Политика конфиденциальности

1 — Кто мы

SROAST Entertainment Pte. Ltd. («SROAST», «мы», «нас») — частная компания с ограниченной ответственностью, зарегистрированная в Сингапуре.

• Юридический адрес: 68 Circular Road #02-01, Singapore 049422
• UEN: 202549936C
• Операционный офис: Бангкок, Таиланд
• Контакт по вопросам приватности: main@sroast.com

SROAST является контролёром данных применительно к описанным ниже категориям. По сингапурскому PDPA тот же адрес обрабатывает запросы Data Protection Officer.

2 — Что собираем, зачем и на каком основании

2.1 — Форма брифа (основной канал лидогенерации на сайте)

Когда вы отправляете контактную форму на sroast.com, вы передаёте нам:

• Имя
• Компания / должность
• Email (обязательно — нужен для ответа в рамках 24-часового SLA)
• Телефон (опционально)
• Рынки, которые интересуют
• Сам бриф (свободный текст)

Также автоматически логируем страницу с которой вы отправили форму, строку user-agent вашего браузера и страну, в которую резолвится ваш IP (через заголовок Cloudflare cf-ipcountry). Сам IP-адрес мы не сохраняем.

Правовое основание: принятие шагов до заключения договора по вашему запросу (ст. 6(1)(b) GDPR / Section 13 PDPA), а также наш законный интерес в квалификации обращений (ст. 6(1)(f) GDPR).

2.2 — Выбор темы (светлая / тёмная)

Если вы переключаете тему сайта, выбор сохраняется в браузере как localStorage["sroast-theme"]. Это чисто функциональная запись, никогда не покидает ваше устройство, и нужна чтобы сайт помнил ваш визуальный выбор между визитами.

Правовое основание: строго необходимо для запрошенной услуги — согласие не требуется (исключение ePrivacy / GDPR).

2.3 — Аналитика трафика (всегда включена, без cookies)

Cloudflare Web Analytics регистрирует агрегированные серверные метрики: просмотры, источники, страны, тип устройства, performance Core Web Vitals. Не использует client-side cookies, fingerprinting или cross-site идентификаторы. Данные анонимизируются на edge Cloudflare до сохранения.

Правовое основание: законный интерес в понимании работы сайта (ст. 6(1)(f) GDPR). EDPB подтвердил, что серверная безкуковая аналитика такого рода не требует согласия.

2.4 — Microsoft Clarity (выключено по умолчанию — только с вашего согласия)

Если — и только если — вы соглашаетесь на категорию «Аналитика и UX» в наших cookie-настройках, мы загружаем Microsoft Clarity. Clarity записывает анонимизированные session replays (движение мыши, клики, scroll depth) и строит heatmaps, чтобы мы видели где посетители спотыкаются. Ставит две cookies, _clck и _clsk, и обрабатывает данные на инфраструктуре Microsoft.

Персональные идентификаторы, видимые в полях форм, маскируются Clarity на источнике. Мы никогда не связываем Clarity-сессии с записями лидов. Применяются собственные условия Microsoft: privacy.microsoft.com/ru-ru/privacystatement.

Правовое основание: ваше явное согласие (ст. 6(1)(a) GDPR). Отозвать согласие можно в любой момент через ссылку «Настройки cookie» в футере сайта.

2.5 — Серверные логи

Cloudflare хранит краткосрочные операционные логи (IP, timestamp, путь запроса) для безопасности, противодействия abuse и rate-limiting. Мы не обращаемся к этим логам, кроме как при расследовании инцидента.

Правовое основание: законный интерес в безопасности сети (ст. 6(1)(f), ст. 32 GDPR).

