Политика конфиденциальности TradeOn b2b Merchant

01Общие положения

Настоящая Политика конфиденциальности (далее — «Политика») регулирует порядок сбора, использования, хранения, передачи и защиты персональных и корпоративных данных в связи с предоставлением B2B-услуг TradeOn b2b Merchant (далее — «Услуги», «Сервис», «Платформа») юридическим лицам-клиентам (далее — «Клиент») через программный интерфейс (API) и личный кабинет.

Оператором обработки данных является TradeOn b2b Merchant Pte. Ltd. (далее — «мы», «Оператор», «TradeOn b2b Merchant»). Контакты Оператора и Data Protection Officer (DPO) указаны в разделе 14 настоящей Политики.

Политика применяется ко всем категориям субъектов и данных, обрабатываемым в связи с Услугами:

• Клиент — юридическое лицо, заключившее с нами B2B-соглашение на использование Услуг;
• Представители Клиента — директора, бенефициары, уполномоченные лица, контактные лица, доступ которых к личному кабинету и переписке предусмотрен договором;
• Customer Data — данные конечных потребителей Клиента (физических лиц, использующих сервис Клиента), которые передаются нам Клиентом для целей исполнения заказов на доставку скинов.

В отношении персональных данных Представителей Клиента мы выступаем как Data Controller (контролёр) и определяем цели и способы обработки. В отношении Customer Data мы выступаем как Data Processor (обработчик) и осуществляем обработку исключительно по поручению Клиента, который сохраняет роль Data Controller. Подробное разграничение ролей приведено в разделе 5.

Настоящая Политика является неотъемлемой частью Пользовательского соглашения TradeOn b2b Merchant. Использование Услуг означает ознакомление и согласие Клиента и его Представителей с условиями Политики. Если применимое право требует получения отдельного согласия — оно запрашивается дополнительно через личный кабинет или иным юридически значимым способом.

В случае противоречия между настоящей Политикой и подписанным между сторонами индивидуальным договором (Master Services Agreement, Data Processing Agreement) преимущественную силу имеют положения индивидуального договора в части прямо урегулированных в нём вопросов.

02Какие данные мы собираем

В рамках предоставления Услуг мы собираем и обрабатываем следующие категории данных. Объём данных определяется целями обработки (раздел 3) и принципом минимально необходимого объёма (data minimization).

2.1. Корпоративные данные Клиента

Для заключения договора, прохождения KYC/KYB-процедур и исполнения обязательств перед Клиентом мы собираем сведения о юридическом лице:

• Учредительные документы (Certificate of Incorporation, Articles of Association, устав, регистрационные свидетельства);
• Регистрационный номер, юрисдикция, дата регистрации, юридический и фактический адреса;
• Структура собственности и реестр акционеров (shareholders register);
• Сведения о бенефициарных владельцах (Ultimate Beneficial Owners — UBO) в соответствии с требованиями AML/CFT-законодательства;
• Налоговые идентификаторы (Tax ID, VAT/GST, EIN, ИНН и аналоги);
• Банковские реквизиты для проведения биллинговых операций (IBAN/SWIFT, наименование банка, валюта счёта);
• Лицензии, разрешения, регуляторные статусы (если применимо к деятельности Клиента).

2.2. Персональные данные Представителей Клиента

Для верификации полномочий и обеспечения коммуникации мы обрабатываем данные физических лиц — Представителей Клиента (директоров, бенефициаров, контактных лиц):

• Фамилия, имя, отчество (при наличии);
• Должность и роль в структуре Клиента;
• Корпоративный email и телефон;
• Гражданство и страна налогового резидентства;
• Копии документов, удостоверяющих личность (паспорт, ID-карта, водительское удостоверение) — для директоров и UBO в рамках KYC;
• Подтверждение адреса проживания (utility bill, bank statement) — для UBO;
• Образец подписи и копии доверенностей — при необходимости.

