Политика обработки персональных данных
Актуальная версия. Настоящая политика составлена с учётом требований Европейского союза (в том числе GDPR и ePrivacy) и Соединённых Штатов Америки (в том числе законов штатов о конфиденциальности, таких как CCPA/CPRA в Калифорнии, и рекомендаций FTC). По вопросам обработки данных обращайтесь по контактам.
1. Общие положения
Сервис EvilFox.Win («мы», «сервис», «оператор») уважает вашу конфиденциальность. Настоящая политика (Privacy Notice) описывает, какие персональные данные мы собираем, на каком правовом основании обрабатываем их, кому передаём, как долго храним и какие права у вас есть.
Политика применяется при использовании сайта, личного кабинета, VPN-услуг и иных сервисов EvilFox.Win. Используя сервис, вы подтверждаете, что ознакомились с этим документом. Для обязательных случаев обработки мы опираемся на применимое право ЕС и США; требования авторитарных юрисдикций сами по себе не определяют объём нашей политики конфиденциальности.
2. Оператор данных и контакты
Оператор (контролёр данных) персональных данных в смысле GDPR — владелец сервиса EvilFox.Win.
- Email для вопросов конфиденциальности: admin@evilfox.cc
- Поддержка: тикеты в личном кабинете; admin@evilfox.cc
Отдельный уполномоченный по защите данных (DPO) не назначен; запросы по персональным данным принимаются через указанные каналы.
3. Какие данные мы обрабатываем
В зависимости от того, как вы пользуетесь сервисом, мы можем обрабатывать следующие категории данных:
- Идентификация и контакт: email, имя или псевдоним, идентификатор аккаунта;
- Учётные данные: хэш пароля, данные двухфакторной аутентификации (если включена), привязка Telegram (если используется);
- Договор и оплата: баланс, история пополнений и списаний, сведения о тарифах и подписках (без полных реквизитов банковских карт — их обрабатывают платёжные провайдеры);
- Услуги VPN: сведения о купленных конфигурациях, сроках подписок, выбранных серверах; содержимое вашего VPN-трафика мы намеренно не анализируем и не храним;
- Поддержка: тема и текст тикетов, вложения, которые вы отправляете;
- Реферальная программа (если участвуете): связь с пригласившим пользователем, начисления;
- Технические данные: IP-адрес при обращении к сайту и API, тип браузера и ОС, cookie, локальное хранилище, журналы ошибок и безопасности (в ограниченном объёме).
Мы не собираем специальные категории данных (здоровье, биометрия, политические взгляды и т.п.) и не предназначены для использования детьми младше 16 лет (см. раздел 12).
4. Источники данных
Данные поступают:
- непосредственно от вас (регистрация, оплата, тикеты, настройки профиля);
- автоматически при посещении сайта (технические логи, cookie);
- от платёжных и иных подрядчиков — в объёме, необходимом для проведения транзакции (например, статус платежа).
5. Cookie и похожие технологии (ePrivacy / GDPR)
Мы используем cookie и локальное хранилище браузера. По назначению они делятся на:
- Строго необходимые — сессия входа, безопасность, работа личного кабинета. Правовое основание: исполнение договора и законный интерес (GDPR ст. 6(1)(b), (f)); согласие для них не требуется.
- Функциональные / предпочтения — запоминание выбора в баннере cookie (
cookie_consent). Правовое основание: согласие (GDPR ст. 6(1)(a)), которое вы даёте кнопками «Принять все» или «Только необходимые». - Опциональные (третьи стороны) — виджет онлайн-чата поддержки (Tawk.to), если он включён на сайте. Загружается только после выбора «Принять все»; может устанавливать cookie Tawk.to и передавать данные в США. Правовое основание: согласие (GDPR ст. 6(1)(a)). Отказ — «Только необходимые» или «Настройки cookie» в футере.
Мы не используем рекламные или профилирующие cookie третьих сторон для отслеживания между сайтами. Вы можете удалить или заблокировать cookie в настройках браузера; отказ от необходимых cookie может сделать вход в аккаунт невозможным.
Срок хранения cookie согласия — до 12 месяцев, если иное не указано в вашем браузере.
6. Цели и правовые основания обработки (GDPR)
Мы обрабатываем персональные данные только при наличии правового основания:
- Исполнение договора (ст. 6(1)(b) GDPR) — регистрация, выдача VPN, списание баланса, поддержка по вашим запросам;
- Законные обязанности (ст. 6(1)(c)) — бухгалтерский и налоговый учёт, ответы на обязательные запросы органов власти ЕС/США в предусмотренном законом порядке;
- Законный интерес (ст. 6(1)(f)) — безопасность сервиса, предотвращение мошенничества и злоупотреблений, защита прав в спорах, улучшение стабильности сайта (без избыточного профилирования);
- Согласие (ст. 6(1)(a)) — необязательные cookie, маркетинговые рассылки (если когда-либо будут введены и только при отдельном согласии). Согласие можно отозвать без ущерба для законной обработки до отзыва.
7. VPN и минимизация данных
Политика конфиденциальности VPN-сервиса дополняется правилами использования VPN. Мы придерживаемся принципа минимизации данных: не ведём целенаправленный мониторинг содержания пользовательского трафика. Технические метаданные (например, объём трафика на стороне панели управления серверами) могут обрабатываться для биллинга, лимитов тарифа и борьбы со злоупотреблениями — без привязки к содержанию посещаемых сайтов.
