Политика конфиденциальности

Действует с 2026-05-28.

«Полка» — сервис для каталога настольных игр, личной коллекции и журнала партий. Этот документ описывает, какие персональные данные собирает Полка, для чего и как вы можете ими управлять. Используя сайт полка.space или мобильное приложение «Полка», вы соглашаетесь с условиями ниже.

1. Кто обрабатывает ваши данные

Оператор персональных данных — Ляпцев Максим (физическое лицо). Связаться по вопросам обработки данных можно по адресу privacy@полка.space. Обработка ведётся в соответствии с Федеральным законом № 152-ФЗ «О персональных данных».

2. Какие данные мы собираем

Полка собирает минимум данных, необходимых для работы сервиса. Конкретный набор зависит от того, какими функциями вы пользуетесь.

2.1. Данные для входа

Вход в Полку возможен по номеру телефона (через SMS или Telegram) либо через один из внешних сервисов: Telegram, Яндекс, VK, Google. В зависимости от выбранного способа сохраняются:

  • номер телефона — если входите по SMS / Telegram;
  • идентификатор пользователя у внешнего сервиса (Telegram ID, ID Яндекса, VK ID, Google sub), а также имя и адрес электронной почты, если внешний сервис их сообщает;
  • ссылка на аватар, полученный из внешнего сервиса при входе;
  • одноразовые коды подтверждения (OTP) — хранятся коротко и удаляются после использования или истечения срока;
  • токены сессии в защищённом виде (refresh-токен хранится в виде криптографического хэша, не в открытом виде).

2.2. Профиль и контент

Внутри сервиса вы можете создавать и хранить:

  • отображаемое имя и аватар;
  • коллекцию настольных игр со статусами (есть, хочу, в листе ожидания и т. п.), оценками, тегами и заметками;
  • журнал партий: дата, продолжительность, место, участники, очки, результат, заметки;
  • список игроков-друзей (имена, аватары, опционально связи с аккаунтами других пользователей Полки);
  • места, в которых вы играете;
  • связи дружбы внутри сервиса (входящие и исходящие приглашения, подтверждённые друзья);
  • обращения в поддержку (текст и приложенные файлы — скриншоты, короткие видео).

2.3. Технические данные

При работе с сайтом и приложением автоматически:

  • логи серверов содержат IP-адрес, тип браузера или модель устройства, время запроса и URL запрошенной страницы;
  • в мобильном приложении дополнительно фиксируются версия приложения и версия операционной системы;
  • cookies — небольшие технические файлы, нужные для поддержания сессии входа. Полка не использует cookies для рекламы или отслеживания на сторонних сайтах.

2.4. Импорт с BoardGameGeek

По вашему запросу Полка может импортировать вашу коллекцию и историю партий с сайта BoardGameGeek (BGG). Для этого вы указываете публичный логин на BGG. Импортированные данные сохраняются в вашей учётной записи в Полке. Логин BGG и пароль в Полку не передаются — используется только публичный API BGG.

3. Для чего мы используем данные

  • Работа сервиса — показать вашу коллекцию, журнал партий, статистику; синхронизировать данные между устройствами.
  • Вход и безопасность — подтвердить, что это вы; защитить учётную запись от взлома; ограничить злоупотребления (например, перебор кодов).
  • Связь с вами — отправить код подтверждения; ответить на ваше обращение в поддержку.
  • Социальные функции — друзья видят ваше отображаемое имя и аватар; в общих партиях видны имена соигроков; ссылки на партию вида «/p/<id>» открываются по прямой ссылке без входа в систему.
  • Поддержка и исправление ошибок — анализ ваших обращений и серверных логов для починки багов.

Полка не использует ваши данные для рекламы, не продаёт их и не передаёт рекламным сетям или брокерам данных.

4. Кому мы передаём данные

Для работы сервиса часть данных обрабатывается внешними поставщиками. Каждый из них получает только те данные, которые нужны для конкретной задачи.