2.3. Технические и поведенческие данные

В процессе использования Платформы и API автоматически собираются технические сведения, необходимые для обеспечения безопасности, мониторинга и улучшения сервиса:

• IP-адрес, User-Agent, тип устройства и операционной системы;
• Логи аутентификации в личном кабинете (время, IP, успех/неуспех);
• API request logs — журналы запросов к API: метод, endpoint, статус ответа, время обработки, идентификатор Клиента;
• Transaction logs — журналы транзакций по депозиту, заказам, возвратам, выводам средств;
• Webhook delivery logs — журналы отправки webhook-уведомлений (timestamp, статус доставки, повторные попытки);
• Security/access logs — события доступа к конфиденциальной информации и административным функциям;
• Данные о взаимодействии с интерфейсом личного кабинета (просмотренные разделы, время сессий) — в обезличенном виде.

2.4. Customer Data (косвенно — через Клиента)

Для исполнения заказов на доставку скинов Клиент передаёт нам ограниченный объём данных своих конечных потребителей (Customer'ов):

• Steam ID Customer'а — публичный идентификатор аккаунта Steam;
• Trade URL — публичная ссылка для отправки Steam Trade Offer;
• Идентификатор Customer'а в системе Клиента (внутренний user_id) — для целей сопоставления заказов;
• Метаданные заказа: тип игры, перечень предметов, ценовые параметры, время заказа.

Мы не получаем от Клиента и не запрашиваем имя, email, телефон, платёжные реквизиты или иные прямые идентификаторы Customer'ов. Подробнее о ролях сторон и сферах ответственности — см. раздел 5.

2.5. Cookies и аналогичные технологии

Личный кабинет TradeOn b2b Merchant использует cookies и similar tracking technologies (LocalStorage, SessionStorage) для аутентификации, сохранения пользовательских настроек и сбора обезличенной аналитики. Состав и категории cookies раскрыты в разделе 11.

2.6. Данные, которые мы НЕ собираем

В целях минимизации рисков и соблюдения принципа data minimization мы целенаправленно не собираем:

• Биометрические данные;
• Данные о состоянии здоровья, расовом или этническом происхождении, политических взглядах, религиозных убеждениях, сексуальной ориентации (особые категории данных по GDPR);
• Полные реквизиты платёжных карт — данные обрабатываются непосредственно платёжными провайдерами (PCI DSS compliant);
• Данные несовершеннолетних — см. раздел 12.

03Цели обработки данных

Мы обрабатываем данные исключительно для прямо обозначенных, законных и совместимых целей. Каждая цель имеет соответствующее правовое основание (раздел 4) и определяет объём собираемых данных и срок их хранения (раздел 8).

3.1. Исполнение договора и предоставление Услуг

Обработка данных Клиента и его Представителей необходима для регистрации в Сервисе, открытия и пополнения депозита, обработки заказов на скины, проведения trade offers через Steam Web API, расчёта комиссий, выставления счетов-фактур и возвратов. Без обработки этих данных предоставление Услуг невозможно.

3.2. AML / KYC / KYB и противодействие финансированию терроризма

В соответствии с требованиями применимого AML/CFT-законодательства мы обязаны проводить процедуры идентификации Клиента (Know Your Business — KYB), его бенефициарных владельцев (Know Your Customer — KYC), осуществлять проверку источников средств (Source of Funds) и source of wealth, мониторить транзакции на предмет аномалий, формировать и хранить документацию compliance, направлять сообщения в уполномоченные органы при наличии оснований.

3.3. Безопасность и противодействие мошенничеству

Мы обрабатываем технические данные (IP, User-Agent, логи) и поведенческие индикаторы для предотвращения несанкционированного доступа, обнаружения подозрительной активности, выявления попыток обхода KYC, противодействия мошенничеству, защиты от DDoS-атак и автоматизированного abuse. Используются риск-скоринговые модели и алгоритмы поведенческой аналитики.

3.4. Биллинг и финансовая отчётность

Транзакционные данные используются для расчётов с Клиентом, формирования инвойсов и актов сверки, учёта депозитов, бонусов, комиссий и возвратов, а также для целей бухгалтерского и налогового учёта в соответствии с требованиями применимого финансового законодательства.

3.5. Эксплуатация и улучшение Сервиса

Технические и поведенческие данные используются для мониторинга работоспособности API, измерения rate-limits и SLA, обнаружения performance-проблем, capacity planning, разработки новых функций и улучшения существующих. Применяется обезличенная аналитика на агрегированных данных.

