Политика конфиденциальности Gamebi

Версия v0.2 — 2026-05-06 (Session 117). Заполнены поля § 1 «Оператор» в режиме honest deferred Wave 2 (decision sprint Session 116, см. docs/13-compliance.md § Wave 1 honest declarations). Окончательная версия v1.0 — после юр-вычитки + фактической регистрации Оператора + подачи уведомления в РКН (Wave 2).

Change-log: - v0.2 — 2026-05-06 (S117) — § 1 «Оператор» заполнен в режиме honest declaration: ответственное лицо, отложенная регистрация Оператора и реестра РКН, контактный e-mail. § 9 «Жалоба в РКН» — добавлен e-mail для электронных обращений. Bump версии активирует повторный запрос согласия в banner cookie/consent (§ 14). - v0.1 — 2026-04-30 (S75) — первый черновик с placeholder-маркерами ({TODO} в § 1 + 7 других разделах). Предложения по 13 разделам; маркеры под юр-вычитку.

Ссылки на 152-ФЗ — по состоянию на 2026-04. Источник правил: docs/13-compliance.md § 152-ФЗ + § Wave 1 honest declarations (Session 116, 2026-05-06).

1. Кто оператор персональных данных

Платформой gamebi.ru и её поддоменами *.gamebi.ru управляет:

• Ответственное лицо: Мокровицкий Николай Анатольевич (учредитель Платформы), действующий в качестве физического лица в режиме proof-of-concept Wave 1.
• Контактный e-mail для запросов по ПДн: ejayjobs@gmail.com

Honest declaration о статусе Оператора (Wave 1, S116 decision sprint):

Платформа Gamebi в текущей редакции (Wave 1) запущена как proof-of-concept и не завершила процедуру формальной регистрации Оператора персональных данных в смысле 152-ФЗ:

• Регистрация хозяйствующего субъекта (ИП либо ООО) под Платформу — отложена до Wave 2 одновременно с подачей уведомления в реестр операторов ПДн в Роскомнадзор. До этого Платформа функционирует на личной ответственности учредителя.
• Уведомление в реестр операторов ПДн в Роскомнадзор — не подавалось (Wave 2). Согласно ч. 1 ст. 22 152-ФЗ, оператор обязан направить уведомление до начала обработки. Платформа осознанно принимает риск штрафа по ст. 19.7 КоАП РФ (30-150 тыс. ₽ для юр.лиц, 3-15 тыс. ₽ для физ.лиц) на период Wave 1 как соразмерный business-risk до Migration Phase. Подробности — docs/13-compliance.md § Wave 1 honest declarations (Session 116, 2026-05-06).
• Должность DPO (data protection officer) в смысле ч. 1 ст. 22.1 152-ФЗ не назначена (Wave 2). Функции, перечисленные в ч. 2 ст. 22.1, в Wave 1 исполняет учредитель.

Платформа явно фиксирует данную позицию в публичной Политике, чтобы субъект ПДн принимал решение о регистрации с полным пониманием статуса Оператора. Subject ПДн имеет право подать жалобу в Роскомнадзор напрямую (см. § 9) — Платформа не препятствует такой жалобе и обязуется содействовать в проверке.

Wave 2 plan: регистрация Оператора (ИП/ООО) → уведомление в РКН → назначение DPO + публикация контактных данных DPO → bump Политики до v1.0 → повторный prompt согласия пользователей.

2. На основании чего мы обрабатываем ваши данные

Обработка персональных данных осуществляется в соответствии с:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»);
• Конституцией Российской Федерации;
• Гражданским кодексом Российской Федерации;
• Налоговым кодексом Российской Федерации;
• Общим регламентом по защите данных EU 2016/679 (GDPR) — применяется к субъектам, находящимся на территории EU.

Юрисдикция Gamebi — Российская Федерация. Все споры, связанные с обработкой ПДн, рассматриваются по законодательству РФ.