3 — Где хранятся ваши данные (sub-processors)

Мы используем небольшой набор именованных сторонних обработчиков, каждый из которых связан собственными data-processing условиями:

• Notion Labs, Inc. (США) — хранит заявки из Brief в нашей внутренней CRM. Processor по DPA. SCCs для трансферов EU/UK. Privacy notice Notion.
• Sendinblue SAS (бренд Brevo, Франция) — отправляет уведомительные транзакционные письма нашей команде, когда вы отправляете бриф. Базируется в EU, GDPR-native. Privacy policy Brevo.
• Google LLC (США) — Google Workspace хостит наши почтовые ящики @sroast.com. SCCs + Data Processing Amendment Google.
• Cloudflare, Inc. (США) — обслуживает сайт и его API endpoints, запускает Web Analytics, защищает от DDoS. SCCs + DPA Cloudflare.
• Microsoft Corporation (США) — запускает Clarity, но только после вашего opt-in (см. 2.4).
• GitHub, Inc. (США, дочерняя компания Microsoft) — хостит репозиторий кода. Персональные данные здесь не хранятся.

4 — Сколько мы храним

• Заявки из Brief в Notion CRM: 24 месяца с момента отправки или до запроса удаления раньше. Выигранные сделки переходят в коммерческие файлы под сингапурские требования по налоговой отчётности (обычно 5 лет).
• Email-переписка: хранится в Google Workspace во время активного сотрудничества, затем архивируется до 5 лет для налоговых / dispute оснований.
• Серверные логи (Cloudflare): 30 дней операционно, дольше — только при расследовании инцидента.
• Сессии Microsoft Clarity: 13 месяцев (дефолт Microsoft) или до отзыва согласия — что наступит раньше.
• Выбор темы (localStorage): до очистки браузером. Никогда не покидает ваше устройство.

5 — Ваши права

По GDPR (если вы в EU/UK), сингапурскому PDPA, тайскому PDPA и ФЗ-152 у вас есть право:

• Знать какие данные мы храним о вас (доступ)
• Исправить их если они неточны
• Удалить их («право быть забытым»)
• Ограничить или возразить против обработки
• Получить копию в переносимом формате
• Отозвать согласие на любую обработку, основанную на согласии (например, Clarity), в любой момент
• Подать жалобу в Singapore PDPC, в национальный EU-регулятор, в тайский PDPC, или в Роскомнадзор

Напишите на main@sroast.com с темой «Запрос по приватности» — ответим в течение 30 дней. Мы можем попросить подтвердить личность перед раскрытием или удалением записей — для безопасности, не для бюрократии.

6 — Международные трансферы

Большинство наших обработчиков базируются в EU (Brevo) или США (Notion, Cloudflare, Google, Microsoft, GitHub). Когда персональные данные передаются за пределы EEA / UK / Сингапура, мы опираемся на:

• Standard Contractual Clauses (SCCs) по ст. 46 GDPR
• EU–US Data Privacy Framework где применимо
• Эквивалентные обязательства получателя по Section 26 сингапурского PDPA

7 — Cookies и аналогичная технология

Полная разбивка того что работает на сайте, по категориям:

• Строго необходимые — localStorage["sroast-theme"]. Всегда включено. Хранит выбор светлой/тёмной темы.
• Аналитика и UX — Microsoft Clarity (_clck, _clsk). Выключено по умолчанию, загружается только после явного opt-in.
• Маркетинг / реклама — отсутствуют. Мы не запускаем retargeting-пиксели.

Изменить выбор можно в любой момент через ссылку «Настройки cookie» в футере. Мы соблюдаем заголовок Sec-GPC Global Privacy Control — если ваш браузер его шлёт, мы автоматически отклоняем категорию аналитики без показа банера.

8 — Дети

Услуги SROAST ориентированы на промоутеров, агентства и операторов площадок — взрослую B2B-аудиторию. Мы сознательно не собираем персональные данные от лиц моложе 16 лет. Если считаете, что ребёнок отправил данные через наши формы — напишите, мы удалим.

9 — Изменения этой политики

Мы обновляем эту страницу когда добавляем, убираем или меняем обработчик — не для того чтобы изматывать вас уведомлениями. Дата «Действует с» вверху отражает последнюю версию. Существенные изменения (новые категории данных, новые high-impact обработчики, новые сроки хранения) флагуются банером на главной как минимум 14 дней.

10 — Контакт

main@sroast.com — вопросы по приватности, запросы доступа, запросы удаления, всё что покрыто выше. Стремимся ответить в 5 рабочих дней; формальные SLA применяются для официальных запросов.