3.6. Маркетинговые коммуникации

С прямого согласия Представителя Клиента мы можем направлять маркетинговые материалы: информацию о новых продуктах, акциях, изменениях ценовой политики, отраслевую аналитику. Согласие может быть в любой момент отозвано через ссылку «отписаться» в письме или через личный кабинет. Транзакционные и сервисные уведомления (об операциях, изменении условий, инцидентах безопасности) направляются вне зависимости от маркетингового согласия как часть исполнения договора.

3.7. Исполнение требований закона и защита наших прав

Мы обрабатываем данные для исполнения обязательных требований применимого законодательства (налоговое, AML, регуляторное), для ответов на запросы уполномоченных государственных органов в установленном порядке, для защиты наших прав в досудебных и судебных процедурах, а также для исполнения судебных решений и предписаний.

04Правовые основания обработки

Обработка данных осуществляется на следующих правовых основаниях в соответствии с GDPR, PDPA Сингапура и иными применимыми нормативными актами о защите данных:

4.1. Исполнение договора (Article 6(1)(b) GDPR)

Обработка данных Клиента и его Представителей, необходимая для заключения и исполнения B2B-договора: регистрация, открытие депозита, обработка заказов, биллинг, доставка скинов через Steam, поддержка. Без этой обработки Услуги не могут быть предоставлены.

4.2. Соблюдение юридических обязательств (Article 6(1)(c) GDPR)

Обработка для выполнения требований применимого законодательства: AML/CFT, налоговая отчётность, ответы на запросы уполномоченных органов, хранение документации в установленные сроки.

4.3. Законные интересы (Article 6(1)(f) GDPR)

Обработка для реализации наших обоснованных и сбалансированных законных интересов: обеспечение безопасности Платформы, противодействие мошенничеству, защита от abuse, мониторинг сети, защита наших активов и прав в досудебном и судебном порядке, проведение внутренней отчётности и аудитов, обезличенная бизнес-аналитика. При обработке на этом основании мы оцениваем баланс наших интересов и прав субъектов данных (Legitimate Interests Assessment).

4.4. Согласие (Article 6(1)(a) GDPR)

Обработка для целей, требующих явного согласия субъекта: маркетинговые рассылки, необязательные cookies (аналитика, функциональные), отдельные категории данных, не покрываемые иными основаниями. Согласие может быть отозвано в любой момент без ущерба для законности обработки, осуществлённой до отзыва.

4.5. Обработка Customer Data на основании поручения Клиента

В отношении Customer Data мы выступаем как Data Processor и обрабатываем данные исключительно по документированному поручению Клиента (B2B-соглашение, API-документация, индивидуальный Data Processing Addendum) в рамках, необходимых для исполнения Клиентом обязательств перед своими Customer'ами. Правовые основания обработки Customer Data в отношении Customer'ов определяет Клиент как Data Controller (см. раздел 5).

05Customer Data и роли сторон

Настоящий раздел является ключевым для B2B-модели TradeOn b2b Merchant и описывает разграничение ответственности между Клиентом и Оператором при обработке данных конечных потребителей Клиента (Customer'ов).

5.1. Объём обработки Customer Data

В отношении каждого заказа мы получаем от Клиента минимально необходимый набор данных: steam_id, trade_url, internal_user_id Клиента (для сверки), параметры заказа (игра, items, цена). Обработка ограничена жизненным циклом заказа: подбор/подготовка предмета → отправка Steam Trade Offer → подтверждение принятия Customer'ом → закрытие заказа.

5.2. Гарантии Клиента (warranties)

Передавая нам Customer Data, Клиент гарантирует, что:

• Customer надлежащим образом проинформирован об обработке своих данных, включая факт передачи Steam ID / Trade URL третьему лицу (TradeOn b2b Merchant) для исполнения заказа;
• Получены все необходимые правовые основания обработки (informed consent или иное основание по применимому законодательству);
• Customer достиг совершеннолетия в своей юрисдикции;
• Customer проинформирован о своих правах (доступ, исправление, удаление и т. д.) и о порядке их реализации через Клиента;
• Privacy policy Клиента раскрывает использование процессинговых услуг TradeOn b2b Merchant как sub-processor.

