Политика конфиденциальности

1. Кратко о главном

Валенсия Русская — независимое медиа для русскоязычного сообщества в Валенсии. Мы пишем новости, ведём афишу, делаем гиды и помогаем разобраться в жизни в Испании.

Чтобы это работало, мы собираем минимум персональных данных. Ровно столько, сколько нужно для конкретного действия: подписки на рассылку, ответа на ваше сообщение, защиты сайта от ботов. Никаких теневых рекламных профилей, перепродажи e-mail или «обогащения» данных у брокеров.

2. Ответственный за обработку данных

На данный момент назначение специалиста по защите данных (DPO/DPD) необязательно по ст. 37 RGPD. Если в будущем мы изменим масштаб обработки и DPO станет обязательным, его контакты будут опубликованы здесь.

3. Какие данные мы собираем

Объём данных зависит от того, что именно вы делаете на сайте. Ниже — исчерпывающий список.

3.1. Подписка на рассылку

• E-mail — обязательно.
• Имя — необязательно, для персонализации обращения.
• Дата подписки и IP, с которого она пришла— для подтверждения вашего согласия (требование ст. 7 RGPD).
• Метрики писем (открытие, клики) — обезличенные, нужны, чтобы понимать, интересен ли контент.

3.2. Контактная форма / письмо в редакцию

• Имя и e-mail — чтобы ответить.
• Текст сообщения — содержимое запроса.
• Технические метаданные (IP, user-agent) — для защиты от спама.

3.3. Комментарии и взаимодействие (если активны)

• Имя или ник, e-mail (не публикуется), текст комментария.
• IP и время отправки — для модерации и борьбы со спамом.

3.4. Аналитика и Core Web Vitals

• Обезличенные технические данные: страна (а не город), тип устройства, браузер, источник перехода.
• Yandex.Metrica — записи WebVisor могут включать движения мыши и действия в интерфейсе. Запись анонимна и не привязана к личности; по умолчанию включается только после вашего согласия в баннере cookies.
• Plausible (если используем) — аналитика без персональных данных и без cookies.

3.5. Серверные журналы

Веб-сервер автоматически сохраняет минимально необходимые лог-данные: IP, дату и время, запрошенный URL, код ответа, реферер, user-agent. Это нужно для безопасности (атаки, боты) и устраняется через 30 дней.

4. Цели обработки

• Доставка контента: показ статей, событий, гидов и поиск по ним.
• Рассылка — отправка писем подписчикам.
• Коммуникация — ответы на ваши обращения.
• Безопасность — защита от ботов, фрода и DDoS.
• Редакционная аналитика — понять, какие материалы полезны.
• Соблюдение закона — выполнение испанских и европейских законодательных требований (LSSI-CE, LOPDGDD, RGPD).

5. Правовые основания (ст. 6 RGPD)

6. Сроки хранения

• E-mail подписки— пока вы не отпишетесь. После отписки e-mail переносится в «список отписавшихся», чтобы случайно не подписать вас снова, и удаляется через 12 месяцев.
• Письма и обращения— 12 месяцев, далее архивируются или удаляются.
• Логи сервера— 30 дней.
• Аналитика— обезличенные агрегаты до 25 месяцев (Yandex.Metrica по умолчанию), Plausible — без сроков, поскольку нет персональных данных.
• Бухгалтерия и налоги— 6 лет (требование ст. 30 Código de Comercio Испании).

7. Получатели и трансграничные передачи

Мы не продаём и не обмениваем персональные данные. Мы привлекаем технических исполнителей (encargados del tratamiento), без которых сайт не сможет работать. Со всеми у нас договор по ст. 28 RGPD. Серверы, как правило, в ЕС/ЕЭЗ. Если исполнитель находится за пределами ЕС, действуют стандартные договорные положения (SCC) Европейской комиссии.

• Хостинг и CDN — провайдер инфраструктуры (ЕС).
• База данных — управляемый Postgres / SQLite на сервере (ЕС).
• E-mail рассылка — поставщик ESP (Resend, ЕС/США c SCC).
• Аналитика — Yandex.Metrica (РФ, по согласию пользователя), Plausible (ЕС, без cookies).
• Защита от ботов — Cloudflare (ЕС/US с SCC), если активен.

8. Ваши права (RGPD / LOPDGDD)

В любой момент и бесплатно вы можете:

• Доступ— узнать, какие ваши данные у нас есть (ст. 15).
• Исправление— поправить неточности (ст. 16).
• Удаление(«право быть забытым») — ст. 17.
• Ограничение обработки— ст. 18.
• Перенос— получить данные в машиночитаемом формате (ст. 20).
• Возражениепротив обработки на основании законного интереса (ст. 21).
• Не быть объектом автоматизированных решенийс правовыми последствиями (ст. 22). Мы такие решения не применяем.
• Отозвать согласиев любой момент (ст. 7.3).

9. Жалоба в AEPD

Если вы считаете, что мы нарушили ваши права в части персональных данных, вы можете подать жалобу в Испанское агентство по защите данных (AEPD):

• Сайт: www.aepd.es
• Адрес: C/ Jorge Juan, 6, 28001 Madrid, España
• Телефон: +34 901 100 099 / +34 912 663 517

Мы предпочли бы, чтобы вы сначала написали нам — большинство проблем решаются без регулятора, и быстрее.

10. Cookie и трекеры

Cookies живут в отдельном документе: политика использования cookie. Там — список конкретных cookies, сроки и инструкция, как ими управлять.

11. Безопасность данных

• HTTPS на всех страницах (TLS 1.3).
• Хеширование и солёные пароли для администраторских аккаунтов.
• Резервное копирование БД с шифрованием.
• Принцип минимальных привилегий: доступ к данным имеют только нужные люди.
• Журналы доступа и аудит изменений (на стороне CMS Payload — встроено).

При утечке, способной нанести ущерб правам пользователей, мы уведомим AEPD в течение 72 часов и затронутых пользователей — без необоснованных задержек (ст. 33–34 RGPD).

12. Несовершеннолетние

Сайт не ориентирован на детей младше 14 лет. По ст. 7 LOPDGDD согласие на обработку данных в Испании несовершеннолетние могут давать с 14 лет; младше — только через родителей или законных представителей. Мы не запрашиваем намеренно данные у детей; если вы заметили обратное — напишите нам и мы удалим запись немедленно.

13. Изменения политики

Мы можем менять этот документ — по новым нормам, по запуску новых сервисов или просто чтобы сделать его понятнее. Все изменения публикуются здесь, с указанием даты последнего обновления вверху страницы. Существенные изменения (новые цели обработки, новые получатели, изменения в правах) — уведомим подписчиков по e-mail.