В меню

Версия 1.5 · 2026-06-01

Политика конфиденциальности и обработки персональных данных

1. Общие положения

Настоящая Политика конфиденциальности и обработки персональных данных (далее — «Политика») разработана и применяется индивидуальным предпринимателем Кондрашев Василий Кириллович, ОГРНИП 325774600793820, ИНН 771001400230 (далее — «Оператор»), в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»), включая статью 18.1.

Политика действует в отношении всех персональных данных, обрабатываемых Оператором при использовании пользователями сайта kinoguesser.ru и связанных с ним сервисов (далее — «Сервис»).

Настоящая редакция Политики действует с даты, указанной в шапке документа.

2. Термины и определения

Термины, используемые в настоящей Политике, применяются в значениях, определённых статьёй 3 152-ФЗ:

  • Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн).
  • Оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав ПДн, действия, совершаемые с ПДн.
  • Обработка персональных данных — любое действие или совокупность действий с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
  • Субъект ПДн — физическое лицо, которому принадлежат соответствующие персональные данные.
  • Обезличивание ПДн — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту.
  • Трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
  • Конфиденциальность ПДн — обязательство не раскрывать третьим лицам и не распространять ПДн без согласия субъекта или иного законного основания.
  • Согласие на обработку ПДн — конкретное, предметное, информированное, сознательное и однозначное волеизъявление субъекта на обработку его ПДн.

Биометрические и специальные категории ПДн (раса, национальность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь, судимость) Оператором не обрабатываются.

3. Реквизиты Оператора

  • Полное наименование: Индивидуальный предприниматель Кондрашев Василий Кириллович
  • ОГРНИП: 325774600793820
  • ИНН: 771001400230
  • Регион регистрации: г. Москва
  • Контактный email для запросов по ПДн (основной): legal@kinoguesser.ru
  • Контактный email (дополнительный/общий): kinish@kinoguesser.ru
  • Сайт: kinoguesser.ru

Ответственный за организацию обработки персональных данных — Оператор лично.

4. Принципы и условия обработки ПДн

Оператор обрабатывает ПДн на следующих принципах (ст. 5 152-ФЗ):

  • законность и справедливость;
  • ограничение обработки достижением конкретных, заранее определённых и законных целей;
  • недопустимость объединения баз данных, обработка ПДн в которых несовместима;
  • точность, достаточность, актуальность ПДн;
  • хранение ПДн не дольше, чем требуется для целей обработки; уничтожение или обезличивание по достижении целей.

Правовые основания обработки (ст. 6 ч. 1 152-ФЗ):

  • Согласие субъекта ПДн (п. 1) — основание для обработки большинства данных Пользователей, предоставляемых при регистрации и использовании Сервиса.
  • Исполнение договора (п. 5) — для оказания услуги Сервиса (которым является публичная оферта в виде Пользовательского соглашения).
  • Законные интересы Оператора (п. 7) — для обеспечения безопасности Сервиса (журналы аудита, защита от злоупотреблений, антифрод).

5. Категории субъектов ПДн

  • Зарегистрированные пользователи — физические лица, создавшие учётную запись на Сервисе.
  • Анонимные посетители — лица, использующие Сервис без регистрации (ежедневная игра без аккаунта). Идентифицируются по технической анонимной сессии (cookie kg_sid) и IP-адресу в журнале аудита.
  • Лица, оказавшие поддержку — физические лица, добровольно оказавшие денежную поддержку проекту в порядке раздела 10 Пользовательского соглашения. Могут одновременно являться зарегистрированными пользователями или анонимными посетителями.
  • Правообладатели — лица, направившие обращение в порядке, предусмотренном документом «Информация для правообладателей».