5.3. Sub-processors

Для исполнения функций Processor мы привлекаем технических sub-processor'ов (хостинг, мониторинг, antifraud — см. раздел 6). Список sub-processor'ов и их роли раскрываются Клиенту по запросу через личный кабинет или email. Клиент уведомляется о существенных изменениях в составе sub-processor'ов не менее чем за 30 дней.

5.4. Реализация прав Customer'ов

Запросы Customer'ов на реализацию их прав (data subject requests) направляются Клиенту как Data Controller. Если такой запрос получен непосредственно нами, мы перенаправляем его Клиенту и оказываем разумное содействие в его обработке в рамках Data Processing Addendum.

5.5. Уведомление об инцидентах

В случае инцидента безопасности, затрагивающего Customer Data, мы уведомляем Клиента в течение 72 (семидесяти двух) часов с момента обнаружения с описанием характера инцидента, объёма затронутых данных, предпринятых и планируемых мер. Клиент несёт ответственность за уведомление надзорных органов и затронутых Customer'ов в соответствии с применимым законодательством.

06Передача данных третьим лицам

Мы передаём данные третьим лицам только на основаниях, прямо предусмотренных применимым законодательством и настоящей Политикой. Все получатели проходят оценку надёжности (vendor due diligence), с ними заключаются соглашения о конфиденциальности и Data Processing Agreement, где это применимо.

6.1. Категории получателей

• Платёжные провайдеры — для обработки депозитов и выплат Клиенту. Передаются банковские реквизиты Клиента и метаданные операций. Полные реквизиты карт хранятся на стороне провайдера в PCI DSS-compliant среде.
• AML/KYC/KYB-провайдеры — для верификации Клиента и UBO, проверки санкционных и PEP-списков, оценки рисков. Передаются регистрационные документы Клиента, документы UBO.
• Хостинг-провайдеры — Hetzner (Германия), Amazon Web Services (локации EU/SG) — для размещения инфраструктуры, баз данных и обработки трафика. Заключён Data Processing Agreement.
• Мониторинг и observability — Sentry (для error monitoring), журналирование производительности. Данные передаются в обезличенном виде, без PII по возможности.
• Steam Web API (Valve Corporation) — для проведения trade offers, получения данных об инвентаре, подтверждения доставки. Передаются Steam ID и параметры trade offer Customer'а.
• Подрядчики и консультанты — внешние юридические, аудиторские, налоговые консультанты в рамках их профессиональной деятельности под NDA.
• Уполномоченные органы — налоговые, регуляторные, правоохранительные органы — исключительно по обоснованным запросам в соответствии с применимым законодательством.
• Правопреемники — в случае реорганизации, слияния, продажи бизнеса или активов с обеспечением сохранения уровня защиты данных.

6.2. Что мы НЕ делаем с вашими данными

• Мы не продаём персональные и корпоративные данные третьим лицам;
• Мы не передаём данные в рекламных целях без явного согласия субъекта;
• Мы не используем Customer Data для своих маркетинговых целей или для целей, не связанных с исполнением заказа Клиента;
• Мы не обмениваемся данными между Клиентами без их явного согласия (за исключением обезличенной агрегированной отраслевой аналитики).

6.3. Раскрытие по требованию закона

При получении обоснованного запроса от уполномоченного государственного органа мы оцениваем правомерность запроса, объём запрашиваемых данных и применимое законодательство. В случае подтверждения правомерности мы предоставляем минимально необходимый объём данных, фиксируем факт передачи в реестре раскрытий и, где это разрешено законом, уведомляем затронутого Клиента или субъекта данных.

07Трансграничная передача данных

В связи с глобальным характером инфраструктуры TradeOn b2b Merchant и распределённой природой облачных сервисов данные могут передаваться, храниться и обрабатываться за пределами страны нахождения Клиента или субъекта данных.

7.1. Юрисдикции обработки

Основные юрисдикции, в которых может осуществляться обработка данных:

• Сингапур — основная юрисдикция Оператора, головной офис, основной центр compliance и поддержки;
• Европейская экономическая зона (EEA) — для размещения серверных мощностей и сервисов мониторинга у европейских провайдеров;
• Соединённые Штаты Америки — для отдельных облачных сервисов (Steam Web API, ряд SaaS-инструментов мониторинга и коммуникации);
• Иные юрисдикции — в случае привлечения профильных подрядчиков с уведомлением Клиента.

