1.1. Настоящая Политика конфиденциальности (далее — «Политика») описывает, какие персональные данные обрабатывает музыкальная платформа Podshar (далее — «Платформа»), с какими целями, на каких правовых основаниях, как долго они хранятся, кому могут передаваться и какие права имеет субъект данных.
1.2. Политика подготовлена в соответствии с Регламентом (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц при обработке персональных данных (далее — «GDPR»), а также с законодательством Республики Хорватия о реализации GDPR (Zakon o provedbi Opće uredbe o zaštiti podataka).
1.3. Контролёром данных в значении статьи 4(7) GDPR выступает юридическое лицо — оператор Платформы, зарегистрированное в Республике Хорватия. Полные реквизиты контролёра указываются на странице podshar.com/imprint.
1.4. По всем вопросам, связанным с обработкой персональных данных, Пользователь вправе обратиться по адресу privacy@podshar.com.
1.5. По состоянию на дату вступления в силу настоящей Политики у Администрации не возникает обязанность по назначению Сотрудника по защите данных (Data Protection Officer, DPO) в значении статьи 37(1) GDPR, поскольку основная деятельность Платформы не предполагает регулярного и систематического мониторинга субъектов данных в крупном масштабе и не связана с массовой обработкой специальных категорий данных. Функции контактного лица по вопросам защиты персональных данных исполняются Администрацией; направить запрос можно по адресу, указанному в пункте 1.4. При изменении масштаба или характера обработки Администрация назначит DPO и опубликует его контактные данные в настоящей Политике.
2.1. Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
2.2. Обработка — любая операция или совокупность операций, совершаемых с персональными данными.
2.3. Субъект данных — физическое лицо, к которому относятся персональные данные (Пользователь Платформы).
2.4. Контролёр — лицо, определяющее цели и средства обработки.
2.5. Обработчик (Processor) — лицо, обрабатывающее данные по поручению Контролёра.
2.6. ЕЭЗ — Европейская экономическая зона.
3.1. В зависимости от характера взаимодействия Пользователя с Платформой обрабатываются следующие категории данных:
| Категория | Состав |
|---|---|
| Регистрационные данные | Адрес электронной почты, никнейм, пароль (в виде криптографического хеша), дата создания аккаунта. |
| Профильные данные | Аватар, биография, ссылки на внешние ресурсы, настройки профиля, языковые предпочтения. |
| Контентные данные | Загруженные Артистом аудиофайлы, обложки, тексты, метаданные треков и альбомов, информация о составах и концертах. |
| Поведенческие данные | История прослушиваний, плейлисты, лайки, рецензии, оценки, подписки, история поиска. |
| Технические данные | IP-адрес (в усечённой форме где это возможно), тип устройства и браузера, операционная система, языковые настройки, идентификатор сессии. |
| Журналы безопасности | Записи о входах в аккаунт, попытках авторизации, действиях, связанных с безопасностью. |
| Данные обращений | Содержание переписки со службой поддержки, уведомлений о нарушении прав и жалоб на модерационные решения. |
| Данные Telegram-бота | Telegram user ID, имя пользователя (если предоставлено), ссылки на источники треков, передаваемые боту. |
| Данные зрительского голосования (Twitch) | Анонимный «opaque user id», который Twitch присваивает зрителю в рамках расширения Платформы (не является логином или реальным идентификатором Twitch-аккаунта и сам по себе не позволяет установить личность зрителя), выставленная зрителем оценка трека (целое число от 1 до 10), временные метки голоса, идентификатор Twitch-канала и сессии голосования. |
3.2. Платформа не собирает специальные категории персональных данных в значении статьи 9 GDPR (данные о здоровье, политических взглядах, религии и т. п.) и просит Пользователей не размещать такие данные в открытых полях профиля или контента.
