10 KiB
10 KiB
18. Политика в отношении обработки персональных данных
Источник: ООО «Уайт Бёрд» (!) + Уполномоченное лицо ООО «Биткэш» Дата: 03/2024 Размер: 623 КБ, 12 стр. Юр.основание: Закон РБ № 99-З от 07.05.2021 «О защите персональных данных»
КРИТИЧЕСКОЕ ОТКРЫТИЕ: Multi-entity structure Whitebird Group
Документ показывает что в марте 2024 Whitebird был ООО (не ЗАО как в более поздних документах) с адресом г. Гродно, ул. Замковая, д. 7.
УНП 591029489 совпадает с ЗАО — это значит:
- Whitebird перерегистрировался ООО → ЗАО где-то в 2024 (возможно при назначении CEO Шабанова в апреле 2024)
- Юр.адрес мигрировал Гродно → Минск
Уполномоченное лицо (data processor):
- ООО «Биткэш» (BitCash)
- УНП 591028191 (другая компания!)
- Адрес: 230026 Гродно, ул. Победы, 30
- Email: ibfo@wbitcash.io
- Управляет мобильным приложением «Биткэш» (wbitcash.com)
Whitebird Group = минимум 2 связанных юр.лица:
- ЗАО «Уайт Бёрд» (биржа whitebird.io)
- ООО «Биткэш» (мобильный криптообмен wbitcash.com)
Структура документа
- Сведения об операторе и уполномоченных лицах
- Цели, основания, способы обработки
- Cross-border transfer
- Способы получения согласия
- Порядок обработки
- Таблица обрабатываемых данных по категориям
- Cookie policy
- Доступ третьих лиц
- Права субъектов ПД (6 прав)
- Прочие условия
Категории данных и цели
| Цель | Данные | Основание |
|---|---|---|
| Резюме кандидатов | ФИО, email, телефон, образование, опыт | Согласие |
| Обратная связь | ФИО, email, телефон, компания | Согласие |
| Договор с клиентом | ФИО, паспорт, адрес, банковские карты | Договор |
| Договор с подрядчиком | Юр.данные, ФИО представителей | Договор |
| Трудовой договор | Полный pack для employees | Закон РБ |
| KYC верификация | ФИО, дата рождения, пол, телефон, логин, пароль, банковские карты, номер счёта, паспорт, адрес регистрации, биометрия, IP, cookies, e-mail | Согласие |
| Посетители сайта | Statistics, cookies, IP, behavior | Согласие |
| Передача данных Биткэш | ФИО, паспорт, адрес, телефон | Договор |
6 прав субъекта ПД (Беларусь = GDPR-like)
| № | Право | SLA |
|---|---|---|
| 1 | Получить информацию об обработке | 5 раб.дней |
| 2 | Узнать о передаче 3-м лицам (1 раз в год бесплатно) | 15 кал.дней |
| 3 | Внести изменения | 15 кал.дней |
| 4 | Потребовать прекращения обработки + удаления | 15 кал.дней |
| 5 | Отозвать согласие | 15 кал.дней |
| 6 | Обжаловать в уполномоченный орган | — |
Передача третьим лицам
| Третье лицо | Назначение | Юрисдикция |
|---|---|---|
| Яндекс.Метрика | Веб-аналитика | Москва, РФ |
| Google Analytics | Веб-аналитика | Mountain View, US |
Cross-border transfer: Whitebird явно использует Google Analytics, что означает данные клиентов уходят в США. По Закону РБ это допускается при наличии информированного согласия (которое дают через checkbox на сайте).
Cookie types
- Необходимые — функциональность сайта
- Аналитические — статистика, performance
- Функциональные — навигация
- Рекламные — Yandex / Google ремаркетинг
Моё мнение
Это compliance-документ среднего качества по РБ-стандарту. Закон РБ № 99-З от 2021 — местный аналог GDPR, но менее строгий.
Сильные стороны
- 6 прав субъекта — полный набор
- Чёткие SLA (5 / 15 дней) — конкретные обязательства
- Cross-border rules — соответствие ст. 9 закона
- Multi-entity disclosure — раскрытие связи с Биткэш
- Cookie policy — 4 типа enumerated
Слабые стороны
- Очень широкий scope сбора данных — паспорт, биометрия, банковские карты в одной базе
- Передача в США (Google Analytics) — потенциальный risk при российских/белорусских sanctions
- Одностороннее изменение Политики — без notification клиентам
- Нет mention of:
- Data retention periods (как долго хранятся данные после закрытия аккаунта?)
- Encryption at rest / in transit
- Breach notification timeline для клиентов (есть для гос.органа)
- Data Protection Officer (DPO) контакт
- Right to data portability — экспорт данных (GDPR Art. 20)
- Right to object to automated decisions (GDPR Art. 22)
- «Прочие условия»: изменения без согласия — слабая защита клиента
Что нужно команде Монтаны для копирования 1:1
Multi-jurisdiction Privacy Policy Stack
Монтана должен иметь несколько Privacy Policies для разных юрисдикций:
- EU/EEA Privacy Notice (GDPR) — полный compliance, including:
- DPO контакт
- Right to data portability
- Right to object to automated decisions
- Lawful bases for each purpose
- International transfer mechanisms (SCC, BCR, adequacy)
- 72-hour breach notification
- Retention periods explicit
- California Privacy Notice (CCPA/CPRA) — для US:
- Categories of personal info
- Sources
- Business purposes
- Sharing disclosures
- Right to know / delete / opt-out of sale / opt-out of sharing
- РБ/РФ/CIS Privacy Notice — на базе Whitebird template
- UAE Privacy Notice (UAE PDPL) — для рынка ОАЭ
Technical Privacy Infrastructure
- Data Subject Request portal в личном кабинете:
- One-click export всех своих данных (JSON)
- One-click удаление аккаунта (с warning о последствиях)
- History всех данных, переданных 3-м лицам
- Consent management system:
- Granular checkboxes для каждой цели
- Cookies opt-in (EU style) vs opt-out (US style)
- Withdrawal kept current
- Data Protection Officer (DPO):
- Реальная позиция в команде
- Email:
dpo@montana.quest - Регулярные аудиты compliance
- Encryption stack:
- All PII at rest: AES-256-GCM
- In transit: TLS 1.3
- Key management: AWS KMS / HSM
- Retention policy:
- Active клиент: indefinite (по согласию)
- Inactive 5+ лет: anonymize all but legally required
- Closed account: 6 months grace, then automated purge (минус 7 лет for AML records)
- Breach notification system:
- Auto-detect data leak / breach attempt
- 72-hour notification regulators (EU GDPR)
- 24-hour notification клиентов (above standard)
- Audit log:
- Каждый доступ к PII логируется
- Кто, когда, что просмотрел / изменил
- Retention 7 лет (для compliance)
Vendor risk management
- Не использовать Google Analytics в EU — заменить на Plausible / Matomo / Fathom
- DPA (Data Processing Agreement) с каждым вендором
- Annual SOC 2 review для всех vendors
- Geographic restrictions — не передавать EU данные за пределы EU без SCC
Точные формулировки для копирования
- «Уполномоченное лицо не обязано получать согласие субъекта... такое согласие получает Оператор» — clear delegation of consent ownership
- «При утере или разглашении персональных данных не по вине субъекта Оператор информирует об этом Национальный центр защиты персональных данных» — breach notification clause
Ссылки внутри Whitebird-стека
- → #25 (clients_personal_datahandling — связанный документ для клиентов)
- → #27 (confidentiality_data_processing_policy — другой compliance doc)
- → ООО «Биткэш» — sister company (нет отдельного файла, но упоминается)