7.2. Правовые механизмы трансграничной передачи

Для обеспечения адекватного уровня защиты при трансграничной передаче мы применяем правовые механизмы, признанные GDPR и иным применимым законодательством:

• Standard Contractual Clauses (SCC) — типовые договорные клаузы Европейской Комиссии (Decision 2021/914), включаемые в соглашения с получателями данных за пределами EEA;
• Adequacy decisions — передача в страны, признанные обеспечивающими адекватный уровень защиты (например, решение об адекватности по Сингапуру, если будет принято на момент передачи);
• Дополнительные технические и организационные меры — шифрование at rest и in transit, псевдонимизация, контроль доступа, регулярный аудит;
• Privacy Frameworks — где применимо (например, EU-US Data Privacy Framework для получателей в США).

7.3. Уровень защиты

Независимо от юрисдикции обработки мы обеспечиваем уровень защиты данных, не ниже стандартов GDPR и иных применимых норм. Технические и организационные меры безопасности, описанные в разделе 9, применяются ко всем средам обработки.

7.4. Право на информацию

Клиент и его Представители вправе запросить детализированную информацию о юрисдикциях обработки своих данных, о применяемых правовых механизмах и о возможности получить копию SCC через email DPO (раздел 14).

08Сроки хранения данных

Мы храним данные не дольше, чем это необходимо для целей их обработки, и не дольше, чем предписано применимым законодательством. По истечении сроков хранения данные безвозвратно удаляются или анонимизируются (с потерей связи с субъектом).

8.1. Конкретные сроки

• KYC/KYB-документация (учредительные документы, документы UBO, source of funds, скоринг) — 7 (семь) лет с момента прекращения деловых отношений с Клиентом, в соответствии с требованиями AML/CFT-законодательства;
• Транзакционные логи (депозиты, заказы, выводы, комиссии) — 5 (пять) лет с момента совершения операции, в соответствии с финансовым и налоговым законодательством;
• Контактные данные Представителей Клиента — на период действия договора плюс 1 (один) год после его прекращения для целей пост-договорной коммуникации и защиты прав;
• API request logs — 90 (девяносто) дней, далее — обезличивание и агрегация для целей capacity-планирования;
• Webhook delivery logs — 30 (тридцать) дней, далее — удаление;
• Security / access / audit logs — 90 (девяносто) дней в активном хранении, 1 (один) год в архивном хранении для расследования инцидентов;
• Customer Data (Steam ID, Trade URL, метаданные заказа) — до момента закрытия заказа плюс 30 дней для целей разрешения споров; после — удаление или обезличивание (за исключением транзакционных логов, удерживаемых по финансовому законодательству);
• Маркетинговые данные (согласия, история коммуникаций) — до отзыва согласия плюс 3 (три) года для подтверждения факта наличия согласия;
• Cookies — согласно типу cookie (раздел 11): сессионные — до закрытия браузера, постоянные — до 12 месяцев.

8.2. Удержание данных по requestam законодательства или для защиты прав

Если данные требуются для защиты наших прав в досудебном или судебном порядке, для исполнения судебных предписаний, расследования инцидентов или регуляторных проверок, срок хранения может быть продлён до завершения соответствующих процедур и истечения сроков исковой давности.

8.3. Процедура удаления

Удаление осуществляется с использованием безвозвратных методов (overwrite + crypto-erase для зашифрованных хранилищ). Резервные копии содержат данные до их естественной ротации (как правило, 90 дней); восстановление из резервной копии с целью вернуть удалённые данные не производится.

09Безопасность данных

Защита данных является нашим приоритетом. Мы применяем многоуровневый комплекс технических и организационных мер безопасности, регулярно пересматриваемый с учётом современных угроз, лучших отраслевых практик (ISO 27001, SOC 2 Type II в качестве ориентиров) и характера обрабатываемых данных.

