Legal
Политика оператора в отношении обработки персональных данных
Политика оператора Campaign Chronicler по обработке персональных данных пользователей в соответствии с законодательством РФ.
Документ подготовлен к публикации технически, но требует проверки реквизитов оператора и юридической вычитки перед снятием noindex.
Содержание
Сервис: Campaign Chronicler. Адрес сайта: https://campaignchronicler.ru.
1. Общие положения
1.1. Настоящая политика определяет порядок обработки персональных данных пользователей сервиса Campaign Chronicler и меры по защите персональных данных.
1.2. Оператор персональных данных: Юрченко Дмитрий Юрьевич. Реквизиты оператора: физическое лицо, ОГРН/ОГРНИП не применяется, ИНН не публикуется в черновой редакции. Адрес для корреспонденции: г. Санкт-Петербург, пос. Шушары, Детскосельский, Колпинское шоссе, д. 73, кв. 56.
1.3. Контакты по вопросам обработки персональных данных: no-reply@campaignchronicler.ru.
1.4. Политика применяется к сайту https://campaignchronicler.ru, веб-приложению Campaign Chronicler, формам регистрации, авторизации, приглашения в кампанию, настройкам аккаунта, профилям персонажей, кампаниям, сессиям, событиям, заметкам, recap и другим функциям сервиса.
1.5. Политика подготовлена с учетом Федерального закона N 152-ФЗ "О персональных данных" и подлежит публикации в открытом доступе.
2. Термины
2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
2.2. Пользователь - физическое лицо, которое использует сайт или веб-приложение Campaign Chronicler.
2.3. Оператор - лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных, а также определяющее цели, состав данных и действия с персональными данными.
2.4. Обработка персональных данных - любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.
3. Принципы обработки
3.1. Оператор обрабатывает персональные данные на законной и справедливой основе.
3.2. Обработка ограничивается достижением конкретных, заранее определенных и законных целей.
3.3. Не допускается обработка персональных данных, несовместимая с целями их сбора.
3.4. Состав обрабатываемых данных соответствует заявленным целям обработки.
3.5. Персональные данные хранятся не дольше, чем этого требуют цели обработки, закон или договор с пользователем.
3.6. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
4. Категории субъектов персональных данных
Оператор может обрабатывать данные следующих категорий субъектов:
- посетители сайта;
- зарегистрированные пользователи;
- владельцы и участники кампаний;
- пользователи, приглашенные по invite-ссылкам;
- пользователи, обращающиеся в поддержку;
- администраторы и тестировщики MVP, если применимо.
5. Категории персональных данных
Оператор может обрабатывать следующие данные:
- email;
- имя, никнейм, отображаемое имя;
- аватар, если пользователь добавляет его;
- идентификатор аккаунта и технические идентификаторы сессий;
- роль в кампании: GM, Player, Viewer;
- настройки аккаунта, часовой пояс, предпочитаемые игровые системы;
- сведения о персонажах, созданных пользователем, если они позволяют идентифицировать пользователя;
- пользовательский контент: кампании, события, заметки, сообщения, recap, описания персонажей, игровые материалы;
- invite-ссылки, сведения о принятии приглашений и участии в кампании;
- сведения о тарифном плане и лимитах доступа, если применимо;
- обращения в поддержку и переписка с оператором;
- технические данные: IP-адрес, user agent, cookie, дата и время действий, сведения о браузере и устройстве, журналы ошибок и безопасности.
Оператор не запрашивает специальные категории персональных данных и биометрические персональные данные. Пользователь не должен размещать такие данные в сервисе.
6. Цели обработки персональных данных
Персональные данные обрабатываются для следующих целей:
| Цель | Примеры данных | Срок обработки |
|---|---|---|
| Регистрация и авторизация | email, идентификатор аккаунта, технические сессии | пока существует аккаунт и в течение срока, необходимого для защиты прав |
| Предоставление доступа к сервису | профиль, роли, настройки, участие в кампаниях | пока пользователь использует сервис |
| Создание и ведение кампаний | кампании, персонажи, сессии, сцены, события, заметки | пока существует соответствующая кампания или аккаунт |
| Управление invite-ссылками | токен приглашения, роль, дата принятия | пока ссылка активна и в течение срока журналирования |
| Разграничение доступа | роли, права, visibility-статусы, membership | пока существует аккаунт/кампания |
| Поддержка и коммуникации | email, текст обращения, техническая информация | до завершения обращения и в течение срока защиты прав |
| Безопасность и предотвращение злоупотреблений | IP, user agent, журналы действий | в течение срока журналирования и защиты прав |
| Улучшение продукта и аналитика | обезличенная или агрегированная статистика | до достижения цели анализа |
| Исполнение требований закона | сведения об аккаунте, журналы, согласия | в сроки, установленные законом |
7. Правовые основания обработки
Оператор обрабатывает персональные данные на следующих основаниях:
- согласие пользователя;
- заключение и исполнение пользовательского соглашения / оферты;
- исполнение обязанностей, предусмотренных законом;
- осуществление прав и законных интересов оператора, если при этом не нарушаются права и свободы пользователя;
- необходимость защиты сервиса, кампаний и аккаунтов от неправомерного доступа.
