Политика обработки персональных данных

1.1. Настоящая Политика определяет порядок обработки персональных данных (далее — «ПД») и меры по обеспечению их безопасности, предпринимаемые Оператором в отношении физических лиц, использующих Сервис imerald (далее — «Субъекты», «Пользователи»).

1.2. Оператором ПД является физическое лицо Салугин М., ИНН 502479666954, плательщик налога на профессиональный доход (далее — «Оператор»).

1.3. Политика составлена в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», постановлениями Правительства РФ № 1119 от 01.11.2012, № 687 от 15.09.2008, а также с учётом разъяснений Роскомнадзора.

1.4. Настоящая Политика является публичным документом и подлежит размещению в открытом доступе на сайте Оператора.

Оператор обрабатывает ПД на следующих правовых основаниях:

п. 1 ч. 1 ст. 6 152-ФЗ — согласие Субъекта, выражаемое путём проставления галочки при пополнении баланса и/или при регистрации;

п. 5 ч. 1 ст. 6 152-ФЗ — для исполнения договора (Договора-оферты), стороной которого является Субъект;

п. 7 ч. 1 ст. 6 152-ФЗ — для осуществления прав и законных интересов Оператора (предотвращение мошенничества, читерства, ведение бухгалтерского учёта).

Оператор обрабатывает ПД исключительно в следующих целях:

идентификация Субъекта при регистрации и входе в Сервис;

предоставление игровой услуги (вход на серверы imerald, единый auth);

обработка платежей через платёжного провайдера и формирование чеков НПД через сервис «Мой налог» ФНС;

предотвращение мошенничества, мульти-аккаунтинга и читерства (через HWID-отпечаток и журнал IP-входов);

направление транзакционных уведомлений (восстановление пароля, подтверждение платежа, важные изменения сервиса);

информационные и маркетинговые рассылки — только при наличии отдельного opt-in согласия;

исполнение требований законодательства РФ (налоговая, бухгалтерская отчётность, ответы на запросы компетентных органов).

4.1. Категория «Идентификация»:

имя пользователя (никнейм), e-mail;

UUID игрового аккаунта Minecraft (вычисляется из никнейма по алгоритму Mojang, не передаётся в Mojang Studios);

хеш пароля (Argon2id; исходный пароль Оператору не известен).

4.2. Категория «Технические данные»:

IP-адрес последнего входа (полный) и IP-адрес платежа (анонимизированный до /24 для IPv4 и /48 для IPv6);

HWID-хеш устройства — необратимый криптографический хеш SHA-256, вычисляемый лаунчером из объединённой строки серийных номеров дисков, идентификатора материнской платы и MAC-адресов сетевых интерфейсов. Из хеша невозможно восстановить исходную конфигурацию устройства, но он является устойчивым идентификатором конкретного ПК и в смысле 152-ФЗ относится к ПД, так как позволяет косвенно идентифицировать Субъекта при сопоставлении с другими данными;

версия лаунчера, операционная система, разрешение экрана;

cookies (см. раздел 8).

4.2.1. Правовое основание сбора HWID-хеша: согласие Субъекта, выражаемое путём установки лаунчера и регистрации Учётной записи (п. 1 ч. 1 ст. 6 152-ФЗ), а также осуществление законных интересов Оператора (п. 7 ч. 1 ст. 6 152-ФЗ) в части предотвращения мошенничества, мульти-аккаунтинга, обхода блокировок нарушителями правил и работы автоматического анти-чита. Без сбора HWID-хеша Оператор не сможет противодействовать недобросовестному поведению, что приведёт к ухудшению качества Сервиса для добросовестных Пользователей.

4.2.2. HWID-хеш не передаётся третьим лицам, не используется в маркетинговых целях, не сопоставляется с устройством Пользователя для идентификации в иных сервисах. Срок хранения — 12 месяцев с момента последнего входа, после чего автоматически анонимизируется.

4.3. Категория «Платежи»:

история платежей: сумма, дата, ID платежа, статус;

e-mail для отправки чека НПД (тот же, что и для регистрации).

4.4. Оператор НЕ собирает и НЕ обрабатывает:

реквизиты банковских карт (они обрабатываются исключительно платёжным провайдером);

паспортные данные, СНИЛС, ИНН Пользователя;

биометрические данные;

сведения о состоянии здоровья, политических, религиозных взглядах;

данные несовершеннолетних до 14 лет (использование Сервиса лицами младше 14 лет запрещено условиями оферты).

5.1. Оператор передаёт ПД исключительно следующим лицам и исключительно в объёме, необходимом для оказания услуги:

Платёжный провайдер — для обработки платежей. Передаётся: сумма, ID заказа, e-mail для чека, данные банковской карты (вводятся Субъектом напрямую на странице платёжного провайдера).

Федеральная налоговая служба России — автоматически через сервис «Мой налог» в составе чека НПД. Передаётся: сумма, дата, наименование услуги, e-mail Субъекта.