9.1. Технические меры

• TLS 1.2+ — все соединения с Платформой и API защищены принудительным TLS 1.2 или выше (TLS 1.3 — где поддерживается); HSTS-заголовки; устаревшие протоколы отключены;
• Шифрование at rest — чувствительные данные (KYC документы, банковские реквизиты, секреты, токены) хранятся в зашифрованном виде с использованием AES-256 или эквивалентных алгоритмов; ключевой материал управляется через KMS;
• Шифрование in transit — внутренние сервисные коммуникации в инфраструктуре защищены mutual TLS или эквивалентными механизмами;
• Изоляция сред — production, staging и development среды изолированы; production-данные не используются в non-production средах в идентифицируемом виде;
• Резервное копирование — регулярное автоматическое резервное копирование с шифрованием; периодические проверки восстановления;
• Web Application Firewall и DDoS-protection — фильтрация вредоносного трафика, защита от автоматизированных атак.

9.2. Организационные меры

• Role-Based Access Control (RBAC) — доступ к данным разграничен по принципу минимальных привилегий и необходимости знания (need-to-know basis);
• Многофакторная аутентификация — обязательна для всех сотрудников, имеющих доступ к production-системам и личным кабинетам с правами администратора;
• Журналирование и алертинг — действия с конфиденциальными данными журналируются; настроены автоматические оповещения при аномалиях;
• Обучение персонала — регулярное обучение сотрудников по вопросам защиты данных, ИБ-гигиены и социальной инженерии;
• Соглашения о конфиденциальности — со всеми сотрудниками и подрядчиками заключены NDA и data protection commitments;
• Внутренние аудиты безопасности — регулярная самопроверка соответствия внутренним стандартам и применимому законодательству;
• Vendor risk management — оценка надёжности подрядчиков и периодический пересмотр.

9.3. Incident response

Мы поддерживаем формализованный процесс реагирования на инциденты безопасности (Incident Response Plan):

1. Обнаружение и фиксация инцидента (Detection);
2. Сдерживание и предотвращение распространения (Containment);
3. Расследование и анализ причин (Root Cause Analysis);
4. Устранение последствий и восстановление сервисов (Eradication & Recovery);
5. Уведомление затронутых Клиентов в течение 72 (семидесяти двух) часов с момента обнаружения утечки персональных данных, с описанием характера инцидента, объёма данных, предпринятых мер;
6. Post-mortem и улучшение процессов (Lessons Learned).

10Права субъектов данных

В отношении персональных данных, обрабатываемых нами как Data Controller (данные Представителей Клиента), субъекты данных обладают следующими правами в соответствии с применимым законодательством о защите данных (GDPR, PDPA Сингапура, иные акты).

10.1. Перечень прав

• Право на доступ — получить подтверждение факта обработки и копию обрабатываемых данных в структурированной форме;
• Право на исправление — потребовать исправления неточных или дополнения неполных данных;
• Право на удаление («право быть забытым») — потребовать удаления данных, если основания для их обработки отпали, с учётом юридических обязательств по удержанию (раздел 8);
• Право на ограничение обработки — потребовать приостановления определённых операций обработки в установленных законом случаях;
• Право на переносимость данных — получить свои данные в структурированном, машиночитаемом, общепринятом формате (JSON / CSV) и передать их другому контролёру;
• Право на возражение — против обработки на основании законных интересов или для целей прямого маркетинга;
• Право на отзыв согласия — в любой момент, без ущерба для законности обработки, осуществлённой до отзыва;
• Право не подвергаться решениям, основанным исключительно на автоматизированной обработке, если такая обработка имеет правовые последствия для субъекта;
• Право подать жалобу в уполномоченный надзорный орган по защите данных в стране проживания, работы или предполагаемого нарушения.

10.2. Порядок реализации прав

Для реализации любого из прав субъект данных направляет письменный запрос на email DPO: privacy@tradeon.market. Запрос должен содержать:

• Идентификацию субъекта (ФИО, корпоративный email, наименование Клиента);
• Чёткое описание реализуемого права и существа запроса;
• Контактные данные для ответа;
• Документы, подтверждающие личность (при необходимости верификации).

10.3. Сроки и условия рассмотрения

Мы рассматриваем запросы в течение 30 (тридцати) календарных дней с момента получения. В сложных случаях срок может быть продлён на дополнительные 60 дней с предварительным уведомлением субъекта. Ответы предоставляются бесплатно, за исключением явно необоснованных или избыточных (повторяющихся) запросов, для которых может быть установлена разумная административная плата либо в исполнении может быть отказано с обоснованием.