3. Категории субъектов

Мы обрабатываем персональные данные следующих категорий лиц:

1. Покупатели — физические лица, оплачивающие товары и услуги в магазинах на поддоменах *.gamebi.ru либо через Telegram-боты магазинов.
2. Блогеры (тенанты) — физические лица, регистрирующиеся в системе для запуска собственных магазинов на платформе Gamebi.
3. Поставщики — физические или юридические лица (через своих представителей), загружающие товары и обслуживающие заказы.
4. Сотрудники команд поставщиков — лица с ролями manager/finance/executor в командах поставщиков.
5. Сотрудники Gamebi — суперадминистраторы, модераторы, операторы поддержки.
6. Посетители сайта — лица, заходящие на витрины без регистрации (анонимный трафик).

4. Какие данные мы собираем

4.1 От покупателей

• Email-адрес (обязателен для заказа и доставки цифрового товара).
• Telegram user ID и username (если регистрация / покупка через TG-бот).
• Платёжные данные (только в момент оплаты, обрабатываются на стороне платёжного провайдера; Gamebi получает только статус и идентификатор транзакции).
• IP-адрес, User-Agent, cookies (см. Cookie Policy).
• История заказов и сообщений в чатах с поставщиками.

4.2 От блогеров (тенантов)

• Email + пароль (хеш argon2id).
• Telegram user ID для OAuth-входа (опционально Wave 1, обязательно Wave 2+).
• Имя или название магазина.
• Реквизиты для выплат: <TODO: банковская карта / счёт ИП / СБП — уточнить юристом форму запроса>.
• IP-адрес, время регистрации, факт согласия на обработку ПДн (записывается в audit_log).

4.3 От поставщиков

• Юридическое наименование, ИНН / ОГРН (для юр.лиц) или ФИО + ИНН (для самозанятых).
• Email основного представителя.
• Реквизиты для выплат.
• KYC-документы (Wave 1 — базовый KYC через подтверждение email + ИНН; Wave 2 — расширенный через провайдер AML, см. docs/decisions/p4.md Q48).
• Telegram user ID членов команды (manager/finance/executor).

4.4 От посетителей

• IP-адрес, User-Agent, реферальные cookies (см. Cookie Policy).
• Идентификаторы реферальных кампаний (если переход с реферальной ссылки блогера).

5. Цели обработки

| Цель | Правовое основание | Срок хранения | |---|---|---| | Регистрация и аутентификация пользователя | Договор-присоединение (ч. 5 ст. 6 152-ФЗ) | До отзыва согласия + 2 года бездействия → псевдонимизация | | Обработка заказа: оплата, выдача товара, чат с поставщиком | Договор-присоединение | 5 лет (срок хранения первичной финансовой документации, ст. 23 НК РФ) | | Реферальный учёт и начисление комиссий | Договор-присоединение | 5 лет | | Финансовые расчёты с блогерами и поставщиками (выплаты, refund'ы) | Налоговое законодательство РФ | 5 лет | | Email-рассылки (transactional + маркетинг) | Согласие пользователя (отдельный чекбокс на маркетинг) | До отзыва согласия | | Обеспечение безопасности (audit_log, борьба с мошенничеством) | Законный интерес оператора (ч. 7 ст. 6 152-ФЗ) | 5 лет | | Разрешение споров между сторонами сделки | Договор-присоединение + законный интерес | 5 лет (полный срок арбитража) | | Аналитика (агрегированные показатели, без идентификаторов) | Законный интерес оператора | без ограничения (агрегаты не являются ПДн) |

Цели обработки не расширяются без отдельного согласия пользователя. Профайлинг для рекламных целей не ведётся.

6. Где и как мы храним ваши данные

6.1 Геолокация серверов

В соответствии с ч. 5 ст. 18 152-ФЗ, обработка персональных данных граждан РФ осуществляется на серверах, расположенных на территории Российской Федерации:

• База данных PostgreSQL — VPS у российского провайдера <TODO: Timeweb / Selectel — уточнить финального провайдера>.
• Backend-приложения (FastAPI + aiogram) — РФ-VPS у того же провайдера.
• Резервные копии — Selectel S3 с режимом Object Lock (compliance-mode).
• Email-доставка — Brevo (<TODO: подтвердить географию серверов Brevo на момент публикации; при необходимости использовать РФ-провайдера>).

Опционально может использоваться TCP-passthrough VPS в Амстердаме для обхода блокировок, без обработки payload'ов — юридически считается каналом транзита.