8. Действия с персональными данными
Оператор может выполнять следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передача в случаях, предусмотренных политикой, обезличивание, блокирование, удаление и уничтожение.
Обработка может осуществляться с использованием средств автоматизации и без их использования.
9. Передача третьим лицам и поручение обработки
9.1. Оператор может поручать обработку персональных данных третьим лицам при условии соблюдения конфиденциальности, безопасности и требований законодательства.
9.2. Потенциальные обработчики для Campaign Chronicler:
| Категория | Пример | Статус |
|---|---|---|
| Хостинг и база данных | Timeweb, Supabase Cloud | используется для MVP |
| Email и авторизация | Supabase Auth | используется для MVP |
| Технические журналы и ошибки | журналы приложения и хостинга, отдельный error tracking не подтвержден | уточнить перед production |
| AI-функции recap | OpenAI API или иной провайдер | включать только после отдельной проверки |
| Аналитика | не подключена на дату редакции | использовать с минимизацией данных |
9.3. Оператор не продает персональные данные пользователей.
9.4. Оператор может раскрыть данные по законному требованию суда, государственного органа или в иных случаях, предусмотренных законодательством.
10. Трансграничная передача
10.1. Текущий статус: для MVP используется Supabase Cloud с регионом США, что может являться трансграничной передачей персональных данных.
10.2. Если для работы сервиса используются иностранные облачные, email, аналитические, AI или error-tracking провайдеры, это может являться трансграничной передачей персональных данных.
10.3. До начала такой передачи оператор должен выполнить применимые требования законодательства, включая проверку страны передачи, получение необходимых согласий и направление уведомления в Роскомнадзор, если оно требуется.
11. Локализация баз данных
11.1. Место нахождения баз данных, используемых для первичного сбора, систематизации, накопления, хранения, уточнения и извлечения персональных данных граждан РФ: Supabase Cloud, регион США, для MVP. Перед production-запуском для пользователей из РФ оператор должен отдельно проверить требования о локализации баз данных и, при необходимости, изменить инфраструктуру.
11.2. Перед публичным запуском для пользователей из РФ оператор должен проверить, что фактическая инфраструктура соответствует требованиям о локализации персональных данных граждан РФ.
12. Cookies и аналогичные технологии
12.1. Сервис может использовать cookies и аналогичные технологии для:
- авторизации и поддержания пользовательской сессии;
- безопасности аккаунта;
- сохранения настроек интерфейса;
- технической диагностики;
- аналитики использования, если она подключена.
12.2. Пользователь может ограничить cookies в настройках браузера, но часть функций сервиса может стать недоступной.
13. Права пользователя
Пользователь вправе:
- получать информацию об обработке своих персональных данных;
- требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать согласие на обработку персональных данных;
- требовать прекращения обработки в случаях, предусмотренных законом;
- обжаловать действия или бездействие оператора.
Для реализации прав пользователь может направить запрос на no-reply@campaignchronicler.ru. Оператор может запросить сведения, необходимые для идентификации пользователя и подтверждения права на запрос.
14. Сроки хранения и удаление
14.1. Персональные данные хранятся в течение срока, необходимого для целей обработки, если иной срок не установлен законом или договором.
14.2. После удаления аккаунта оператор удаляет или обезличивает персональные данные в разумный срок, если их дальнейшее хранение не требуется законом, защитой прав оператора, расследованием нарушений или исполнением обязательств.
14.3. Контент кампании может быть связан с несколькими участниками. Удаление аккаунта одного пользователя не всегда означает автоматическое удаление всей кампании, если она принадлежит другому пользователю или содержит совместный контент. В таких случаях оператор удаляет или обезличивает данные пользователя в пределах технической и правовой возможности.
15. Меры защиты
Оператор применяет следующие меры:
- разграничение доступа по ролям;
- аутентификация пользователей;
- политики доступа к данным на уровне приложения и базы данных;
- журналирование значимых действий безопасности;
- ограничение доступа администраторов по необходимости;
- резервное копирование и контроль восстановления, если применимо;
- регулярный пересмотр прав доступа;
- минимизация передаваемых третьим лицам данных;
- обучение лиц, имеющих доступ к персональным данным, если применимо.
16. Изменение политики
Оператор может изменять настоящую политику. Новая редакция вступает в силу с момента публикации на сайте, если в ней не указано иное. Пользователь должен самостоятельно периодически проверять актуальную редакцию.