10.4. Ограничения

Реализация прав может быть ограничена в случаях, когда обработка необходима для исполнения юридического обязательства, защиты наших прав в суде, проведения регуляторных процедур или необходимости удержания данных по AML/налоговому законодательству. В каждом случае отказа предоставляется обоснование.

10.5. Запросы Customer'ов

Запросы конечных потребителей Клиента (Customer'ов) на реализацию прав в отношении Customer Data направляются Клиенту как Data Controller. См. раздел 5.4.

11Cookies и трекинг

Личный кабинет TradeOn b2b Merchant использует cookies и аналогичные технологии (LocalStorage, SessionStorage) для обеспечения базовой функциональности, сохранения настроек и обезличенной аналитики. Промо-сайт может использовать дополнительные cookies для аналитики посещаемости.

11.1. Категории используемых cookies

• Strictly necessary (обязательные) — сессионные cookies, токены аутентификации, CSRF-защита, балансировка нагрузки. Без них Платформа не может функционировать. Не требуют согласия в соответствии с GDPR / ePrivacy Directive;
• Functional (функциональные) — настройки языка, валюты, формата отображения, выбранных табов и фильтров. Срок хранения — до 12 месяцев;
• Analytics (аналитические) — обезличенная статистика использования (количество запросов, время сессии, посещённые разделы), используется для улучшения интерфейса. Не используется для идентификации конкретного субъекта. Может быть отключена через настройки cookies или браузера;
• Третьесторонние — Sentry (для error monitoring) и иные технические инструменты. Состав раскрывается в cookie-баннере или по запросу.

11.2. Что мы НЕ используем

• Рекламные cookies;
• Tracking pixels для ретаргетинга;
• Кросс-сайтовый трекинг для рекламных целей;
• Cookies, продающие данные третьим лицам.

11.3. Управление cookies

Пользователь может управлять cookies следующими способами:

• Через cookie-баннер (если применимо) — при первом посещении промо-сайта;
• Через настройки личного кабинета (для функциональных и аналитических cookies);
• Через настройки браузера — блокировка, удаление, режим инкогнито;
• Через специальные browser extensions (Privacy Badger, uBlock Origin и аналоги).

Отключение strictly necessary cookies может привести к невозможности использования отдельных функций Платформы (включая аутентификацию).

11.4. Do Not Track

Мы уважаем сигнал Do Not Track (DNT) браузера и не применяем поведенческий трекинг для пользователей, выразивших соответствующее предпочтение, в части, не относящейся к strictly necessary cookies.

12Защита данных несовершеннолетних

Услуги TradeOn b2b Merchant предназначены исключительно для юридических лиц и совершеннолетних физических лиц (Представителей Клиента), действующих в коммерческих целях. Сервис не направлен на использование несовершеннолетними и не предусматривает таковое.

12.1. Возрастные ограничения

Все Представители Клиента, имеющие доступ к личному кабинету и API, должны быть совершеннолетними в своей юрисдикции (как правило, 18 лет, в отдельных странах — 21 год). Клиент подтверждает соблюдение этого требования при заключении договора.

12.2. Гарантии Клиента в отношении Customer'ов

Клиент гарантирует, что его сервис не направлен на несовершеннолетних, что Клиент применяет надлежащие процедуры age verification для своих Customer'ов и что Customer Data, передаваемая нам, не относится к несовершеннолетним. Сервис Клиента должен соответствовать требованиям возрастных ограничений Steam, Valve Subscriber Agreement и применимого законодательства о защите детей в Интернете (COPPA, GDPR-K и аналоги).

12.3. Обнаружение и реакция

При обнаружении нами факта обработки данных несовершеннолетнего (через жалобу, обращение родителя/опекуна, внутренний мониторинг или иным образом) мы:

• Незамедлительно прекращаем обработку соответствующих данных;
• Безвозвратно удаляем такие данные (за исключением минимума, требуемого для compliance и расследования);
• Уведомляем Клиента, чьи действия привели к передаче таких данных;
• Принимаем меры по предотвращению повторения инцидента, вплоть до приостановления Услуг.