6.2 Технические меры защиты

• Шифрование at-rest: LUKS-шифрование диска на VPS с БД.
• Шифрование на уровне полей: AES-256-GCM для email, telephone, telegram_id, inventory-ключей, токенов TG-ботов, платёжных credentials.
• Inventory-ключи — envelope encryption (per-record data key), мастер-ключ хранится отдельно от данных.
• Шифрование in-transit: TLS 1.3 на всех публичных endpoint'ах, sslmode=require между приложением и БД.
• Row-Level Security (RLS) в PostgreSQL — гарантирует изоляцию данных между тенантами.
• Двухфакторная защита админ-доступов: SSH key-only, fail2ban, fail-closed firewall.
• Логирование всех значимых событий в audit_log (immutable INSERT-only, retention 5 лет).

6.3 Организационные меры защиты

• Доступ к ПДн сотрудников Gamebi разграничен по принципу минимальных полномочий.
• Отдельный сотрудник назначен ответственным за обработку ПДн (см. § 1).
• Внутренние политики: парольная политика, политика разграничения доступа, политика реагирования на инциденты (docs/14-observability.md).
• Все сотрудники подписывают NDA с обязательством не раскрывать ПДн третьим лицам.

7. Передача данных третьим лицам

Мы передаём минимально необходимый набор данных следующим контрагентам:

| Контрагент | Что передаём | Зачем | Юридическое основание | |---|---|---|---| | Платёжный провайдер (FreeKassa в Wave 1) | Сумма заказа, идентификатор покупателя (внутренний UUID, не email) | Приём платежа, возвраты | Договор с провайдером + согласие пользователя | | Email-провайдер (Brevo) | Email-адрес, имя, текст транзакционного письма | Доставка email | Договор с провайдером | | Telegram (Telegram Messenger Inc.) | Telegram user ID, текст сообщений ботов | Доставка сообщений через TG Bot API | Использование сервиса по согласию пользователя (через регистрацию TG-аккаунта) | | Поставщики (через чат и обработку заказов) | Email покупателя для доставки ключа, история чата | Исполнение обязательств по доставке | Договор-присоединение | | Налоговые органы РФ (ФНС) | Финансовые данные о выплатах | Налоговая отчётность | Налоговое законодательство РФ | | Правоохранительные органы РФ | По запросу — выгрузка по чёткому списку полей | Законные требования | 152-ФЗ ст. 7, УПК РФ |

Трансграничная передача данных не осуществляется. Все обязательные операторы — резиденты РФ; платёжный провайдер FreeKassa — резидент РФ; Brevo и Telegram используются как технические каналы доставки сообщений конкретному получателю по его явному согласию (регистрация в системе).

Передача данных рекламным сетям, аналитическим агентствам, маркетплейсам данных не осуществляется.

8. Согласие на обработку

Регистрация на платформе Gamebi (как блогера, так и покупателя) сопровождается явным проставлением чекбокса:

«Я ознакомлен(а) с Политикой конфиденциальности и Пользовательским соглашением и даю согласие на обработку моих персональных данных в указанных целях.»

Факт согласия фиксируется в audit_log с привязкой к timestamp, IP-адресу и версии Политики на момент согласия. Без согласия регистрация не проходит.

Маркетинговая рассылка — отдельный опциональный чекбокс, по умолчанию не проставленный.

9. Ваши права

В соответствии с 152-ФЗ и GDPR (для субъектов EU), вы имеете право:

1. Получить копию своих данных — отправить запрос на email из § 1; ответ в течение 30 дней (ст. 14 152-ФЗ).
2. Исправить неточные данные — самостоятельно через личный кабинет либо через запрос на email.
3. Удалить свои данные (right to be forgotten) — отправить запрос на email; см. § 10 о механике удаления.
4. Отозвать согласие на обработку и/или маркетинг — через личный кабинет или email.
5. Получить данные в машиночитаемом виде (data portability, GDPR ст. 20) — JSON-экспорт по запросу.
6. Подать жалобу в надзорный орган — Роскомнадзор: https://rkn.gov.ru/, e-mail для электронных обращений: rsoc_in@rkn.gov.ru. Актуальная форма электронной жалобы — на https://rkn.gov.ru/treatments/ask-question/. Платформа не препятствует подаче жалобы и обязуется содействовать в проверке.

