Политика конфиденциальности
Последнее обновление: 22 апреля 2026
1. Вводная часть и статус документа
Настоящая Политика конфиденциальности (далее — «Политика») описывает порядок обработки персональных данных пользователей платформы Community Network (далее — «Платформа»). Русскоязычная версия Платформы размещена по адресу www.communitynet.ru, международная версия — по адресу www.communitynet.app. Политика применяется ко всем продуктам, мобильным приложениям, сайтам, API, уведомлениям и иным сервисам, независимо от домена входа. Политика является неотъемлемой частью Пользовательского соглашения. Все ограничения ответственности, предусмотренные Пользовательским соглашением, в равной мере применяются к обработке персональных данных. Оператор персональных данных: KG Connect ltd. (далее — «Компания»). Отдельные обработки могут вестись аффилированными лицами; их перечень и роли раскрываются в разделе 9. Ответственный за обработку персональных данных (DPO): privacy@communitynet.app / dpo@communitynet.app. Представитель в Европейской экономической зоне (EU Representative, GDPR Art. 27) и Представитель в Великобритании (UK Representative) назначаются при превышении применимых порогов; актуальные реквизиты публикуются в разделе /legal/ на сайте. Политика одновременно соответствует: 152-ФЗ РФ (с учётом 242-ФЗ о локализации и приказов Роскомнадзора), GDPR (ЕС), UK-GDPR и Data Protection Act 2018, CCPA/CPRA и законам штатов Вирджиния, Колорадо, Коннектикут, Юта, Техас, Орегон, Монтана, разделам 394-c/cc/ccc NY GBL (специальные требования к сервисам знакомств), SHIELD Act, COPPA (в части возрастных ограничений), LGPD (Бразилия), PIPEDA (Канада), FADP/nLPD (Швейцария).
2. Распределение ролей: дуализм оператор/обработчик
Контур 1 — собственные данные пользователя. В отношении персональных данных, которые пользователь лично и добровольно предоставляет при регистрации и использовании Платформы (профильные данные, фотографии самого пользователя, сведения для матчинга, платёжные данные, содержимое его учётной записи), Компания является самостоятельным оператором персональных данных (data controller). Контур 2 — данные третьих лиц, загруженные пользователем. В отношении данных третьих лиц, которые пользователь по собственной инициативе загружает или размещает на Платформе (фотографии иных физических лиц, контакты, списки приглашённых на мероприятия, описания сотрудников бизнес-аккаунта, биографии и изображения членов коммьюнити), применяется следующая модель: — пользователь является первичным оператором таких данных; — Компания выступает лицом, осуществляющим обработку по поручению пользователя (processor) в значении ч. 3 ст. 6 152-ФЗ и ст. 28 GDPR; — пользователь единолично отвечает перед третьими лицами и надзорными органами за наличие правового основания, получение согласий и выполнение информационных обязанностей. Контур 3 — административно-технические данные. В отношении технических данных, собираемых автоматически (логи, журналы безопасности, метаданные сессий, защита от мошенничества), Компания является самостоятельным оператором на основании законного интереса обеспечения информационной безопасности.
3. Категории обрабатываемых данных
Регистрационные и идентификационные данные: имя, фамилия, отчество (при наличии), email, номер телефона, дата рождения (для подтверждения возраста 18+), пол, гендерная идентичность (при явном указании), изображение лица, username/displayId. Данные профиля и предпочтений: биография, описание о себе, интересы, профессия, род занятий, город проживания, предпочтения для знакомств и нетворкинга, ссылки на социальные сети (при добровольном указании), участие в мероприятиях и коммьюнити. Данные верификации личности (KYC): документ, удостоверяющий личность (обрабатывается исключительно провайдером KYC, Компания не хранит копии после завершения проверки), live-селфи, результат верификации. Данные коммуникации: содержимое сообщений, голосовых сообщений, изображений в мессенджере; метаданные сообщений; факт и длительность аудио-/видеозвонков (содержимое звонков не записывается); реакции, комментарии, публикации в коммьюнити. Данные об использовании: история посещений и взаимодействий, лайки, совпадения, избранное, участие в мероприятиях, настройки поиска. Технические и устройства: IP-адрес, тип и версия браузера, ОС, производитель и модель устройства, рекламные идентификаторы (только с согласия), данные о подключении, часовой пояс, язык, файлы cookie. Данные о местоположении: приблизительная геолокация по IP (законный интерес); точная геолокация (GPS/Wi-Fi) — только с вашего явного согласия, отзываемого в любой момент. Платёжные данные: полные данные банковских карт Компанией не хранятся, обрабатываются лицензированными платёжными провайдерами по PCI DSS; Компания хранит факт транзакции, сумму, валюту, статус, идентификатор транзакции, маскированные последние 4 цифры карты. Данные психологических тестов: результаты, используемые исключительно для алгоритмической совместимости и персонализации. Не являются медицинскими данными. Сведения о социальном рейтинге: агрегированный рейтинг (0–100), уровень, компоненты (заполненность профиля, верификация, активность, публичная репутация, доверие сети, психологический профиль), результат автоматизированной оценки публичной информации. Данные о третьих лицах, загруженные пользователем (Контур 2) — обрабатываются в интересах и под ответственность пользователя-оператора.
