# 28. Регламент обработки ПД пользователей веб-сайта Whitebird (23.07.2024)

**Тип:** Local Regulation, **Приложение 2** к Политике оператора в отношении обработки ПД
**Утверждено:** Директор ЗАО «Уайт Бёрд» М.А. Шабанов, 23.07.2024
**Сайт:** https://whitebird.io
**E-mail:** info@witebird.io *(!внимание: домен без 'h')*
**Юр.адрес:** Республика Беларусь, 220030, Минск, ул. Свердлова 11, помещение 328
**УНП:** 591029489
**Размер:** 5.3 МБ, ~6-8 стр.

## Что это
**Это не «statement of user support», как кажется по filename.** Это **Регламент обработки ПД пользователей веб-сайта** — что-то вроде Cookie Policy + Privacy Notice. Является публичной/полу-публичной версией #25, доступной любому пользователю сайта.

**Юридическая роль:** это документ, который должен быть на странице, где пользователь заполняет любую форму на whitebird.io. Чекбокс «Я согласен с обработкой ПД» отсылает именно к этому Регламенту.

## КРИТИЧЕСКОЕ НАБЛЮДЕНИЕ — ошибка в email или второй домен
В документе указан **info@witebird.io** (без `h`!), хотя сам сайт — **whitebird.io** (с `h`).

Это либо:
1. **Опечатка в документе** — серьёзный compliance fail для финансовой компании
2. **Owned mirror domain** — they own both whitebird.io AND witebird.io как защиту от typosquatting
3. **Транслитерационная ошибка** — кто-то переводил с русского и опечатался

**Для копирования Монтаны:** обязательно **владеть обоими доменами** + **тщательно вычитывать legal documents** на консистентность.

## Структура документа

### Преамбула
- Регламент **дополняет** Политику обработки ПД (#18)
- НЕ создаёт самостоятельных правил, а кратко излагает Политику
- Цель: соблюдение **части 2 пункта 5 статьи 5 Закона № 99-З** — простым и ясным языком разъяснить субъекту его права

### Раздел 1. Какие ПД, для каких целей и на каком основании
**5 целей обработки:**

| Цель | Описание | Обрабатываемые данные | Основание |
|---|---|---|---|
| 1. Рассмотрение заявки о трудоустройстве | Пользователь хочет в команду Whitebird | ФИО, email, телефон, образование, опыт, иные | **Согласие** |
| 2. Ответ на обращение | Вопрос/жалоба/предложение | ФИО, компания (опц.), телефон, email, иные | **Согласие** |
| 3. Договор с клиентами | Регистрация, KYC, торговля | Данные клиента | **Договор** |
| 4. Договор с подрядчиками | Закупки, услуги | Данные подрядчика | **Договор** |
| 5. Трудовой договор | Найм работника | Данные работника | **Трудовое законодательство** |

**Важно:** для целей 1-2 нужно **согласие**, для 3-5 — другие основания (договор, закон).

### Раздел 2. Срок хранения
Хранят:
- В течение периода обработки целей
- В течение периода, предусмотренного законодательством
- После достижения целей или отзыва согласия — **удаление в течение срока по законодательству РБ**

**Конкретные сроки НЕ указаны** — это типичная слабость документа.

### Раздел 3. Политика cookie
4 типа cookie:
1. **Необходимые** (essential) — для функционирования сайта
2. **Аналитические** — статистика
3. **Функциональные** — навигация
4. **Рекламные** — ремаркетинг, контекстно-медийная сеть **Яндекс + Google**

**Инструменты:**
- **Google Analytics** (Google, Inc., 1600 Amphitheatre Pkwy, Mountain View, CA 94043, USA)
- **Яндекс.Метрика** (ЗАО «Яндекс», Москва, ул. Льва Толстого 16)

### Раздел 4. Доступ третьих лиц
Передают ПД третьим лицам:
- **Яндекс Метрика** (РФ) — веб-аналитика
- **Google Analytics** (США) — веб-аналитика
- **Иные третьи лица** — если обязаны по закону

