Курорт АрхызTravelTechExpert
АРХЫЗ курорт на главную

Политика обработки персональных данных

Согласно Федеральному закону № 152-ФЗ от 27.07.2006

Последнее обновление: 22 мая 2026

Черновик документа. Текст составлен на основе типовых формулировок и требований российского законодательства (ФЗ-152, ФЗ-54, ФЗ-38, ЗоЗПП). Финальная редакция будет согласована с юридической службой курорта и регуляторными органами до production-релиза.

1. Оператор персональных данных

ООО «Горные вершины» (далее — «Оператор», «Курорт»), ИНН/ОГРН/КПП — указываются в финальной редакции, юридический адрес: Карачаево-Черкесская Республика, Зеленчукский р-н, пос. Архыз.

Назначенное ответственное лицо за обработку персональных данных (DPO) — указывается. Контакт для запросов субъектов: dpo@tickets.resort-a.com.

2. Категории персональных данных

Оператор обрабатывает следующие категории данных:

  • Идентификационные: ФИО, дата рождения, серия и номер документа (для именных билетов и сезонников по требованиям безопасности РФ).
  • Контактные: email, номер мобильного телефона.
  • Платёжные: сведения о платежах (без хранения номера карты — токенизация на стороне PSP-эквайера).
  • Активность на курорте: история подъёмов (вертикали), купленные билеты, бонусы программы «Вершина».
  • Технические: IP-адрес, тип браузера и устройства, cookie-идентификаторы (с согласия).

3. Цели обработки

  • Заключение и исполнение договора (выпуск билета, сезонника);
  • Идентификация участника при проходе через турникет канатки;
  • Отправка фискальных чеков и подтверждений заказа в соответствии с ФЗ-54;
  • Учёт операций в программе лояльности «Вершина» (накопление вертикалей, начисление кэшбека, присвоение уровня);
  • Информирование о статусе работы курорта, важных уведомлениях, обновлениях расписания;
  • Маркетинговые коммуникации (рассылки, спецпредложения) — только при наличии отдельного согласия по ФЗ-38;
  • Анализ работы сайта и мобильного приложения (аналитика, A/B-тесты).

4. Правовые основания обработки

  • Согласие субъекта (ст. 6 ч. 1 п. 1 ФЗ-152) — для маркетинговых коммуникаций, рекламы, профилирования;
  • Договор (ст. 6 ч. 1 п. 5 ФЗ-152) — для оформления покупки и оказания услуг;
  • Закон (ст. 6 ч. 1 п. 2 ФЗ-152, ФЗ-54) — для фискализации и отправки чеков.

5. Передача третьим лицам

Оператор передаёт персональные данные следующим лицам — только в объёме, необходимом для оказания услуг:

  • Axess AG (Австрия): ФИО, дата рождения, серия/номер документа (для именных билетов на турникеты канатных дорог). Уведомление в Роскомнадзор по ч. 3 ст. 12 ФЗ-152 направлено. Австрия включена в перечень государств без адекватной защиты ПДн — обработка ведётся на основании отдельного согласия субъекта в момент покупки.
  • Apple Inc / Google LLC (США): UID и QR-код билета для добавления в Apple Wallet / Google Wallet. Передаётся только техническая идентификация без ФИО и контактов. Согласие — на этапе onboarding в Wallet.
  • PSP-эквайер (российский банк): сведения об оплате для процессинга. Полные реквизиты карт обрабатываются на стороне эквайера и в инфраструктуре Оператора не сохраняются.
  • ОФД (оператор фискальных данных): чеки и фискальная информация по требованиям ФЗ-54.

6. Срок хранения

  • Договорные данные (билеты, чеки) — 5 лет с момента окончания договорных отношений (НК РФ, ст. 23).
  • Данные программы лояльности — 3 года с момента последней активности, после чего архивируются.
  • Маркетинговые согласия — до отзыва субъектом (отзыв через email dpo@tickets.resort-a.com или в личном кабинете).
  • Технические логи и cookie — 6 месяцев.

7. Права субъекта ПДн

В соответствии со ст. 14 ФЗ-152 субъект ПДн имеет право:

  • Получать сведения об обработке своих данных;
  • Требовать уточнения, блокирования или уничтожения данных;
  • Отозвать своё согласие на обработку в любой момент;
  • Обжаловать действия Оператора в Роскомнадзоре или в суде.

Срок ответа Оператора на запрос субъекта — 10 рабочих дней с момента получения письменного обращения (ст. 14 ч. 4 ФЗ-152).

8. Безопасность данных

Оператор обеспечивает защиту персональных данных в соответствии с требованиями ст. 18.1, 19 ФЗ-152 и приказа ФСТЭК России №21:

  • Шифрование передачи данных через TLS 1.3, сертификаты OV/EV для всех публичных endpoint;
  • Хеширование паролей с использованием bcrypt / Argon2;
  • Ролевая модель доступа (RBAC), ведение журналов действий сотрудников;
  • Регулярный аудит безопасности и пентесты;
  • План реагирования на инциденты с уведомлением Роскомнадзора в течение 24 часов по ст. 21 ч. 3.1 ФЗ-152.

9. Cookies и аналитика

На сайте используются cookies трёх категорий:

  • Essential — необходимые для работы (сессия, корзина). Не требуют отдельного согласия.
  • Analytics — Яндекс Метрика, внутренняя аналитика. Включаются по согласию пользователя в cookie-баннере.
  • Marketing — пиксели рекламных кабинетов, ретаргетинг. Включаются по отдельному согласию.

Управление согласиями — в cookie-баннере или в личном кабинете (раздел «Конфиденциальность»). Отзыв согласия не блокирует использование сайта.

10. Заключительные положения

Настоящая Политика действует с момента её публикации и до изменения Оператором. Изменения вступают в силу с момента публикации новой редакции на сайте tickets.resort-a.com/legal/privacy.

По всем вопросам обработки персональных данных обращайтесь к DPO: dpo@tickets.resort-a.com.