не докажет наличие веских законных оснований;
• право не подвергаться решениям, основанным исключительно на автоматизированной обработке, включая профилирование (ст. 22);
• право отозвать согласие в любое время с той же легкостью, с которой оно было дано, без ущерба для законности обработки, осуществленной до отзыва (ст. 7(3)).

Для осуществления своих прав, пожалуйста, напишите по адресу: legal@vatican.museum

Контролер отвечает, как правило, в течение 1 месяца с момента получения запроса; этот срок может быть продлен до 3 месяцев в случаях особой сложности или большого количества запросов (ст. 12 GDPR). В случае продления срока Пользователь будет проинформирован об этом в течение 1 месяца. Осуществление прав является бесплатным, за исключением случаев, когда запросы являются явно необоснованными или чрезмерными (ст. 12(5) GDPR).

9.1 Процессы автоматизированного принятия решений

Контролер не осуществляет никаких полностью автоматизированных процессов принятия решений, включая профилирование, которые производят правовые последствия в отношении Пользователя или аналогичным образом существенно затрагивают Пользователя (ст. 22 GDPR). Аналитические и маркетинговые инструменты, используемые Веб-сайтом, предназначены исключительно для агрегированных статистических и рекламных целей и не приводят к автоматизированным индивидуальным решениям.

9.2 Жалоба в надзорный орган

Пользователь имеет право подать жалобу в компетентный надзорный орган.

Для Италии:

Garante per la Protezione dei Dati Personali

Piazza Venezia, 11 — 00187 Roma (RM), Италия

Веб-сайт: www.garanteprivacy.it

PEC: protocollo@pec.gpdp.it

Телефон: (+39) 06 696771

Также следует отметить, что Регламент (ЕС) 2025/2518, опубликованный в ноябре 2025 года и вступающий в силу через 15 месяцев после публикации, вводит новые процессуальные правила для улучшения сотрудничества между европейскими органами по защите данных в трансграничных делах, обеспечивая дополнительные гарантии прав субъектов данных.

10. Google reCAPTCHA v3 — Специальное уведомление

Веб-сайт использует Google reCAPTCHA v3, сервис защиты от спама и ботов, предоставляемый Google Ireland Ltd / Google LLC, активируемый исключительно на страницах, содержащих формы.

Со 2 апреля 2026 года, в соответствии с объявлением Google, reCAPTCHA работает по модели, при которой Google выступает в качестве Обработчика данных, а Контролер Веб-сайта является Контролером данных в отношении данных, собираемых через reCAPTCHA.

Это означает, что:

• ссылки на Политику конфиденциальности и Условия предоставления услуг Google в отношении reCAPTCHA больше не применимы и были удалены с Веб-сайта;
• обработка данных, собираемых reCAPTCHA, регулируется настоящей Политикой конфиденциальности и Дополнением об обработке данных в Google Cloud;
• reCAPTCHA устанавливает необходимый файл cookie (_GRECAPTCHA) для анализа рисков, который классифицируется как технический/необходимый файл cookie, не требующий согласия.

Данные, собираемые reCAPTCHA, могут включать: IP-адрес, поведенческие данные (движения мыши, модели взаимодействия), информацию о браузере и устройстве. Такие данные используются исключительно в целях безопасности и предотвращения мошенничества.

11. Несовершеннолетние

Веб-сайт не предназначен для лиц младше 16 лет (пороговое значение, установленное ст. 2-quinquies Законодательного декрета 196/2003 для Италии). Контролер не намеревается сознательно собирать персональные данные несовершеннолетних. Если родитель или опекун считает, что данные несовершеннолетнего были собраны без необходимого согласия, он может связаться с Контролером по контактным данным, указанным в Разделе 1, чтобы запросить их немедленное удаление.

12. Меры безопасности

Контролер принимает надлежащие технические и организационные меры для защиты персональных данных от несанкционированного доступа, потери, уничтожения или изменения (ст. 32 GDPR), включая: зашифрованную связь (HTTPS/TLS), аутентифицированный доступ с минимальными привилегиями, периодическое резервное копирование, обновления безопасности, мониторинг доступа, процедуры управления инцидентами безопасности.

13. Изменения в настоящей Политике конфиденциальности

Контролер оставляет за собой право обновлять настоящую Политику конфиденциальности в любое время. Дата последнего обновления указана в верхней части документа. О существенных изменениях будет сообщено посредством уведомления на Веб-сайте и, по возможности, по электронной почте зарегистрированным Пользователям. Пользователю рекомендуется периодически просматривать эту страницу.

14. Применимое право и юрисдикция

Настоящая Политика конфиденциальности регулируется Регламентом (ЕС) 2016/679 (GDPR), Директивой 2002/58/EC (ePrivacy), итальянским законодательством о защите персональных данных (Законодательный декрет 196/2003 с поправками, внесенными Законодательным декретом 101/2018), а также применимыми положениями и руководящими принципами Garante per la Protezione dei Dati Personali и EDPB.

По любым спорам, связанным с толкованием или применением настоящей политики, юрисдикцию имеет суд Флоренции, если иное не предусмотрено императивными положениями о защите прав потребителей.