1.1. Настоящая Политика конфиденциальности (далее — «Политика») описывает порядок обработки персональных данных Пользователей сайта tpd-dragons.ru в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон»).

1.2. Оператором персональных данных (далее — «Оператор») является Коваленко Светлана Андреевна, ИНН: 252810377422, действующий в качестве самозанятого (плательщика налога на профессиональный доход).

1.3. Оператор включён в реестр операторов, осуществляющих обработку персональных данных, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Регистрационный номер: [НОМЕР РКН]. Дата регистрации: [ДАТА].

1.4. Используя Сайт и регистрируясь на нём, Пользователь выражает своё согласие с условиями настоящей Политики путём проставления соответствующей отметки (чекбокса) в форме регистрации. Согласие оформляется отдельно от акцепта Публичной оферты.

1.5. Категории субъектов персональных данных:

• Пользователи Сайта и Сервера — физические лица, зарегистрировавшие учётную запись;
• Пользователи, направившие обращение через контактные формы без регистрации.

2.1. При регистрации и использовании Сайта обрабатываются следующие категории данных:

• имя пользователя (никнейм);
• адрес электронной почты;
• Steam ID (при привязке игрового аккаунта) — используется исключительно для идентификации Пользователя на Сервере на основании договора (ст. 6 ч. 1 п. 5 Закона);
• данные об операциях пополнения баланса и списания Лунных печатей (сумма, дата, идентификатор операции);
• данные учётной записи: хэш пароля (bcrypt), дата регистрации, дата последнего входа;
• технические данные: IP-адрес, тип и версия браузера, операционная система, идентификатор сессии;
• файлы cookies (см. п. 5).

2.2. Оператор не собирает и не хранит специальные категории персональных данных (расовая/национальная принадлежность, политические, религиозные и иные убеждения, состояние здоровья, интимная жизнь), а также биометрические персональные данные.

2.3. Оператор не принимает и не хранит платёжные данные Пользователя (номера карт, реквизиты счетов, CVV-коды) — их обработка осуществляется исключительно платёжным сервисом [НАЗВАНИЕ ПЛАТЁЖНОЙ СИСТЕМЫ].

3.1. Правовые основания обработки (ст. 6 Закона):

• согласие Пользователя (ст. 6 ч. 1 п. 1);
• исполнение договора, стороной которого является Пользователь (ст. 6 ч. 1 п. 5) — для операций, связанных с оказанием Услуг;
• осуществление прав и законных интересов Оператора (ст. 6 ч. 1 п. 7) — для обеспечения безопасности, предотвращения мошенничества;
• исполнение обязанностей, возложенных законодательством РФ (ст. 6 ч. 1 п. 2) — для целей налогообложения, хранения платёжных документов.

3.2. Цели обработки:

• регистрация и идентификация Пользователя на Сайте и Сервере;
• исполнение договора (зачисление Лунных печатей, предоставление Услуг);
• направление чеков самозанятого и уведомлений по email, в том числе уведомлений об изменении Оферты и Политики;
• рассмотрение обращений, претензий и запросов Пользователей;
• обеспечение безопасности Сайта и Сервера, предотвращение мошеннических действий;
• исполнение обязанностей, возложенных законодательством РФ.

3.3. Обработка персональных данных в иных целях без отдельного согласия Пользователя не осуществляется.

4.1. Персональные данные не продаются и не передаются третьим лицам, за исключением следующих случаев:

• а) платёжный сервис [НАЗВАНИЕ ПЛАТЁЖНОЙ СИСТЕМЫ] — в объёме, необходимом исключительно для проведения платежа, на основании договора с Оператором;
• б) хостинг-провайдер, предоставляющий серверные мощности для функционирования Сайта, — в объёме, необходимом для технического размещения данных, на основании договора поручения обработки персональных данных (ст. 6 ч. 3 Закона). Передача данных третьим лицам с территории Российской Федерации не осуществляется;
• в) разработчик и оператор игры Day of Dragons — в части данных Steam ID и игровой статистики, необходимых для функционирования Сервера;
• г) государственные органы — по их мотивированному требованию в случаях, предусмотренных законодательством Российской Федерации;
• д) иные обработчики по поручению Оператора — при условии заключения письменного договора поручения и соблюдения требований Закона.

4.2. Трансграничная передача персональных данных не осуществляется.

5.1. Сайт использует следующие типы файлов cookies:

• а) Технические (строго необходимые) — обеспечивают базовую работу Сайта, сохранение авторизованной сессии, защиту от CSRF-атак. Отключение невозможно без потери функциональности. Хранятся до завершения сессии либо выхода Пользователя из учётной записи.
• б) Функциональные — сохраняют пользовательские настройки (выбранная тема, фильтры, предпочтения). Хранятся до 1 года.

5.2. Сайт не использует cookies рекламных сетей и сторонних аналитических систем.

5.3. Файлы cookies, позволяющие идентифицировать Пользователя, рассматриваются как персональные данные и обрабатываются на условиях настоящей Политики.

5.4. При первом посещении Сайта Пользователь информируется об использовании cookies посредством соответствующего уведомления. Пользователь может отключить cookies в настройках браузера; при этом отдельные функции Сайта (авторизация, корзина) могут работать некорректно.

