montana/Venera Montana/_audit/18_politika_personalnyh_dannyh.md

# 18. Политика в отношении обработки персональных данных

**Источник:** ООО «Уайт Бёрд» (!) + Уполномоченное лицо ООО «Биткэш»
**Дата:** 03/2024
**Размер:** 623 КБ, 12 стр.
**Юр.основание:** Закон РБ № 99-З от 07.05.2021 «О защите персональных данных»

## КРИТИЧЕСКОЕ ОТКРЫТИЕ: Multi-entity structure Whitebird Group
Документ показывает что в марте 2024 Whitebird был **ООО** (не ЗАО как в более поздних документах) с адресом **г. Гродно, ул. Замковая, д. 7**.

**УНП 591029489 совпадает** с ЗАО — это значит:
- Whitebird перерегистрировался ООО → ЗАО где-то в 2024 (возможно при назначении CEO Шабанова в апреле 2024)
- Юр.адрес мигрировал Гродно → Минск

**Уполномоченное лицо** (data processor):
- **ООО «Биткэш»** (BitCash)
- УНП **591028191** (другая компания!)
- Адрес: 230026 Гродно, ул. Победы, 30
- Email: ibfo@wbitcash.io
- Управляет мобильным приложением **«Биткэш»** (wbitcash.com)

**Whitebird Group = минимум 2 связанных юр.лица:**
1. ЗАО «Уайт Бёрд» (биржа whitebird.io)
2. ООО «Биткэш» (мобильный криптообмен wbitcash.com)

## Структура документа
1. Сведения об операторе и уполномоченных лицах
2. Цели, основания, способы обработки
3. Cross-border transfer
4. Способы получения согласия
5. Порядок обработки
6. Таблица обрабатываемых данных по категориям
7. Cookie policy
8. Доступ третьих лиц
9. Права субъектов ПД (6 прав)
10. Прочие условия

## Категории данных и цели
| Цель | Данные | Основание |
|---|---|---|
| Резюме кандидатов | ФИО, email, телефон, образование, опыт | Согласие |
| Обратная связь | ФИО, email, телефон, компания | Согласие |
| Договор с клиентом | ФИО, паспорт, адрес, банковские карты | Договор |
| Договор с подрядчиком | Юр.данные, ФИО представителей | Договор |
| Трудовой договор | Полный pack для employees | Закон РБ |
| **KYC верификация** | **ФИО, дата рождения, пол, телефон, логин, пароль, банковские карты, номер счёта, паспорт, адрес регистрации, биометрия, IP, cookies, e-mail** | Согласие |
| Посетители сайта | Statistics, cookies, IP, behavior | Согласие |
| Передача данных Биткэш | ФИО, паспорт, адрес, телефон | Договор |

## 6 прав субъекта ПД (Беларусь = GDPR-like)
| № | Право | SLA |
|---|---|---|
| 1 | Получить информацию об обработке | 5 раб.дней |
| 2 | Узнать о передаче 3-м лицам (1 раз в год бесплатно) | 15 кал.дней |
| 3 | Внести изменения | 15 кал.дней |
| 4 | Потребовать прекращения обработки + удаления | 15 кал.дней |
| 5 | Отозвать согласие | 15 кал.дней |
| 6 | Обжаловать в уполномоченный орган | — |

## Передача третьим лицам
| Третье лицо | Назначение | Юрисдикция |
|---|---|---|
| **Яндекс.Метрика** | Веб-аналитика | Москва, РФ |
| **Google Analytics** | Веб-аналитика | Mountain View, US |

**Cross-border transfer:** Whitebird явно использует Google Analytics, что означает данные клиентов уходят в США. По Закону РБ это допускается при наличии **информированного согласия** (которое дают через checkbox на сайте).

## Cookie types
1. **Необходимые** — функциональность сайта
2. **Аналитические** — статистика, performance
3. **Функциональные** — навигация
4. **Рекламные** — Yandex / Google ремаркетинг

## Моё мнение
**Это compliance-документ среднего качества по РБ-стандарту.** Закон РБ № 99-З от 2021 — местный аналог GDPR, но менее строгий.