4. Цели обработки данных
Каждая цель обработки обоснована правовым основанием (см. раздел 5). Мы не используем данные для целей, несовместимых с указанными ниже. Предоставление сервиса: создание и поддержание учётной записи, аутентификация, алгоритмический подбор и показ рекомендаций, организация мероприятий, мессенджер, звонки, публикации. Персонализация: настройка интерфейса, подбор релевантного контента и рекомендаций, ранжирование в поиске. Коммуникация: транзакционные уведомления (новое совпадение, сообщение, регистрация на мероприятие), системные уведомления (безопасность, изменения в условиях), редкие информационные рассылки (исключительно с вашего согласия). Безопасность и anti-fraud: верификация личности, предотвращение мошенничества, противодействие спаму, обнаружение нарушений, защита от ботов и скрапинга. Аналитика и улучшение продукта: анализ использования Платформы в агрегированном и обезличенном виде, A/B-тестирование, выявление технических проблем. Выполнение требований законодательства: реагирование на законные запросы уполномоченных органов, выполнение налоговых и бухгалтерских обязанностей, соответствие нормам о противодействии отмыванию денег. Обучение моделей искусственного интеллекта. Компания может использовать публичный контент для обучения и дообучения рекомендательных и генеративных моделей при соблюдении следующих условий: — вы имеете безусловное право отказаться (opt-out) через настройки профиля; — никогда не используются: содержимое личных сообщений, данные пользователей младше 18 лет (невозможны на Платформе вовсе), специальные категории персональных данных, данные KYC; — применяются технические меры по минимизации рисков реидентификации.
5. Правовые основания обработки
Для каждой цели обработки указано применимое правовое основание по GDPR статьи 6 и 9 (для ЕС/ЕЭЗ), 152-ФЗ статьи 6 и 10 (для РФ), а также эквивалентные основания в других юрисдикциях. Создание аккаунта и предоставление сервиса: исполнение договора (GDPR Art. 6(1)(b) / п. 5 ч. 1 ст. 6 152-ФЗ). Верификация личности: правовое обязательство + законный интерес (Art. 6(1)(c),(f) / п. 2 ч. 1 ст. 6 152-ФЗ). Безопасность, anti-fraud: законный интерес (Art. 6(1)(f) / п. 7 ч. 1 ст. 6 152-ФЗ). Геолокация (точная): согласие (Art. 6(1)(a) / п. 1 ч. 1 ст. 6 152-ФЗ). Психологические тесты: согласие. Маркетинговые рассылки: согласие + ст. 15 152-ФЗ. Аналитические cookies: согласие (для ЕС/Великобритании). Строго необходимые cookies: исполнение договора. Обучение моделей ИИ: законный интерес с opt-out. Выполнение законодательства: правовое обязательство. Отзыв согласия. Там, где обработка осуществляется на основании согласия, вы можете отозвать его в любой момент через настройки профиля или обращением на privacy@communitynet.app. Отзыв согласия не влияет на законность обработки, произведённой до отзыва, и может повлечь невозможность использования отдельных функций Платформы.