12.4. Обращения родителей и опекунов

Родители и законные представители, считающие, что данные их несовершеннолетнего ребёнка были обработаны в связи с Услугами TradeOn b2b Merchant, могут обратиться по адресу privacy@tradeon.market. Запросы рассматриваются в приоритетном порядке.

13Изменения политики

Мы оставляем за собой право вносить изменения в настоящую Политику конфиденциальности в одностороннем порядке, отражая изменения в законодательстве, инфраструктуре, перечне sub-processor'ов, операционных процессах и иных факторах.

13.1. Категории изменений

• Material changes (существенные) — изменения, затрагивающие правовые основания обработки, объём собираемых данных, цели обработки, состав sub-processor'ов, сроки хранения, юрисдикции трансграничной передачи, права субъектов данных;
• Non-material changes (не существенные) — редакторские правки, уточнения формулировок, обновление контактных данных, форматирование, исправление опечаток.

13.2. Уведомление об изменениях

О существенных изменениях мы уведомляем Клиента не менее чем за 30 (тридцать) календарных дней до вступления в силу одним или несколькими способами:

• Письмо на корпоративный email Представителя Клиента, указанный при регистрации;
• Уведомление в личном кабинете при следующем входе;
• Публикация обновлённой Политики на промо-сайте с пометкой об изменениях.

Несущественные изменения вступают в силу с момента публикации обновлённой версии.

13.3. Дата обновления и версионирование

В верхней части документа всегда указывается актуальная дата вступления в силу и номер версии. Архивные версии Политики могут быть предоставлены по запросу через DPO email.

13.4. Согласие с обновлённой Политикой

Продолжение использования Услуг после вступления изменений в силу означает согласие Клиента и его Представителей с обновлённой редакцией Политики. Если Клиент не согласен с изменениями, он обязан прекратить использование Услуг и вправе расторгнуть Соглашение в соответствии с условиями Пользовательского соглашения.

13.5. Право на возражение

Если изменения существенно затрагивают права субъекта данных (например, расширение целей обработки, требующее нового правового основания), мы запрашиваем отдельное согласие либо предоставляем альтернативные способы реализации Услуг с сохранением прежних условий обработки, где это технически и юридически возможно.

14Контакты Data Protection Officer

По всем вопросам, связанным с обработкой персональных данных, реализацией прав субъектов данных, инцидентами безопасности и настоящей Политикой, обращайтесь к Data Protection Officer (DPO).

14.1. Контактные данные DPO

• Email DPO (приватность и реализация прав): privacy@tradeon.market
• Email Compliance (AML / KYC / регуляторные вопросы): compliance@tradeon.market
• Email общих вопросов: b2b@tradeon.market
• Уведомления об инцидентах безопасности (24/7): security@tradeon.market

14.2. Реквизиты оператора

Юридическое лицо: TradeOn b2b Merchant Pte. Ltd.
Юридический адрес: 1 Raffles Place, #20-61, One Raffles Place Tower 2, Singapore 048616
Регистрационный номер: будет указан при официальной регистрации
Юрисдикция: Сингапур

14.3. Сроки рассмотрения

Сроки ответа на обращения:

• Запросы на реализацию прав субъектов данных — не более 30 (тридцати) календарных дней с момента получения; в сложных случаях — продление на 60 дней с уведомлением;
• Уведомления о существенных инцидентах — не позднее 72 (семидесяти двух) часов с момента обнаружения;
• Общие compliance-запросы и запросы Клиентов — не более 10 (десяти) рабочих дней;
• Запросы уполномоченных органов — в порядке и сроки, установленные применимым законодательством.

14.4. Жалобы в надзорные органы

Если субъект данных считает, что обработка его данных нарушает применимое законодательство, и не удовлетворён нашей реакцией на жалобу, он вправе обратиться в уполномоченный надзорный орган по защите данных:

• Сингапур: Personal Data Protection Commission (PDPC) — pdpc.gov.sg;
• Европейский Союз: компетентный надзорный орган по месту жительства, работы или предполагаемого нарушения (перечень — на сайте edpb.europa.eu);
• Иные юрисдикции: уполномоченный орган соответствующей страны.

Мы оказываем разумное содействие в установлении компетентного надзорного органа и предоставлении необходимой документации.