6. Категории обрабатываемых ПДн

Оператор обрабатывает следующие категории ПДн (с указанием источника, основания и срока хранения):

ПДнИсточникОснованиеСрок
Адрес электронной почтыРегистрация / OAuth-провайдерСогласие + договорДо удаления аккаунта + 30 дней
Хеш пароля (необратимый, bcrypt)Указывается Пользователем при регистрации с паролемСогласие + договорДо удаления аккаунта + 30 дней
Имя, никнейм, аватарУказываются ПользователемСогласиеДо удаления аккаунта + 30 дней
Идентификаторы и токены OAuth (Google, Yandex, Telegram)OAuth-провайдерСогласие + договорДо удаления аккаунта + 30 дней; токены обезличиваются после получения email. Для входа через Telegram, не предоставляющий адрес электронной почты, Оператор автоматически генерирует технический служебный идентификатор формата tg_<id>@telegram.local, который не используется для связи с Пользователем и не передаётся третьим лицам.
IP-адрес, User-AgentHTTP-заголовки запросаЗаконные интересы (безопасность)90 дней в журнале аудита; до 30 часов в Redis-сессии
Cookies сервисаБраузер ПользователяСогласие (для аналитических) / законные интересы (для функциональных)До 30 дней / до окончания сессии
Игровая статистика (рейтинг, ачивки, титулы, история ников, история дуэлей и совместных партий с другими Пользователями, прогресс по коллекциям)Действия Пользователя в СервисеСогласие + договорДо удаления аккаунта
Пользовательский контент: коллекции, комментарииСоздаются ПользователемСогласие + договорДо удаления автором или модерацией Оператора
Данные Яндекс.Метрики (обезличенные)Скрипт сервиса Яндекс.МетрикаСогласие (cookie-баннер)По правилам ООО «Яндекс»
Платёжные данные поддержки (сумма, дата, валюта, идентификатор транзакции платёжного сервиса; при наличии — указанные плательщиком имя и адрес электронной почты, никнейм-привязка к аккаунту)Сторонний платёжный сервис при оказании поддержкиЗаконные интересы (налоговая и бухгалтерская отчётность, ст. 23 НК РФ) + согласие плательщика5 лет (срок хранения первичных учётных документов согласно ч. 1 ст. 29 ФЗ № 402-ФЗ «О бухгалтерском учёте» и пп. 8 п. 1 ст. 23 НК РФ); по истечении срока — обезличивание или уничтожение

7. Цели обработки ПДн

Оператор обрабатывает ПДн для следующих целей:

  • регистрация и предоставление доступа к Сервису;
  • идентификация и аутентификация Пользователя при входе, восстановление пароля;
  • ведение игровой статистики, рейтинга, достижений (ачивок), системы титулов;
  • проведение дуэлей, формирование лидербордов, отображение публичных профилей;
  • хранение и публикация пользовательского контента (коллекций, комментариев);
  • обеспечение безопасности Сервиса: ведение журнала аудита, обнаружение злоупотреблений, антифрод-меры;
  • связь с Пользователем: служебные уведомления, ответы на обращения;
  • аналитика посещаемости (Яндекс.Метрика);
  • технический мониторинг ошибок (с обезличиванием на стороне Оператора до отправки);
  • приём, учёт и налоговое сопровождение добровольных пожертвований Пользователей в порядке раздела 10 Пользовательского соглашения.

8. Способы обработки. Поручение третьим лицам

Обработка ПДн осуществляется смешанным способом:

  • с использованием средств автоматизации — при работе систем Сервиса (база данных, кеш, журнал аудита);
  • без использования средств автоматизации — при рассмотрении письменных обращений субъектов ПДн и правообладателей.

В соответствии с ч. 3 ст. 6 152-ФЗ Оператор вправе поручать обработку ПДн третьим лицам с согласия субъекта ПДн на основании заключаемого с этим лицом договора (или публичной оферты). Поручаемая обработка ограничивается необходимостью технического обеспечения работы Сервиса.

Перечень обработчиков:

  • ООО «АЙТИ БАЗИС» (HostKey) (ИНН 9719026854, ОГРН 1227700345905) — хостинг виртуального сервера, на котором размещаются веб-приложение Сервиса, база данных PostgreSQL, кеш Redis и файловое хранилище медиа-материалов (постеры, кадры, фрагменты трейлеров). Серверы расположены на территории Российской Федерации (см. раздел 10). Политика обработки ПДн обработчика — по ссылке.
  • ООО «Яндекс» (ИНН 7736207543) — оператор сервиса Яндекс.Метрика, а также (опционально) поставщик OAuth-провайдера для входа через аккаунт Яндекса. Политика конфиденциальности — yandex.ru/legal/confidential/.
  • Google LLC — поставщик OAuth-провайдера для входа через аккаунт Google. Передаётся минимальный набор данных: уникальный идентификатор аккаунта Google и адрес электронной почты Пользователя. Политика конфиденциальности — policies.google.com/privacy.
  • Telegram FZ-LLC — поставщик OAuth-провайдера для входа через аккаунт Telegram. Передаётся уникальный идентификатор Telegram-аккаунта и (если задан) имя пользователя. Политика конфиденциальности — telegram.org/privacy.
  • ООО «КлаудПэйментс» (CloudTips, входит в группу Т-Банка) (ИНН 7708806062) — поставщик услуги CloudTips по приёму добровольных пожертвований. Страница пожертвований — https://pay.cloudtips.ru/p/b6dea293. Передаются данные, необходимые для проведения платежа: сумма, валюта, метод оплаты, при наличии — указанные плательщиком имя, адрес электронной почты и публичное сообщение получателю. Политика конфиденциальности обработчика — https://cloudtips.ru/privacy.

9. Трансграничная передача ПДн

В соответствии со ст. 12 152-ФЗ Оператор уведомляет о следующих случаях трансграничной передачи ПДн:

  • Google LLC (США) — при использовании Пользователем входа через Google OAuth. Передаются идентификатор Google-аккаунта и адрес электронной почты. Основание — согласие Пользователя (ст. 12 ч. 4 п. 1 152-ФЗ).
  • Telegram FZ-LLC (ОАЭ) — при использовании Пользователем входа через Telegram. Передаётся уникальный идентификатор Telegram-аккаунта. Основание — согласие Пользователя.

Иной трансграничной передачи ПДн Оператор не осуществляет. Технические события мониторинга ошибок обрабатываются собственной (self-hosted) инсталляцией системы GlitchTip, развёрнутой Оператором на том же виртуальном сервере, что и Сервис, в дата-центре г. Москва, ул. Рябиновая, д. 53, стр. 3 (ЦОД DataPro III), Российская Федерация. Перед отправкой события обезличиваются на стороне Сервиса (удаляются IP-адрес, адрес электронной почты, имя пользователя, заголовки Cookie и Authorization), что в соответствии со ст. 3 п. 9 152-ФЗ выводит такие данные из-под определения персональных. Передача указанных событий за пределы Российской Федерации не осуществляется.

10. Хранение ПДн на территории Российской Федерации

В соответствии с требованием ч. 5 ст. 18 152-ФЗ Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Конкретное место размещения серверов хостинг-провайдера — г. Москва, ул. Рябиновая, д. 53, стр. 3 (ЦОД DataPro III), Российская Федерация (Российская Федерация).

11. Меры по защите ПДн

В соответствии с ч. 2 ст. 18.1 и ст. 19 152-ФЗ, а также Постановлением Правительства РФ от 1 ноября 2012 г. № 1119, Оператор определяет уровень защищённости ПДн как УЗ-4 (обработка иных категорий ПДн без специальных и биометрических, число субъектов — менее 100 000), и применяет следующие правовые, организационные и технические меры:

  • принятие настоящей Политики и её опубликование в свободном доступе на Сервисе;
  • обязательная парольная политика для аккаунтов с входом по паролю: минимум 8 символов; хранение пароля в виде необратимого хеша по алгоритму bcrypt с фактором сложности 12;
  • шифрование всего сетевого трафика с использованием протокола HTTPS (TLS 1.2 и выше);
  • установка флагов HttpOnly и SameSite=Lax для сессионных cookies;
  • проверка происхождения запросов (same-origin guard) для всех изменяющих данные API-эндпоинтов;
  • ограничение частоты запросов (rate-limiting) для защиты от подбора и автоматизированных атак;
  • ведение журнала аудита административных действий;
  • регулярное резервное копирование базы данных с шифрованием при передаче;
  • ограничение доступа к ПДн исключительно Оператором и обработчиками, привлечёнными по договору-поручению.