Хостинг-провайдеры серверной инфраструктуры (Hetzner Online GmbH, Aurorix, провайдер физического сервера) — в объёме технических логов, необходимых для работы серверов. Указанные провайдеры не имеют прямого доступа к ПД и не используют их в своих целях.

5.2. Передача в иностранные юрисдикции в смысле ст. 12 152-ФЗ производится в страны, обеспечивающие адекватную защиту ПД, исключительно в составе технических логов хостинг-провайдера (Hetzner Online GmbH, ФРГ). Уведомление в Роскомнадзор о намерении трансграничной передачи направлено.

5.3. Оператор НЕ передаёт ПД в рекламные сети, аналитические системы, социальные сети, иностранные платёжные системы. На сайте отсутствуют счётчики Яндекс.Метрики, Google Analytics, пиксели Meta, VK, TikTok.

6.1. ПД хранятся в течение всего срока действия Учётной записи Пользователя и в течение 5 (пяти) лет после её удаления.

6.2. Срок 5 лет обусловлен требованиями ст. 29 Федерального закона № 402-ФЗ «О бухгалтерском учёте» и ст. 23 Налогового кодекса РФ (обязанность хранить документы, подтверждающие хозяйственные операции). По истечении 5 лет данные о платежах подлежат обезличиванию или удалению.

6.3. Журналы IP-входов и HWID-хеши хранятся 12 (двенадцать) месяцев, после чего автоматически анонимизируются.

7.1. Обработка ПД осуществляется как с использованием средств автоматизации (программное обеспечение Сервиса), так и без таковых (при разборе обращений Пользователей вручную).

7.2. Оператор применяет следующие организационные и технические меры защиты ПД:

шифрование канала передачи данных (TLS 1.3, HSTS, OCSP stapling);

хранение паролей в виде хешей Argon2id с уникальной солью;

Ed25519-подпись обновлений лаунчера для предотвращения подмены;

изоляция игровых серверов в отдельных Docker-контейнерах;

ограничение физического и сетевого доступа к серверам с ПД;

журналирование административных действий с возможностью аудита;

rate-limiting и анти-bot защита для предотвращения brute-force атак.

8.1. Сервис использует строго необходимые cookies — без них невозможна работа Сервиса. К таким cookies относятся:

sid — идентификатор сессии после входа в личный кабинет;

kva_acct_csrf — токен защиты от CSRF-атак в формах личного кабинета;

browser_check_* — токен прохождения анти-бот проверки.

8.2. На основании Recital 30 GDPR и аналогичной практики Роскомнадзора, строго необходимые cookies не требуют отдельного баннера согласия и работают на основании пп. 5 ч. 1 ст. 6 152-ФЗ (исполнение договора).

8.3. Сервис НЕ использует рекламные cookies, трекеры, web-beacons, fingerprinting-скрипты сторонних сервисов.

9.1. Транзакционные уведомления (восстановление пароля, чеки НПД, подтверждение важных операций) направляются на основании п. 5 ч. 1 ст. 6 152-ФЗ и не требуют отдельного согласия.

9.2. Маркетинговые и информационные рассылки (анонсы, акции, новости проекта) направляются только при наличии активного согласия, выраженного через настройки личного кабинета. Согласие может быть отозвано в любой момент через те же настройки или ссылкой «отписаться» в письме. Отзыв согласия применяется в течение 7 рабочих дней.

Субъект ПД вправе в любой момент:

получить подтверждение факта обработки его ПД, а также сведения об Операторе, целях и сроках обработки (ст. 14 152-ФЗ);

требовать уточнения, блокирования или удаления своих ПД в случае, если они неполны, устарели, неточны или незаконно получены;

отозвать согласие на обработку, направив требование на saluginmaksim1@gmail.com с темой «Отзыв согласия на обработку ПД, аккаунт <никнейм>».

10.1. Срок рассмотрения обращения — 30 (тридцать) календарных дней с даты получения. Если требование удовлетворить невозможно (например, ПД необходимы для исполнения требований налогового законодательства), Оператор предоставляет мотивированный отказ.

10.2. Отзыв согласия на обработку ПД влечёт удаление Учётной записи и невозможность дальнейшего использования Сервиса. Данные, связанные с уже совершёнными платежами, сохраняются в объёме, необходимом для исполнения требований 402-ФЗ и 422-ФЗ.

Оператор вправе в одностороннем порядке вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её публикации на странице https://imerald.org/legal/privacy.

Продолжение использования Сервиса после публикации новой редакции означает согласие Субъекта с её условиями. Существенные изменения (расширение целей обработки, появление новых получателей ПД) Оператор анонсирует на главной странице Сервиса не менее чем за 7 (семь) календарных дней до их вступления в силу.

ФИО Оператора: Салугин М.

ИНН: 502479666954

Статус: Плательщик налога на профессиональный доход (НПД)

E-mail: saluginmaksim1@gmail.com

Срок ответа на обращения: 30 календарных дней