6. Специальные требования Российской Федерации (152-ФЗ)
Локализация баз данных. В соответствии с частью 5 статьи 18 152-ФЗ Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Уведомление Роскомнадзора. Компания направила уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор (при достижении применимых порогов). Сведения доступны в публичном реестре операторов. Трансграничная передача. Осуществляется в порядке, установленном статьёй 12 152-ФЗ и приказом Роскомнадзора № 128 от 12.07.2023, исключительно в государства, обеспечивающие адекватную защиту прав субъектов данных, либо с письменного согласия субъекта. Согласие на обработку данных, разрешённых субъектом для распространения (ст. 10.1 152-ФЗ). Пользователь, размещая данные в публичных разделах Платформы, даёт явное согласие на их распространение в объёме настроек приватности. Уведомление о нарушении безопасности. В случае инцидента, подпадающего под часть 3.1 статьи 21 152-ФЗ, Компания уведомляет Роскомнадзор в течение 24 часов с момента обнаружения, направляет уведомление об итоговых результатах внутреннего расследования в течение 72 часов и информирует пострадавших субъектов персональных данных.
7. Специальные требования Европейской экономической зоны (GDPR)
Права субъекта данных: доступ (Art. 15), исправление (Art. 16), удаление (Art. 17), ограничение обработки (Art. 18), переносимость (Art. 20), возражение (Art. 21), отзыв согласия (Art. 7(3)), право не быть объектом исключительно автоматизированных решений с юридическими последствиями (Art. 22). Уведомление о нарушении. Компания уведомляет ведущий надзорный орган в течение 72 часов с момента обнаружения инцидента, а пострадавших субъектов — при высоком риске для их прав и свобод, незамедлительно (Art. 33, 34). Международные передачи. Передача данных за пределы ЕЭЗ осуществляется на основании: — решений об адекватности (Adequacy Decisions) Европейской комиссии; — Трансатлантической системы конфиденциальности данных (EU-U.S. Data Privacy Framework / DPF) для США; — Стандартных договорных условий (SCCs); — Обязательных корпоративных правил (BCRs) при их наличии; — Оценки воздействия трансграничной передачи (TIA) для юрисдикций без адекватности. Жалоба в надзорный орган. Вы вправе подать жалобу в надзорный орган страны вашего обычного проживания, места работы или места предполагаемого нарушения.
8. Специальные требования США (CCPA/CPRA, штаты, NY GBL)
Продажа и передача данных. Компания не продаёт и не передаёт (share) персональные данные в значении CCPA/CPRA. У пользователей из США в любой момент есть право «Do Not Sell or Share My Personal Information» — ссылка в футере Платформы и в настройках аккаунта. Чувствительная личная информация (Sensitive Personal Information — SPI): геолокация, данные о состоянии здоровья (не собираем), сексуальная ориентация (если указана пользователем), религиозные/философские убеждения (не собираем), расовое/этническое происхождение (не собираем), биометрические данные (обрабатываются только провайдером KYC), содержимое личных сообщений. Пользователь вправе ограничить использование SPI через настройки аккаунта. Права жителей штатов США: право знать, право на удаление, право на исправление, право на отказ от «продажи/передачи», право на ограничение использования SPI, право на портируемость, право на недискриминацию за реализацию прав. Специальные требования Нью-Йорка для сервисов знакомств (NY GBL §§ 394-c, 394-cc, 394-ccc): — Компания публикует в видимом месте Платформы предупреждение о рисках встреч с лицами, знакомство с которыми состоялось в сети Интернет; — Компания уведомляет пользователя в случае, если другой пользователь, с которым была установлена коммуникация, впоследствии заблокирован за мошенничество (fraud ban notification); — Компания не передаёт персональную идентифицирующую информацию третьим лицам без явного письменного согласия пользователя, кроме случаев, предусмотренных законом. SHIELD Act (Нью-Йорк) — программа кибербезопасности. Компания поддерживает разумные административные, технические и физические меры безопасности для защиты приватной информации резидентов Нью-Йорка.