12. Cookies

Сервис использует следующие виды cookies:

  • Функциональные cookies:
    • kg_sid — анонимная игровая сессия (для Пользователей, не выполнивших вход);
    • __Secure-authjs.session-token (либо authjs.session-token при отсутствии HTTPS) — зашифрованный сессионный токен авторизованного Пользователя в формате JWT, устанавливается с флагами HttpOnly и SameSite=Lax;
    • __Host-authjs.csrf-token — токен защиты от CSRF-атак в форме входа;
    • __Secure-authjs.callback-url — целевой URL для возврата после авторизации.
    Указанные cookies необходимы для работы Сервиса и устанавливаются на основании законных интересов Оператора и исполнения договора. Срок жизни сессионного токена — до 30 дней либо до выхода из учётной записи; CSRF и callback — до окончания сессии браузера.
  • Cookies-баннер: метка kg:cookies-acked в localStorage (не cookie в строгом смысле) — фиксирует факт показа уведомления, чтобы не выводить его повторно.
  • Аналитические cookies сервиса Яндекс.Метрика, начинающиеся с _ym_ (_ym_uid, _ym_d, _ym_isad, _ym_visorc и иные) — устанавливаются скриптом Яндекс.Метрики (счётчик 109169697) для измерения посещаемости и улучшения работы Сервиса. Подробности — в Условиях использования Яндекс.Метрики и Политике конфиденциальности ООО «Яндекс».

Пользователь вправе в любой момент удалить cookies через настройки браузера, отозвать согласие на аналитические cookies средствами официального дополнения «Блокировщик Метрики» либо очистив localStorage сайта (флаг повторно покажет баннер).

13. Права субъекта ПДн

В соответствии со ст. 14, 17, 21 152-ФЗ субъект ПДн имеет:

  • право на получение информации, касающейся обработки его ПДн;
  • право на доступ к своим ПДн;
  • право на их уточнение, блокирование, уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • право в любой момент отозвать согласие на обработку ПДн — направив запрос на адрес legal@kinoguesser.ru или удалив учётную запись через настройки профиля (/settings → удалить аккаунт);
  • право обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): 109074, г. Москва, Китайгородский проезд, д. 7, стр. 2; сайт rkn.gov.ru;
  • право на судебную защиту своих прав и законных интересов.

Срок рассмотрения письменного запроса субъекта ПДн — 10 рабочих дней с момента получения (ст. 14 ч. 4 152-ФЗ). При необходимости срок может быть продлён до 5 рабочих дней с уведомлением субъекта.

14. Несовершеннолетние

Сервис не предназначен для использования лицами младше 18 лет. При регистрации Пользователь подтверждает достижение совершеннолетия и наличие полной дееспособности.

В случае, если Оператору станет известно о факте обработки ПДн несовершеннолетнего лица, не достигшего возраста 14 лет, без письменного согласия его законного представителя, Оператор немедленно прекращает обработку и удаляет такие ПДн.

15. Изменения настоящей Политики

Оператор вправе вносить изменения в настоящую Политику. Информация о внесении изменений размещается на Сервисе по адресу /legal/privacy не позднее, чем за 14 дней до вступления изменений в силу. При очередном входе Пользователю отображается уведомление о новой версии документов с возможностью ознакомления и подтверждения.

В случае несогласия с новой редакцией Политики Пользователь вправе прекратить использование Сервиса и удалить учётную запись.

16. Отзыв согласия. Удаление учётной записи

Пользователь может отозвать согласие на обработку ПДн:

  • самостоятельно — через раздел /settings (функция «Удалить аккаунт»);
  • направив письменный запрос на адрес legal@kinoguesser.ru (или kinish@kinoguesser.ru в качестве дополнительного канала).

После получения отзыва согласия Оператор обезличивает ПДн Пользователя в срок до 30 дней. На основании ч. 7 ст. 21 152-ФЗ часть данных, относящихся к игровой статистике (рейтинги, агрегированные результаты дуэлей с другими пользователями), сохраняется в обезличенной форме без возможности идентификации субъекта — как соответствующая законным интересам Оператора по обеспечению целостности игровой статистики Сервиса.

17. Контакты

Запросы субъектов ПДн принимаются по адресу legal@kinoguesser.ru. Дополнительный канал связи — kinish@kinoguesser.ru.