Privatumo politika

Ši politika paaiškina, kokius asmens duomenis tvarko Rozero Digital, MB (toliau — „Rozero“), vykdydama vienos užšifruotos kriptografinio rakto dalies saugotojo funkciją Everfair tinkle, ir kokias teises turi duomenų subjektai pagal Bendrąjį duomenų apsaugos reglamentą (ES) 2016/679 (BDAR).

1. Rozero vaidmuo ir duomenų valdytojas

Everfair yra decentralizuotas tinklas, kurį palaiko daug nepriklausomų dalyvių, ir nėra juridinis asmuo, kuris BDAR prasme tvarkytų asmens duomenis. Todėl klasikinio duomenų valdytojo–tvarkytojo (BDAR 28 str.) santykio tarp Rozero ir Everfair nėra.

Rozero Digital, MB veikia kaip savarankiškas duomenų valdytojas šios politikos aprėpiamiems duomenims:

• piniginės adreso ↔ šalies kodo + asmens / įmonės kodo žemėlapiui (žr. 2.2 sk.);
• atskleidimo institucijoms audito žurnalams (žr. 5 sk.);
• savo darbuotojų, partnerių atstovų ir interneto svetainės lankytojų kontaktiniams duomenims.

Vienos užšifruotos Shamir raktų dalies Rozero laiko kaip techninį saugotoją. Pati šifrograma izoliuotai nėra identifikuojami asmens duomenys — ji tampa panaudojama tik sujungta su kita (2 iš 7) dalimi.

KYC/KYB tapatybės duomenis (vardą, pavardę, dokumentus, biometriją, įmonių registravimo duomenis) savo infrastruktūroje pagal atskirus susitarimus su vartotojais tvarko Everfair tinklo akredituotas KYC/KYB paslaugos teikėjas (šiuo metu — Sumsub Ltd.; gali būti pakeistas kitu akredituotu partneriu) — Rozero šių duomenų negauna ir nesaugo.

2. Kokius duomenis tvarko Rozero

2.1. Užšifruota raktų dalis

• Binarinis užšifruotas blokas — viena Shamir Secret Sharing dalis iš septynių, priklausanti Rozero pozicijai Everfair 2 iš 7 atkūrimo schemoje.
• Šis blokas pats savaime nėra skaitytinas ir neidentifikuoja konkretaus asmens be papildomos informacijos, kurią valdo kiti Everfair tinklo dalyviai ir KYC/KYB paslaugos teikėjas.
• Drauge saugoma techninė metainformacija: dalies identifikatorius, sukūrimo laiko žyma, versija, kriptografinis kontrolinis suma.

2.2. Piniginės adreso ir asmens / įmonės kodo nuoroda

• Siekdama vykdyti teisėto atskleidimo pareigą (žr. 5 skyrių), Rozero saugo minimalią reikalingą nuorodą: Everfair piniginės adresas → šalies kodas (ISO 3166-1, pvz. LT, EE, US) + nacionalinis asmens identifikacinis kodas (Lietuvoje — asmens kodas) arba juridinio asmens registracijos numeris.
• Asmens kodas saugomas užšifruotas AES-256-GCM; šifravimo raktas padalintas Shamir 2/3 schema tarp Rozero Digital, Everfair vault ir nepriklausomo teisinio eskrouto. Vienas Rozero darbuotojas vienašališkai duomenų iššifruoti negali.
• Vardo, pavardės, gimimo datos (atskirai), gyvenamosios vietos, telefono, el. pašto ar tapatybės dokumentų Rozero nesaugo.
• Asmens kodas Rozero pusei nesuteikia tapatybės — jis tampa autoritetingu identifikatoriumi tik valstybiniame registre, prie kurio Rozero prieigos neturi.

2.3. Audito žurnalai

• Užklausų ir atsakymų metaduomenys: data, užklausos tipas, kvorumo dalyviai, autorizacijos požymiai, rezultatas.
• Institucijų užklausų atveju papildomai: institucija, teisinis pagrindas, atskleistos informacijos apimtis.

2.4. B2B ir svetainės duomenys

• Everfair, partnerių ir institucijų kontaktinių asmenų duomenys (vardas, pareigos, el. paštas, telefonas) — sutartiniam ryšiui.
• Svetainės serverio žurnalai: IP adresas, naršyklės tipas, užklausos URL, laiko žyma — saugumo ir incidentų tyrimo tikslais.