### Сильные стороны
1. **6 прав субъекта** — полный набор
2. **Чёткие SLA** (5 / 15 дней) — конкретные обязательства
3. **Cross-border rules** — соответствие ст. 9 закона
4. **Multi-entity disclosure** — раскрытие связи с Биткэш
5. **Cookie policy** — 4 типа enumerated

### Слабые стороны
1. **Очень широкий scope сбора данных** — паспорт, биометрия, банковские карты в одной базе
2. **Передача в США (Google Analytics)** — потенциальный risk при российских/белорусских sanctions
3. **Одностороннее изменение Политики** — без notification клиентам
4. **Нет mention of:**
   - Data retention periods (как долго хранятся данные после закрытия аккаунта?)
   - Encryption at rest / in transit
   - Breach notification timeline для клиентов (есть для гос.органа)
   - Data Protection Officer (DPO) контакт
   - **Right to data portability** — экспорт данных (GDPR Art. 20)
   - **Right to object to automated decisions** (GDPR Art. 22)
5. **«Прочие условия»: изменения без согласия** — слабая защита клиента

## Что нужно команде Монтаны для копирования 1:1

### Multi-jurisdiction Privacy Policy Stack
Монтана должен иметь **несколько Privacy Policies** для разных юрисдикций:
1. **EU/EEA Privacy Notice (GDPR)** — полный compliance, including:
   - DPO контакт
   - Right to data portability
   - Right to object to automated decisions
   - Lawful bases for each purpose
   - International transfer mechanisms (SCC, BCR, adequacy)
   - 72-hour breach notification
   - Retention periods explicit
2. **California Privacy Notice (CCPA/CPRA)** — для US:
   - Categories of personal info
   - Sources
   - Business purposes
   - Sharing disclosures
   - Right to know / delete / opt-out of sale / opt-out of sharing
3. **РБ/РФ/CIS Privacy Notice** — на базе Whitebird template
4. **UAE Privacy Notice (UAE PDPL)** — для рынка ОАЭ

### Technical Privacy Infrastructure
1. **Data Subject Request portal** в личном кабинете:
   - One-click export всех своих данных (JSON)
   - One-click удаление аккаунта (с warning о последствиях)
   - History всех данных, переданных 3-м лицам
2. **Consent management system:**
   - Granular checkboxes для каждой цели
   - Cookies opt-in (EU style) vs opt-out (US style)
   - Withdrawal kept current
3. **Data Protection Officer (DPO):**
   - Реальная позиция в команде
   - Email: `dpo@montana.quest`
   - Регулярные аудиты compliance
4. **Encryption stack:**
   - All PII at rest: AES-256-GCM
   - In transit: TLS 1.3
   - Key management: AWS KMS / HSM
5. **Retention policy:**
   - Active клиент: indefinite (по согласию)
   - Inactive 5+ лет: anonymize all but legally required
   - Closed account: 6 months grace, then automated purge (минус 7 лет for AML records)
6. **Breach notification system:**
   - Auto-detect data leak / breach attempt
   - 72-hour notification regulators (EU GDPR)
   - 24-hour notification клиентов (above standard)
7. **Audit log:**
   - Каждый доступ к PII логируется
   - Кто, когда, что просмотрел / изменил
   - Retention 7 лет (для compliance)

### Vendor risk management
- **Не использовать Google Analytics в EU** — заменить на Plausible / Matomo / Fathom
- **DPA (Data Processing Agreement)** с каждым вендором
- **Annual SOC 2 review** для всех vendors
- **Geographic restrictions** — не передавать EU данные за пределы EU без SCC

## Точные формулировки для копирования
- «Уполномоченное лицо не обязано получать согласие субъекта... такое согласие получает Оператор» — clear delegation of consent ownership
- «При утере или разглашении персональных данных не по вине субъекта Оператор информирует об этом Национальный центр защиты персональных данных» — breach notification clause

## Ссылки внутри Whitebird-стека
- → #25 (clients_personal_datahandling — связанный документ для клиентов)
- → #27 (confidentiality_data_processing_policy — другой compliance doc)
- → ООО «Биткэш» — sister company (нет отдельного файла, но упоминается)