**Это трансграничная передача ПД!**

### Раздел 5. Права субъекта ПД (6 прав)
| № | Право | Действия Whitebird |
|---|---|---|
| 1 | Получить информацию о ПД | 5 рабочих дней с запроса |
| 2 | Получить информацию о передаче третьим лицам | 15 календарных дней, **1 раз в год бесплатно** |
| 3 | Внесение изменений в ПД | 15 календарных дней |
| 4 | Прекращение обработки / удаление | 15 календарных дней |
| 5 | Отзыв согласия | 15 календарных дней (с исключениями по закону) |
| 6 | Жалоба в уполномоченный орган | По законодательству РБ |

**Адреса для запросов:**
- Письменно: Минск, Свердлова 11/328
- Электронно: info@witebird.io
- Запрос должен содержать: ФИО, адрес, дата рождения, ID/паспорт, суть требования, подпись

### Раздел 6. Технические детали
- Уведомление о ПД размещается **рядом с каждой формой обратной связи** на сайте
- Согласие — через **чекбокс рядом с кнопкой «Отправить»**
- При противоречии — применяются положения **этого** Регламента (приоритет над #18)

## Моё мнение
**Этот документ — публичный фасад приватности Whitebird.** Он юридически корректен, но достаточно базовый.

### Сильные стороны
1. **Простой язык** (требование Закона 99-З)
2. **Чёткая таблица целей и оснований** — пользователь видит что именно собирают
3. **Чёткие сроки реализации прав** (5 vs 15 дней)
4. **Прозрачность по cookie** — указаны конкретные инструменты
5. **Прямые контакты** для запросов
6. **Приоритет над общей Политикой** — пользователь сайта имеет больше прав

### Слабые стороны
1. **Опечатка в email** (witebird vs whitebird) — НЕ должно быть в финансовом продукте
2. **Конкретные сроки хранения не указаны**
3. **Трансграничная передача в Google (США)** упомянута, но **не уведомление пользователя о рисках** (требование Закона 99-З ст. 35.5.1)
4. **Яндекс.Метрика** — это РФ data processor, **post-2022 это вопрос для EU клиентов** (РФ не имеет adequacy decision от EC)
5. **Нет упоминания GDPR** — хотя они работают с европейцами
6. **Нет упоминания CCPA** — для калифорнийских пользователей
7. **Нет «Do Not Track» honoring** — modern requirement
8. **Нет упоминания права на portability ПД** (GDPR art. 20)
9. **Нет упоминания права на ограничение обработки** (GDPR art. 18)

### Стратегическая интерпретация
- Документ **только для compliance с РБ Законом 99-З**, не для GDPR/CCPA
- Whitebird явно **не таргетируется на EU/US** (или таргетируется через серую зону)
- Cookie policy очень базовая — нет cookie banner с granular controls
- Использование **Яндекс.Метрики** = ясный сигнал: основная аудитория — Russian-speakers

## Что нужно команде Монтаны для копирования 1:1

### Структура регламента для веб-сайта Монтаны
**Приложение 2 к общей Политике обработки ПД:**

#### Раздел 1. Цели и состав ПД (8-10 целей вместо 5 у Whitebird)
| Цель | Данные | Основание |
|---|---|---|
| 1. Рассмотрение заявки о трудоустройстве | стандарт | Согласие |
| 2. Ответ на обращение | стандарт | Согласие |
| 3. Договор с клиентами (KYC) | расширенный | Договор + AML |
| 4. Договор с подрядчиками | стандарт | Договор |
| 5. Трудовой договор | расширенный | Закон |
| 6. **AML/CFT мониторинг** | расширенный | Закон 165-З (РБ) |
| 7. **Налоговое декларирование** | стандарт | Закон |
| 8. **Маркетинг + ремаркетинг** | минимальный | Согласие (opt-in) |
| 9. **Антифрод** | технический | Договор + legitimate interest |
| 10. **Регуляторная отчётность** | расширенный | Закон |

#### Раздел 2. Конкретные сроки хранения
| Тип ПД | Срок |
|---|---|
| ПД клиента (активного) | весь период отношений + 5 лет |
| ПД клиента (бывшего) | 5 лет после расторжения |
| **AML/KYC данные** | **минимум 5 лет** по 165-З |
| ПД кандидата (не нанятого) | до 1 года |
| ПД работника (активного) | весь период + 75 лет (трудовое законодательство) |
| ПД пользователя сайта (без аккаунта) | до 6 месяцев |
| Cookie | до 24 месяцев |
| Marketing data | до отзыва согласия |
| Логи операций (security) | 1 год |
| AML логи | 5 лет |
| Транзакционные логи | 10 лет (для аудита) |