4.1. Обработка персональных данных осуществляется в следующих целях и на следующих правовых основаниях, предусмотренных статьёй 6 GDPR:
| Цель | Правовое основание |
|---|---|
| Создание и обслуживание аккаунта, предоставление функционала Платформы. | Исполнение договора — ст. 6(1)(b) GDPR. |
| Хранение и стриминг музыкального контента, ведение Карточки Артиста. | Исполнение договора — ст. 6(1)(b) GDPR. |
| Обеспечение безопасности Сервиса, защита от мошенничества и злоупотреблений. | Законный интерес — ст. 6(1)(f) GDPR. |
| Анализ агрегированной статистики использования, улучшение Сервиса. | Законный интерес — ст. 6(1)(f) GDPR. |
| Модерация контента и реагирование на уведомления о нарушении прав в соответствии с DSA. | Юридическая обязанность — ст. 6(1)(c) GDPR. |
| Соблюдение требований налогового, бухгалтерского и иного применимого законодательства. | Юридическая обязанность — ст. 6(1)(c) GDPR. |
| Информационные рассылки и уведомления о новостях Платформы (если применимо). | Согласие — ст. 6(1)(a) GDPR; может быть отозвано в любой момент. |
| Установка необязательных файлов cookie (аналитика, предпочтения). | Согласие — ст. 6(1)(a) GDPR + ePrivacy Directive. |
| Проведение зрительской оценки треков «предложки» во время трансляций (учёт одного голоса на зрителя в сессии, подсчёт средней зрительской оценки трека). | Законный интерес — ст. 6(1)(f) GDPR (организация анонимного зрительского голосования). |
5.1. В большинстве случаев данные получаются непосредственно от Пользователя при регистрации и использовании Сервиса.
5.2. Часть технических данных формируется автоматически при обращении устройства Пользователя к Платформе (IP-адрес, User-Agent, журналы сервера).
5.3. При использовании Telegram-бота Платформы соответствующие данные передаются непосредственно из мессенджера Telegram в порядке, предусмотренном его API.
5.4. Платформа не приобретает персональные данные у третьих лиц и не использует брокеров данных.
5.5. В отдельных случаях Администрация получает персональные данные не от самого субъекта данных, а из внешних источников. В соответствии со статьёй 14 GDPR раскрываются следующие категории таких источников:
5.6. О получении персональных данных из указанных источников субъект данных уведомляется в порядке и сроки, предусмотренные статьёй 14(3) GDPR, за исключением случаев, в которых такое уведомление невозможно или сопряжено с несоразмерными усилиями, а равно случаев, в которых уведомление способно сделать невозможным или существенно затруднить достижение целей обработки (в частности, при расследовании нарушения прав).
6.1. Персональные данные хранятся в течение срока, необходимого для достижения целей их обработки, после чего удаляются либо обезличиваются. Конкретные сроки:
| Категория данных | Срок хранения |
|---|---|
| Регистрационные и профильные данные | В течение всего срока существования аккаунта; после удаления аккаунта — до 30 дней в резервных копиях, после чего удаляются. |
| Контент Артиста | До момента удаления Артистом; резервные копии — до 30 дней. |
| Поведенческие данные | До 24 месяцев в персонализированном виде, далее агрегируются и обезличиваются. |
| Технические журналы и журналы безопасности | До 12 месяцев, если более длительный срок не требуется для расследования инцидентов. |
| Данные обращений и модерационных решений | До 3 лет с момента закрытия обращения — для целей DSA-отчётности и защиты прав. |
| Документы налоговой и бухгалтерской отчётности | В сроки, предусмотренные применимым законодательством Республики Хорватия — от 6 до 11 лет в зависимости от типа документации (Zakon o računovodstvu, čl. 10; Opći porezni zakon, čl. 102). |
| Данные зрительского голосования (Twitch) | Анонимные голоса и данные сессии хранятся до удаления Администрацией зрительской оценки трека либо до удаления самого трека или очереди голосования; усреднённая зрительская оценка хранится на карточке трека до тех пор, пока существует трек. |
7.1. Для обеспечения работы Сервиса Платформа привлекает обработчиков, действующих от её имени на основании соответствующих соглашений об обработке данных (Data Processing Agreement, DPA) в соответствии со статьёй 28 GDPR. Текущий перечень обработчиков:
| Обработчик | Назначение | Локация инфраструктуры |
|---|---|---|
| Supabase Inc. | База данных, аутентификация, edge-функции. | ЕС (выбранный регион хостинга). |
| Backblaze, Inc. (Backblaze B2) | Хранение медиафайлов — аудио, видео, обложки, аватары. | Бакет в регионе ЕС (eu-central-003). |
| Cloudflare, Inc. | CDN, защита от DDoS, DNS, проксирование медиа через media.podshar.com. | Глобальная сеть точек присутствия; данные могут проходить через узлы за пределами ЕЭЗ. |
| Оператор VPS (Франция) | Размещение основного бэкенда Платформы и Node.js-сервера. | Франция, ЕС. |
| Оператор хостинга podshar.ru | Размещение фронтенда русскоязычной версии (без обработки персональных данных, только статика). | Российская Федерация. |
| Поставщик электронной почты | Доставка транзакционных писем (подтверждение регистрации, уведомления о модерации). | ЕС / в соответствии с соглашением. |
7.2. Помимо обработчиков, действующих по поручению Администрации, отдельные сервисы взаимодействуют с Пользователем как независимые контролёры в значении статьи 4(7) GDPR — то есть самостоятельно определяют цели и средства обработки данных, передаваемых им Пользователем:
| Сервис | Характер обработки | Документ сервиса |
|---|---|---|
| Telegram FZ-LLC | При использовании Telegram-бота загрузки Платформы Пользователь взаимодействует с инфраструктурой Telegram, который обрабатывает идентификатор пользователя, сообщения и метаданные в качестве самостоятельного контролёра в соответствии со своей политикой конфиденциальности. Администрация не имеет возможности заключить с Telegram соглашение об обработке данных по статье 28 GDPR и не контролирует обработку, осуществляемую Telegram в его собственных целях. | telegram.org/privacy |
| Twitch Interactive, Inc. | При участии в зрительском голосовании через расширение Платформы на канале Twitch зритель взаимодействует с инфраструктурой Twitch (группа Amazon). Twitch присваивает расширению анонимный «opaque user id» и идентификатор канала и передаёт их Платформе в подписанном токене; реальный аккаунт, ник или e-mail зрителя Платформе не передаются, поскольку подтверждение личности через механизм Twitch «share identity» не запрашивается. Twitch обрабатывает данные собственных пользователей в качестве самостоятельного контролёра в соответствии со своей политикой конфиденциальности; Администрация не контролирует обработку, осуществляемую Twitch в его собственных целях. | twitch.tv/p/legal/privacy-notice |
7.3. Перечень обработчиков и независимых контролёров может уточняться; актуальная версия публикуется по адресу podshar.com/processors. Привлечение новых обработчиков, имеющих доступ к персональным данным, осуществляется только после заключения DPA и проверки гарантий защиты данных.
7.4. Помимо обработчиков и независимых контролёров, данные могут раскрываться компетентным органам Республики Хорватия и Европейского Союза по их обоснованному и законному запросу.
8.1. Часть инфраструктуры (Cloudflare, Telegram, Twitch, отдельные компоненты Supabase и Backblaze) может предусматривать передачу данных за пределы ЕЭЗ — в том числе в США.
8.2. Такие передачи осуществляются с применением правовых механизмов, предусмотренных Главой V GDPR, а именно:
8.3. Зеркало русскоязычной версии podshar.ru размещено на территории Российской Федерации. На указанном поддомене обрабатываются исключительно публичные статические ресурсы фронтенда; персональные данные с него не собираются и не хранятся, а все запросы, требующие обработки персональных данных, направляются на основной бэкенд Платформы, расположенный в ЕС.
9.1. Использование Платформой файлов cookie, технологий локального хранения (localStorage, sessionStorage) и иных аналогичных средств подробно описано в отдельном документе — Политике использования cookie (Cookie Notice), доступной по адресу podshar.com/cookies и являющейся неотъемлемой частью настоящей Политики конфиденциальности.
9.2. Указанная Политика содержит исчерпывающий перечень используемых cookies, их назначение, сроки хранения, поставщиков и правовое основание использования каждой категории, а также описание механизма получения и отзыва согласия в соответствии со статьёй 5(3) Директивы 2002/58/EC (ePrivacy) и статьями 6(1)(a) и 7 GDPR.