Запросы по ПДн рассматриваются в течение 30 рабочих дней. Если запрос требует продления срока — мы уведомляем заявителя об этом до истечения первоначального срока.

10. Удаление и псевдонимизация

Полное удаление персональных данных невозможно для записей, связанных с финансовыми операциями (требование ст. 23 НК РФ — хранение первичных документов 5 лет). Поэтому при запросе «удалите меня»:

1. Идентификационные поля (email, telegram_user_id, name) в таблицах users / customers — заменяются на хеш или плейсхолдер anonymous_user_<hash>.
2. Финансовые записи в orders, balance_transactions — остаются (требование 5-летнего хранения), но связь с ПДн разорвана (только хеш-идентификатор).
3. Сообщения в чатах в chat_messages — текст заменяется на [удалено пользователем]. Метаданные (timestamp, sender_role) сохраняются.
4. Audit-лог — фиксируется факт удаления (без ПДн). Запись об удалении не удаляется.
5. По истечении 5 лет (срок хранения первичной финансовой документации) — производится полное физическое удаление архивных партиций.

После псевдонимизации восстановить связь данных с конкретным человеком невозможно.

11. Cookies и аналогичные технологии

См. отдельный документ Cookie Policy. Кратко:

• Технические cookies (session, CSRF-token, корзина, реферальный код, промо-код) — необходимы для работы сайта, не требуют согласия.
• Аналитические / маркетинговые cookies в Wave 1 не используются.

12. Хранение и удаление по сроку

Сроки хранения по типам данных приведены в § 5 в столбце «Срок хранения». По истечении срока (или при достижении 2 лет бездействия пользователя без транзакций) данные пседонимизируются автоматическим cron-воркером retention_cleaner. Факт пседонимизации записывается в audit_log.

13. Уведомление об инцидентах

В случае утечки персональных данных (несанкционированный доступ, потеря, изменение) мы уведомляем:

• Роскомнадзор — в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 152-ФЗ).
• Затронутых субъектов ПДн — в течение 72 часов через email и публикацию на странице gamebi.ru/legal/incidents (если объём затронутых субъектов значимый).
• Внутренний инцидент-флоу — docs/14-observability.md.

14. Обновление Политики

Мы вправе вносить изменения в настоящую Политику конфиденциальности. О существенных изменениях (расширение целей, новые контрагенты-получатели данных) мы уведомляем пользователей за 30 дней через email и баннер на сайте. О технических изменениях (формулировки, контактные данные) — публикуем обновлённую версию на этой странице.

Текущая версия и дата последнего обновления указаны в верхней части документа.

15. Контакты

По любым вопросам, связанным с обработкой персональных данных:

• Email: <TODO: privacy@gamebi.ru>
• Письменно: <TODO: юридический адрес оператора>
• Через форму обратной связи: gamebi.ru/contacts <TODO: после реализации>

Placeholder'ы для финального заполнения

Ниже список всех <TODO>-маркеров, которые должен заполнить Николай + юрист перед публикацией:

1. § 1 — Полное наименование оператора, ИНН/ОГРН, юр.адрес, регистрационный номер в реестре операторов ПДн.
2. § 1 — Контактный email для запросов по ПДн.
3. § 1 — DPO: ФИО + email + телефон (либо явное «не назначен Wave 1»).
4. § 4.2-4.3 — финальная форма запроса реквизитов для выплат (карта / счёт ИП / СБП).
5. § 6.1 — финальный VPS-провайдер БД, фактическая география серверов Brevo.
6. § 9 — актуальные контакты Роскомнадзора.
7. § 14 — текущая версия + дата вступления в силу.
8. § 15 — контактные адреса.

После заполнения placeholder'ов — удалить данный § «Placeholder'ы» перед публикацией.

История версий

• v0.1 — 2026-04-30 (Gamebi Session 75) — Initial draft. Источник: docs/13-compliance.md. Готов к юр-вычитке.
• v1.0 — <TODO: дата> — После юр-вычитки и заполнения placeholder'ов. Дата вступления в силу.