#### Раздел 3. Cookie Policy расширенная
**Granular cookie banner:**
- ✅ Strictly necessary (всегда включено)
- ☐ Performance / Analytics (opt-in)
- ☐ Functional (opt-in)
- ☐ Targeting / Advertising (opt-in)

**Инструменты Монтаны (рекомендации):**
- **Analytics:** Plausible (privacy-friendly) / Matomo self-hosted (вместо GA)
- **A/B testing:** PostHog (open source, self-hosted)
- **Heatmaps:** Mouseflow / Hotjar (с opt-in)
- **CDN:** Cloudflare (с сохранением IP)
- **Cookie banner:** OneTrust / Cookiebot / CookieYes
- **GTM:** Через Cookiebot с включением только после согласия
- **NO Google Analytics** — privacy issues + post-Schrems II
- **NO Яндекс.Метрика** — если хотим EU клиентов
- **NO Facebook Pixel** — privacy issues

#### Раздел 4. Трансграничная передача
Должно быть **explicit warning:**
```
⚠️ При использовании сервиса вы можете передавать ПД в:
- США (Cloudflare, AWS) — нет adequacy decision РБ, но используется SCC
- ЕС (Vault provider, Stripe для платежей) — adequacy подтверждён
- ОАЭ (для VARA compliance) — нет adequacy decision

Подписывая согласие, вы подтверждаете информированность.
```

#### Раздел 5. Права субъекта ПД (10 прав = РБ + GDPR + CCPA)
1. Получение информации
2. Получение информации о передаче третьим лицам
3. Внесение изменений
4. Прекращение обработки / удаление (Right to Erasure / GDPR art. 17)
5. Отзыв согласия
6. Жалоба в уполномоченный орган
7. **Право на портативность ПД** (GDPR art. 20)
8. **Право на ограничение обработки** (GDPR art. 18)
9. **Право на возражение против автоматического принятия решений** (GDPR art. 22)
10. **Право не быть подвергнутым profiling без явного согласия**

#### Раздел 6. Технические требования к UX
- **Cookie banner** при первом визите — granular controls
- **Privacy Center** в личном кабинете — все настройки приватности
- **Self-service deletion** — кнопка «удалить аккаунт» с автоматическим удалением ПД
- **Data export** — пользователь может выгрузить ВСЕ свои ПД в JSON/CSV
- **Privacy Dashboard** — что собираем, кому передаём, как используем

### Контакты
**Whitebird-стиль:**
- info@whitebird.io — общий
- legal@whitebird.io — для приватности (отдельный)

**Монтана-стиль (улучшенный):**
- info@montana.io — общий
- privacy@montana.io — для приватности (с DPO)
- legal@montana.io — для юридических вопросов
- dpo@montana.io — Data Protection Officer (личный канал)
- security@montana.io — для security incidents

### Email best practices
1. **Все каналы зашифрованы** — PGP keys опубликованы
2. **Auto-acknowledgment** в течение 1 минуты
3. **SLA:** ответ в течение 5 рабочих дней (как Whitebird)
4. **Status updates** на сайте по каждому запросу
5. **GDPR-compliant data subject request portal**

### Юридический совет
**Whitebird сделал минимум для РБ.** Монтана должна:
1. Сделать минимум для РБ (как Whitebird)
2. **Плюс GDPR** (для EU клиентов)
3. **Плюс CCPA** (для California)
4. **Плюс PIPL** (для China)
5. **Плюс PDPL** (для UAE)

Это в одном документе — multi-jurisdiction privacy policy с language toggles.

## Ссылки внутри Whitebird-стека
- → #18 (главная Политика обработки ПД)
- → #25 (Приложение 1 — обработка ПД клиентов)
- → #27 (Приложение 3 — конфиденциальность ПД)
- → #07 (Информация о деподенте — формы на сайте используют согласие)