8. Сроки хранения
- данные аккаунта и подписок — пока аккаунт активен и в течение разумного срока после удаления (для резервных копий и споров), как правило не более 90 дней после окончательного удаления, если закон не требует дольше;
- финансовые записи — в сроки, установленные налоговым и бухгалтерским правом (часто до 6–7 лет в зависимости от юрисдикции);
- тикеты поддержки — до закрытия вопроса и до 3 лет для истории обращений, если вы не запросили удаление раньше;
- технические логи сервера — обычно до 30–90 дней, если не требуется дольше для расследования инцидента безопасности.
По истечении сроков данные удаляются или обезличиваются.
9. Передача данных и обработчики
Мы не продаём персональные данные и не передаём их в обмен на денежное вознаграждение (в том числе в понимании CCPA/CPRA — «sale»/«sharing» для поведенческой рекламы).
Данные могут передаваться обработчикам (processors) только для оказания услуг:
- платёжные системы (проведение оплаты);
- хостинг-провайдеры и дата-центры (размещение сайта и инфраструктуры);
- сервисы доставки email/уведомлений (если используются);
- виджет онлайн-чата Tawk.to (если включён и вы дали согласие «Принять все»);
- подрядчики по безопасности и мониторингу доступности (без доступа к содержимому VPN-трафика).
С такими лицами заключаются договоры обработки данных (DPA) или применяются стандартные договорные условия в объёме, требуемом GDPR.
Раскрытие государственным органам — только при наличии действительного и обязательного требования по праву ЕС, США или иной юрисдикции, обязательной для нас. Произвольные запросы без правовой основы не исполняются (см. также правила VPN, раздел о запросах органов).
10. Международная передача данных
Серверы и подрядчики могут находиться за пределами вашей страны, в том числе вне ЕЭЗ. При передаче из ЕС/ЕЭЗ мы применяем меры, предусмотренные GDPR гл. V: Стандартные договорные положения (SCC), решения об адекватности Комиссии ЕС или иные законные механизмы. Для резидентов США передача может осуществляться между нашими системами и подрядчиками в соответствии с настоящей политикой и договорами с обработчиками.
11. Меры безопасности
Мы применяем технические и организационные меры: шифрование паролей, ограничение доступа к базам данных, HTTPS на сайте, разграничение прав администраторов, резервное копирование. Ни один метод передачи или хранения в интернете не гарантирует абсолютной безопасности; мы стремимся защищать данные на разумном уровне.
12. Дети
Сервис не предназначен для лиц младше 16 лет (в отдельных штатах США — младше 13 лет без согласия родителя). Мы сознательно не собираем данные детей. При обнаружении такого аккаунта мы можем удалить его и связанные данные.
13. Автоматизированные решения
Мы не принимаем в отношении вас решений, основанных исключительно на автоматизированной обработке, которые порождают юридические последствия или аналогичным образом существенно влияют на вас (GDPR ст. 22). Ограничения аккаунта при злоупотреблениях принимаются администрацией с учётом обстоятельств, а не полностью автоматическим «скорингом».
14. Ваши права
В зависимости от места вашего проживания вы можете иметь следующие права:
- Доступ — получить копию обрабатываемых данных о вас;
- Исправление — уточнить неточные данные (часть — в профиле);
- Удаление («право быть забытым») — запросить удаление при отсутствии законных оснований для дальнейшего хранения;
- Ограничение обработки — в случаях, предусмотренных GDPR;
- Переносимость — получить данные в структурированном машиночитаемом формате (для данных, обрабатываемых на основании договора или согласия);
- Возражение — против обработки на основании законного интереса;
- Отзыв согласия — в любой момент для обработки, основанной на согласии;
- Жалоба — в надзорный орган по защите данных в стране вашего проживания в ЕС/ЕЭЗ или в уполномоченный орган штата США (например, California Privacy Protection Agency для жителей Калифорнии).
Как реализовать права:
- экспорт данных — кнопка «Скачать мои данные» в личном кабинете (
profile.php?action=gdpr_export); - удаление аккаунта — форма в профиле с подтверждением паролем;
- иные запросы — тикет в поддержке или email admin@evilfox.cc.
Мы ответим на запрос в срок до 30 дней (GDPR) или в срок, установленный применимым законом штата США (например, 45 дней по CCPA с возможным продлением). Можем запросить подтверждение личности, чтобы не раскрыть данные третьему лицу.
Жители Калифорнии: мы не «продаём» и не «передаём» персональные данные для кросс-контекстной поведенческой рекламы. Вы вправе знать категории собранных данных, запросить удаление и исправление в пределах CCPA/CPRA. Мы не дискриминируем пользователей за реализацию прав конфиденциальности.
15. Изменения политики
Мы можем обновлять настоящую политику. Актуальная версия всегда на этой странице; при существенных изменениях можем уведомить через сайт или email. Продолжение использования сервиса после вступления изменений в силу означает принятие обновлённой политики, если иное не требуется применимым правом.
16. Контакты
По всем вопросам конфиденциальности и реализации прав:
Надзорные органы ЕС: список органов по защите данных — на сайте European Data Protection Board. Для США — контактный орган зависит от штата вашего проживания (например, California Attorney General — Privacy).
На главную · Правила сайта · Правила использования VPN · Договор оферты