9. Передача данных третьим лицам
Компания не продаёт персональные данные. Передача данных происходит ограниченному кругу получателей: Другие пользователи Платформы. В рамках функциональности ваш публичный профиль видят другие пользователи в соответствии с настройками приватности. Поставщики услуг (processors): — Инфраструктура: DigitalOcean (хостинг, Spaces), AWS (резервные копии), Cloudflare (CDN, защита от DDoS) — США/ЕС/РФ (сегментированно); — Почта: SendGrid / Mailgun / Postmark — США, ЕС; — Push: Firebase Cloud Messaging / Apple APNs — США; — SMS: лицензированные SMS-шлюзы — РФ/ЕС/США; — KYC: SumSub / SmartID — ЕС/Великобритания; — Платежи: Stripe / ЮKassa — ЕС/США/РФ; — Аналитика: внутренние инструменты + Google Analytics только с согласия, с IP-anonymization, ретенция 14 мес; — ИИ-модели (не-обучающее использование): OpenRouter, Anthropic, OpenAI — при предоставлении функций AI-чата; содержимое запросов не используется провайдерами для обучения. Актуальный полный перечень подрядчиков опубликован по адресам www.communitynet.ru/legal/processors и www.communitynet.app/legal/processors. Соисполнители организаторов мероприятий. При регистрации на мероприятие минимально необходимая информация передаётся организатору для проведения события. Правоохранительные органы и суды. Данные раскрываются только по законному запросу в объёме, требуемом законом, с фиксацией каждого случая в внутреннем журнале. Правопреемники. В случае реорганизации/слияния/продажи активов данные передаются правопреемнику. Пользователи уведомляются не менее чем за 30 дней. Все поставщики услуг обязаны договорами (DPA, SCCs для трансграничных передач) к соблюдению уровня защиты данных не ниже, чем установленный настоящей Политикой.
10. Хранение данных и сроки
Данные аккаунта — в течение всего периода использования Платформы и 30 дней после удаления. Данные верификации — документы удаляются провайдером KYC после завершения проверки; результат верификации хранится в течение действия аккаунта. Переписка и медиафайлы в мессенджере — в течение действия аккаунта. После удаления аккаунта — до 90 дней. Платёжные данные — по требованиям финансового и налогового законодательства (как правило, 5 лет после транзакции). Логи безопасности и журналы авторизаций — до 12 месяцев, далее обезличиваются. Логи anti-fraud — до 36 месяцев для выявления рецидивов и соблюдения NY GBL по fraud ban notifications. Агрегированные и обезличенные аналитические данные — бессрочно (не позволяют идентифицировать). Данные в обучающих выборках моделей ИИ — при отзыве согласия / opt-out данные исключаются из будущих обучающих циклов; из уже обученных моделей удаление технически невозможно, но деидентификация выборок минимизирует риск.
11. Безопасность данных
Компания применяет эшелонированный комплекс мер: Шифрование: TLS 1.2+ при передаче, обязательный HSTS; AES-256 при хранении (БД, Spaces, резервные копии); ключи управляются через KMS с ротацией; пароли — Argon2id / bcrypt с солью. Контроль доступа: MFA/2FA обязательна для всех сотрудников с доступом к production; принцип минимальных привилегий; защита от brute-force и replay; динамическая смена control-строк при восстановлении паролей. Мониторинг: непрерывный мониторинг подозрительной активности; журналирование авторизаций и административных операций; регулярные аудиты безопасности и тестирование на проникновение; обучение сотрудников. Резервное копирование: ежедневные снимки с шифрованием; географически распределённое хранение; регулярные учения по восстановлению. Реагирование на инциденты: круглосуточная дежурная смена, цепочка эскалации; план реагирования; уведомление регуляторов в сроки закона. Предел гарантий. Несмотря на принимаемые меры, ни один метод передачи и хранения данных в сети Интернет не является абсолютно безопасным. Компания не может гарантировать абсолютную безопасность данных и не несёт ответственности за инциденты, вызванные действиями/бездействием пользователей или третьих лиц вне её разумного контроля.
12. Права пользователя и порядок их реализации
Вы имеете следующие права в отношении ваших персональных данных: — доступ: получить копию обрабатываемых данных; — исправление: потребовать исправить неточные или неполные данные; — удаление: потребовать удаления ваших данных (с учётом законных оснований для их хранения); — ограничение обработки; — переносимость: получить данные в структурированном, машиночитаемом формате (JSON/CSV); — отзыв согласия там, где обработка основана на согласии; — возражение против обработки на основании законного интереса, включая профилирование; — отказ от автоматизированных решений: потребовать человеческого участия в решениях с юридическими последствиями; — жалоба в надзорный орган (Роскомнадзор, DPC в Ирландии, ICO в Великобритании, CPPA в Калифорнии, соответствующий орган вашей страны). Порядок реализации прав. Запрос направляется на privacy@communitynet.app с идентификацией заявителя. Компания предоставляет ответ в течение: — 10 рабочих дней — для запросов по 152-ФЗ от граждан РФ; — 1 месяца — для запросов по GDPR (возможно продление до 3 месяцев при сложности); — 45 дней — для запросов по CCPA/CPRA (возможно продление на 45 дней); — иных сроков, установленных применимым законом. Отсутствие дискриминации. Компания не применяет дискриминационные меры (повышение цен, снижение качества, отказ в обслуживании) за реализацию вами прав. Удаление аккаунта. Самообслуживаемое удаление доступно через настройки профиля. После удаления данные обезличиваются/уничтожаются в сроки раздела 10, кроме данных, обязательных к хранению по закону.