9.3. Серверная агрегированная статистика, формируемая без применения cookies и иных средств идентификации устройства Пользователя, может обрабатываться на правовом основании законного интереса Администрации в соответствии со статьёй 6(1)(f) GDPR; данный обзор не противоречит требованию о получении согласия на установку cookies, поскольку относится к независимой категории обработки.
10.1. Платформа использует алгоритмические системы для подбора рекомендаций (например, «похожие треки», «может понравиться»). Эти алгоритмы основаны на поведенческих данных Пользователя и не принимают решений, имеющих правовые последствия в значении статьи 22 GDPR.
10.2. Пользователь вправе получить пояснения об основных параметрах рекомендательной системы (тип сигналов, веса категорий) и при наличии технической возможности — переключиться на нерекомендательную (хронологическую) ленту, что соответствует требованию статьи 27 DSA.
11.1. Платформа применяет технические и организационные меры защиты, соответствующие современным отраслевым стандартам, в том числе:
11.2. Несмотря на принимаемые меры, передача данных через сеть Интернет не может быть гарантированно безопасной; Пользователь должен самостоятельно обеспечивать защиту своего устройства и пароля.
12.1. В соответствии с главой III GDPR Пользователь имеет следующие права:
12.2. Реализация прав осуществляется по запросу, направленному на privacy@podshar.com, в срок, не превышающий 30 (тридцати) календарных дней; в обоснованных случаях срок может быть продлён ещё на 60 дней с уведомлением Пользователя.
12.3. Удаление аккаунта доступно непосредственно из интерфейса Платформы и не требует обращения к Администрации.
13.1. Использование Платформы разрешено лицам, достигшим 16 лет, в соответствии со статьёй 19 Закона Республики Хорватия о реализации GDPR (Zakon o provedbi Opće uredbe o zaštiti podataka). Администрация не собирает осознанно персональные данные лиц, не достигших указанного возраста.
13.2. Для соблюдения возрастного порога Администрация применяет следующие пропорциональные меры:
13.3. При получении обоснованной информации о том, что обладатель аккаунта не достиг 16 лет, Администрация приостанавливает доступ к аккаунту, в разумный срок запрашивает разъяснения и при подтверждении факта несоответствия — удаляет аккаунт и связанные с ним персональные данные. Резервные копии удаляются в порядке, предусмотренном пунктом 6.1 настоящей Политики.
13.4. Указанные меры периодически пересматриваются Администрацией с учётом развития нормативного регулирования и появления практически применимых технологических решений по верификации возраста, рекомендованных Европейским советом по защите данных (EDPB) и AZOP.
14.1. В случае нарушения безопасности персональных данных, способного повлечь риск для прав и свобод субъектов данных, Администрация уведомляет надзорный орган (AZOP) в течение 72 часов с момента обнаружения инцидента в соответствии со статьёй 33 GDPR.
14.2. При высоком риске Администрация дополнительно уведомляет затронутых Пользователей в порядке, предусмотренном статьёй 34 GDPR.
15.1. Администрация вправе вносить изменения в Политику для отражения изменений в законодательстве, инфраструктуре или функционале Сервиса.
15.2. О существенных изменениях Пользователи уведомляются по электронной почте и/или через интерфейс Платформы не менее чем за 15 (пятнадцать) дней до вступления изменений в силу. Несущественные правки (опечатки, уточнения формулировок) могут вступать в силу с момента публикации.
16.1. Запросы по вопросам обработки персональных данных направляются по адресу privacy@podshar.com.
16.2. Общие вопросы поддержки — support@podshar.com.
16.3. Надзорный орган Республики Хорватия:
Agencija za zaštitu osobnih podataka (AZOP)
Selska cesta 136, 10000 Zagreb, Hrvatska
Электронная почта: azop@azop.hr · Сайт: www.azop.hr
16.4. Пользователь, проживающий в другой стране ЕЭЗ, вправе обратиться в национальный надзорный орган своей страны.
Podshar — независимая музыкальная платформа.
Настоящая Политика конфиденциальности является неотъемлемой частью договорного комплекса между Пользователем и Администрацией и действует совместно с Пользовательским соглашением и Соглашением с Артистом Podshar.