1. Кто мы

RomBa — платформа доверенной передачи товаров из duty-free от поверенного, который уже летит вашим маршрутом. Эта политика описывает, какие персональные данные мы обрабатываем, зачем и кому передаём.

Контролёр данных: HAKOBI-TECH LTD, операционный офис в ОАЭ. Контакт по вопросам приватности: privacy@rodstvennik.org.

2. Какие данные мы собираем

Контакты: имя из паспорта (для KYC), email через Stripe Customer. Платёжные данные: номер карты, срок и CVC обрабатывает Stripe — мы получаем только токен и последние 4 цифры; история заказов и выплат хранится у нас. Государственное удостоверение: хеш паспорта (SHA-256 с солью) формируется на устройстве после считывания NFC-чипа ICAO eMRTD; изображение паспорта не покидает устройство.

Местоположение: точные координаты в момент подтверждения, что вы в зоне duty-free хаба или в точке передачи (геозона 30–45 км вокруг аэропорта). Контент: фото чеков и товаров (OCULAR), короткие аудиосигналы ультразвукового ECHO для подтверждения присутствия. Идентификаторы: аппаратный device_id, аккаунт Stripe, ID транзакции. История покупок: заказы, маршруты, статусы, чаевые. Использование и диагностика: анонимизированные метрики, отчёты о падениях через системные сервисы Apple/Google.

3. Зачем мы это собираем

Чтобы сервис работал: подобрать поверенного на ваш маршрут, оформить заказ и оплату, выпустить виртуальную карту Stripe Issuing для покупки в duty-free, передать товар по OCULAR-протоколу.

Чтобы обеспечить безопасность: KYC обеих сторон, антифрод-проверки, эскроу платежа, неоспоримый журнал передачи. Чтобы соответствовать закону: налоговые и таможенные обязательства, AML-проверки, ответы на запросы регуляторов. Чтобы улучшать продукт: агрегированная аналитика и отчёты о падениях — всегда на обезличенных данных.

4. С кем мы делимся данными

Stripe Payments Europe Ltd — платежи, эскроу, выпуск виртуальных карт Issuing, выплаты поверенным через Stripe Connect. Stripe — независимый контролёр данных для платёжных операций: stripe.com/privacy. Apple и Google — системные сервисы (push-уведомления, отчёты о падениях).

Anthropic PBC — если вы пользуетесь AI-чатом в приложении, его сообщения передаются Anthropic через Claude API; Anthropic не использует ваши запросы для обучения моделей. Юридические органы — мы передадим данные только по обоснованному правовому запросу и, где это разрешено, уведомим вас. Мы никогда не продаём ваши данные рекламным сетям, брокерам данных или третьим лицам для маркетинговой профилировки.

5. Где и как долго мы храним

Основная база — серверы в ЕС. Stripe обрабатывает данные на инфраструктуре в ЕС/США по Стандартным договорным положениям ЕС (SCCs). На транспорте — TLS 1.3, для хранимых файлов — AES-256.

Профиль аккаунта: пока активен + 30 дней. Подписанные договоры передачи: 7 лет (бух/налоговая). Платёжные записи: 10 лет (AML/PSD2). Аудио ECHO и фото OCULAR: 90 дней после завершения заказа, далее автоудаление. Метрики и логи: 12 месяцев в идентифицируемом виде, дальше — только обезличенно.

6. Ваши права

Для пользователей ЕС, Великобритании, Швейцарии — права по GDPR: доступ, исправление, удаление, ограничение, переносимость, возражение, отзыв согласия. Для пользователей Калифорнии — права по CCPA/CPRA: знать, удалить, исправить, не получать дискриминацию за их использование. Мы не продаём и не передаём данные для целевой рекламы — см. privacy choices.

Чтобы воспользоваться правом — напишите на privacy@rodstvennik.org. Большинство запросов выполняем в течение 30 дней. Если ответ вас не устроит — вы вправе подать жалобу в орган защиты данных вашей страны.

7. Как мы защищаем данные

Эскроу платежа: деньги заказчика лежат в Stripe до подписи передачи. Поверенный не имеет доступа к балансу клиента. Виртуальная карта под заказ: одноразовая Stripe Issuing, 5 минут на кассе, не связана с вашим банковским счётом.

OCULAR ультразвук: подтверждение встречи по физическому сигналу — удалённый «развод» математически невозможен. KYC обеих сторон: паспорт (NFC или OCR), Face ID, поведенческая биометрия; храним только солёный хеш паспорта. Аппаратно-защищённые ключи — Secure Enclave / StrongBox.

8. Возраст, изменения, контакты

Сервис для пользователей от 17 лет — в каталоге есть алкоголь и табак. Данные несовершеннолетних мы сознательно не собираем; если такие данные попали к нам — сообщите, удалим в течение 7 дней.

Существенные изменения политики мы анонсируем в приложении не позднее чем за 30 дней до их вступления в силу. Дата последнего обновления — в шапке. Продолжение использования после изменения = согласие с новой редакцией.