6.1. Персональные данные обрабатываются и хранятся на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ч. 5 ст. 18 Закона.

6.2. Сроки хранения данных установлены по категориям:

• а) платёжные и транзакционные данные, чеки самозанятого — 5 (пять) лет с момента совершения операции, в соответствии с требованиями налогового законодательства (ст. 23 Налогового кодекса РФ, ст. 29 Закона «О бухгалтерском учёте»);
• б) данные учётной записи (никнейм, email, Steam ID, дата регистрации) — в течение всего срока существования учётной записи. После удаления учётной записи Пользователем или Оператором данные уничтожаются в течение 30 календарных дней, за исключением данных, необходимых для исполнения требований законодательства;
• в) данные о нарушениях Правил Сервера (блокировки) — 1 год с момента наложения блокировки, если Пользователем не оспаривается решение о блокировке;
• г) технические логи (IP-адреса, данные о сессиях, журналы доступа) — 6 (шесть) месяцев с момента создания записи;
• д) переписка по обращениям и претензиям — 3 (три) года с момента последнего сообщения, для возможности защиты интересов сторон (ст. 196 ГК РФ — общий срок исковой давности).

6.3. По истечении указанных сроков данные уничтожаются безвозвратно или обезличиваются в порядке, исключающем возможность восстановления.

6.4. Технические и организационные меры защиты данных (ст. 19 Закона, Приказ ФСТЭК России от 18.02.2013 № 21):

а) Организационные меры:

• назначение ответственного за обработку персональных данных (Оператор лично);
• разграничение уровней доступа к данным (модель ролевого доступа: Пользователь, Администратор, Владелец);
• утверждение внутренних документов, регламентирующих обработку (настоящая Политика, Правила Сервера);
• периодическая оценка эффективности принимаемых мер.

б) Технические меры:

• шифрование передаваемых данных по протоколу HTTPS/TLS (сертификат Let's Encrypt или эквивалент);
• хранение паролей исключительно в виде криптостойких хэшей (bcrypt);
• защита от CSRF-атак (токены в формах и заголовках);
• защита от SQL-инъекций (параметризованные запросы, ORM);
• защита от XSS (экранирование вывода в шаблонах Jinja2);
• ограничение частоты запросов (rate limiting) для защиты от перебора и брутфорса;
• журналирование действий администраторов и изменений в учётных записях (audit log);
• регулярное резервное копирование баз данных с хранением копий в зашифрованном виде;
• своевременная установка обновлений безопасности операционной системы и программных компонентов;
• ограничение физического и удалённого доступа к серверу (SSH с авторизацией по ключам, отключение доступа по паролю для внешних подключений).

в) Меры реагирования:

• Оператор обязан в течение 24 часов с момента обнаружения инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных либо иные неправомерные действия в отношении них, уведомить Роскомнадзор в порядке ч. 3.1 ст. 21 Закона.

7.1. В соответствии с Законом Пользователь вправе:

• получать информацию о составе и порядке обработки своих персональных данных;
• требовать исправления неточных или неполных данных;
• требовать удаления данных (блокирования, уничтожения) в пределах, допускаемых действующим законодательством;
• отозвать ранее данное согласие на обработку данных;
• обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.

7.2. Запросы направляются на email tpd.dragons@gmail.com с приложением копии документа, удостоверяющего личность (по требованию Оператора для идентификации субъекта данных). Оператор рассматривает запрос и направляет ответ в течение 30 (тридцати) календарных дней.

7.3. Порядок отзыва согласия на обработку персональных данных:

• а) Пользователь направляет на email tpd.dragons@gmail.com заявление об отзыве согласия с указанием никнейма, email учётной записи и требуемых действий (удаление учётной записи, прекращение рассылки и т. д.);
• б) Оператор прекращает обработку данных Пользователя в течение 10 (десяти) рабочих дней с момента получения заявления, за исключением случаев, когда обработка необходима для:
  • исполнения договора, стороной которого является Пользователь, до момента его прекращения;
  • исполнения обязанностей, возложенных законодательством РФ (хранение платёжных документов, налоговая отчётность);
  • защиты прав и законных интересов Оператора в судебном порядке.
• в) По требованию Пользователя одновременно с отзывом согласия производится возврат Непотраченных Лунных печатей в порядке п. 6.2г Публичной оферты.

7.4. Отзыв согласия не распространяется на данные, обработка которых осуществляется на иных правовых основаниях, предусмотренных ст. 6 Закона.

8.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная версия всегда доступна на странице tpd-dragons.ru/privacy с указанием даты последнего обновления.

8.2. О существенных изменениях (изменение целей обработки, состава обрабатываемых данных, порядка передачи третьим лицам) Пользователи уведомляются по email не менее чем за 14 (четырнадцать) календарных дней до вступления изменений в силу. В случае несогласия Пользователь вправе отозвать согласие в порядке п. 7.3.

8.3. Незначительные изменения (редакционные правки, уточнения формулировок, не изменяющие существа прав и обязанностей сторон) вступают в силу с момента публикации на Сайте.