13. Файлы cookie и аналогичные технологии
Подробно описано в Политике cookie: www.communitynet.ru/cookies (русская) / www.communitynet.app/cookies (международная). Краткая сводка: — строго необходимые cookie работают без согласия (аутентификация, CSRF-защита); — функциональные — с вашего согласия (язык, тема); — аналитические — с вашего согласия (анонимизированная аналитика); — рекламные cookie Компанией не используются.
14. Несовершеннолетние
Платформа предназначена исключительно для лиц, достигших 18 лет. Компания не собирает и не обрабатывает сознательно персональные данные лиц младше 18 лет. При получении обоснованных сведений о регистрации несовершеннолетнего Компания незамедлительно блокирует аккаунт, удаляет все связанные данные и уведомляет законных представителей и, при наличии оснований, компетентные органы. Родители и законные представители, обнаружившие регистрацию своего несовершеннолетнего ребёнка на Платформе, могут направить запрос на немедленное удаление аккаунта на privacy@communitynet.app.
15. Изменения Политики
Мы можем вносить изменения в Политику. О существенных изменениях уведомляем не менее чем за 14 дней через Платформу, push-уведомления и электронную почту. Дата последней редакции указана в начале документа. Архив предыдущих редакций доступен по запросу на privacy@communitynet.app. При существенных изменениях (расширение целей обработки, новые получатели, изменение правовых оснований) вы будете обязаны повторно акцептовать обновлённую Политику через модальное окно согласия. Отказ от акцепта влечёт невозможность использования затронутых функций или всей Платформы.
16. Контактная информация
Ответственный за обработку персональных данных (DPO): privacy@communitynet.app / dpo@communitynet.app EU Representative: будет назначен при превышении порогов — www.communitynet.app/legal/eu-representative UK Representative: будет назначен при превышении порогов Компания: KG Connect ltd. Платформа: www.communitynet.ru (русскоязычная) · www.communitynet.app (международная) Надзорные органы: — Российская Федерация: Роскомнадзор, rkn.gov.ru — Ирландия (ведущий надзорный орган ЕС): Data Protection Commission, dataprotection.ie — Великобритания: Information Commissioner's Office, ico.org.uk — Калифорния: California Privacy Protection Agency, cppa.ca.gov
17. SMS-коммуникации и телефонные номера
Мы используем SMS только в одной транзакционной цели — для подтверждения того, что введённый вами номер действительно принадлежит вам. Одноразовый 6-значный код отправляется на номер только после того, как вы явно ввели его в приложении и нажали «Отправить код». Номера не собираются из сторонних источников. Что мы храним: телефонный номер (шифруется на хранении), дату его подтверждения, хешированную историю последних попыток ввода OTP (для защиты от перебора). Номера удаляются в течение 30 дней после удаления вашего аккаунта. Частота. Не более 3 SMS на получателя в сутки (один исходный код плюс до двух повторных отправок). Маркетинговые и рекламные SMS мы не рассылаем — только верификация. Партнёр по доставке. SMS передаются через SignalWire (signalwire.com), наш бесплатный (toll-free) messaging-провайдер. Сообщение обрабатывается ими только во время передачи и не сохраняется и не используется в иных целях. Действует data-processing addendum. Стоимость. Ваш мобильный оператор может взимать стандартную плату за SMS и трафик — мы никогда не списываем с вас плату за приём SMS напрямую. Отказ от рассылки. Ответьте STOP на любое сообщение, чтобы немедленно удалить ваш номер из списка рассылки. Ответьте HELP или напишите на hello@communitynet.app для помощи. Отказ не удаляет аккаунт, но вы не сможете совершать исходящие звонки на городские номера до повторной верификации. Операторы связи (T-Mobile, Verizon, AT&T, международные carriers) не несут ответственности за задержку или недоставку сообщений.
© 2026 Community Network