  • Яндекс Облако (Yandex Cloud, ООО «Яндекс.Облако») — хостинг серверов, базы данных и хранилище загруженных изображений. Данные хранятся в дата-центрах Яндекс Облака на территории Российской Федерации.
  • СМС-Центр (SMSC) — доставка SMS с одноразовыми кодами входа. Передаются номер телефона и текст сообщения.
  • Telegram (Telegram Messenger Inc.) — доставка одноразовых кодов через бота и вход через Telegram Login. Передаются Telegram ID и публичные данные профиля, предоставленные Telegram.
  • Яндекс ID, VK ID, Google — вход через внешний сервис. Полка получает от выбранного сервиса идентификатор, имя, адрес электронной почты и ссылку на аватар, если сервис их сообщает.
  • BoardGameGeek — только если вы запросили импорт коллекции или партий. Полка обращается к публичному API BGG с указанным вами логином BGG.

Передача данных за пределы Российской Федерации возможна, если вы пользуетесь входом через сервисы, чьи серверы расположены в других странах (Telegram, Google). Это происходит по вашему выбору и в момент, когда вы инициируете вход через соответствующий сервис.

5. Сколько мы храним данные

  • Учётная запись и контент — пока существует ваша учётная запись. Если вы попросите удалить аккаунт, данные удаляются (см. раздел 7).
  • Одноразовые коды входа — несколько минут, до использования или истечения срока.
  • Сессионные токены — пока сессия активна; при выходе удаляются.
  • Серверные логи — до 30 дней, затем автоматически удаляются.
  • Резервные копии базы данных — до 30 дней. После удаления аккаунта ваши данные исчезают из активной базы сразу, а из резервных копий — по мере их ротации.

6. Как мы защищаем данные

  • Все запросы между вашим устройством и Полкой идут по HTTPS (TLS); сертификаты выпускаются Let's Encrypt.
  • Refresh-токены хранятся в виде криптографического хэша; даже компрометация дампа базы не даёт прямого доступа к сессиям.
  • Доступ к продакшен-серверам ограничен ключами SSH и ограниченным кругом администраторов.
  • Загруженные изображения хранятся в приватном бакете объектного хранилища; ссылки на них выдаются адресно.

Несмотря на эти меры, ни одна система не может гарантировать абсолютную защиту. О любых известных инцидентах, затрагивающих ваши данные, мы сообщим по адресу электронной почты, привязанному к вашей учётной записи (если он есть), и опубликуем уведомление на сайте.

7. Ваши права

В отношении ваших персональных данных вы можете:

  • Получить копию данных, которые мы о вас храним;
  • Исправить неточные данные — большая часть редактируется в самом сервисе (профиль, коллекция, партии);
  • Удалить учётную запись и связанные данные;
  • Отозвать согласие на обработку данных — это влечёт за собой удаление учётной записи, потому что без обработки ключевых данных сервис не работает;
  • Пожаловаться в уполномоченный орган — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Чтобы воспользоваться любым из этих прав, напишите на privacy@полка.space с адреса электронной почты, привязанного к учётной записи, или опишите достаточные данные для идентификации (номер телефона, внешний идентификатор). Ответим в течение 30 дней.

8. Дети

Полка не предназначена для пользователей младше 14 лет. Мы не запрашиваем сведения о возрасте при регистрации, но если нам станет известно, что учётная запись принадлежит ребёнку младше 14 лет, мы удалим её. Если вы — родитель и считаете, что ваш ребёнок передал нам данные, напишите на privacy@полка.space.

9. Изменения политики

Мы можем обновлять эту политику — например, когда меняется состав функций или внешних сервисов. Актуальная редакция всегда публикуется по адресу полка.space/privacy с указанием даты последнего обновления вверху страницы. Существенные изменения мы дополнительно покажем в виде уведомления в сервисе.

10. Контакты

По вопросам обработки персональных данных: privacy@полка.space.