3. Ko Rozero NETVARKO

• Vartotojų vardų, pavardžių, gimimo datų (atskirai), gyvenamosios vietos adresų, telefonų, el. paštų.
• Tapatybės dokumentų atvaizdų ar metaduomenų.
• Biometrinių duomenų (veido atvaizdo, gyvybingumo testų ir pan.).
• PEP, sankcijų ar nepalankių žinių patikros rezultatų.
• Vartotojų sandorių sumų ar piniginių likutčių.

Šiuos duomenis tvarko atskiri subjektai: Everfair tinklo akredituotas KYC/KYB paslaugos teikėjas (šiuo metu — Sumsub; gali būti pakeistas kitu akredituotu partneriu) ir Everfair tinklas.

4. Tvarkymo teisinis pagrindas

• BDAR 6 str. 1 d. b p. — sutarties su Everfair vykdymas (raktų dalies saugojimas).
• BDAR 6 str. 1 d. c p. — teisinės prievolės vykdymas (atskleidimas teisėsaugai pagal teismo orderį).
• BDAR 6 str. 1 d. f p. — teisėtas interesas užtikrinti tinklo saugumą, sukčiavimo prevenciją ir audito pėdsaką.

5. Atskleidimas institucijoms

Rozero, kaip Lietuvos Respublikoje registruotas teisinis kontaktinis taškas, gavusi galiojantį Lietuvos Respublikos teismo orderį, prokuroro nutarimą ar kompetentingos institucijos sprendimą, pagal nurodytą piniginės adresą institucijai pateikia tik du duomenis:

• šalies kodą (ISO 3166-1, pvz. LT);
• nacionalinį asmens arba įmonės identifikacinį kodą.

Daugiau jokios informacijos apie vartotoją Rozero pateikti negali, nes daugiau jokios informacijos ir nesaugo. Vartotojo tapatybę (vardą, pavardę, adresą ir kt.) institucija nustato pati per valstybinius registrus, prie kurių Rozero prieigos neturi.

Kiekvienas atskleidimas fiksuojamas nekeičiamame audito žurnale.

5.1. Tarptautinis teisinis bendradarbiavimas

Užsienio valstybių teisėsaugos institucijos tiesiogiai į Rozero nesikreipia. Tarptautinis bendradarbiavimas vyksta per nustatytus kanalus ir baigiasi LR teismų ar prokuratūros išduotu nacionaliniu aktu:

• ES valstybės narės — Europos tyrimo orderis (EIO) pagal Direktyvą 2014/41/ES. Kitos ES valstybės narės institucija pateikia EIO LR kompetentingai institucijai, ta perduoda jį Rozero vykdymui.
• Trečiosios šalys — per savitarpio teisinės pagalbos sutartį (MLAT) arba diplomatinį kanalą. Užsienio institucijos užklausa per savo valstybės centrinę instituciją pasiekia LR Generalinę prokuratūrą arba Teisingumo ministeriją, kuri inicijuoja nacionalinį procesą ir išduoda lietuvišką orderį.
• Skubūs atvejai (tiesioginis pavojus gyvybei, vaikų išnaudojimas) — galimas pagreitintas atskleidimas pagal LR baudžiamojo proceso kodeksą ir Pinigų plovimo prevencijos įstatymą, su privaloma retrospektyvine teismine kontrole.

Atskleidimas vykdomas pagal LR baudžiamojo proceso kodeksą, Pinigų plovimo ir teroristių finansavimo prevencijos įstatymą, ES Direktyvą 2014/41/ES, taikytinas tarptautines sutartis ir kitus taikytinus aktus.

6. Saugojimo terminai

• Užšifruota raktų dalis ir disclosure indeksas — kol galioja sutartis su Everfair ir vartotojas neištrintas iš tinklo.
• Audito žurnalai — ne trumpiau nei reikalauja taikytini teisės aktai (paprastai 8 metus, vadovaujantis AML reikalavimais).
• Svetainės serverio žurnalai — iki 12 mėnesių.

7. Duomenų subjekto teisės

Duomenų subjektas (Everfair vartotojas) turi teisę:

• žinoti apie tvarkymą;
• susipažinti su tvarkomais duomenimis;
• reikalauti ištaisyti netikslius duomenis;
• reikalauti ištrinti duomenis, kai tvarkymo pagrindas išnyksta ir nėra prievolės juos saugoti;
• apriboti tvarkymą;
• pateikti skundą Valstybinei duomenų apsaugos inspekcijai (vdai.lrv.lt).

Kadangi Rozero tvarko tik užšifruotą dalį ir ribotą techninę nuorodą, dauguma teisių (pvz., kopijos pateikimas, tikslus duomenų rinkinys) realizuojamos per duomenų valdytoją Everfair.

8. Saugumas

• Atskira infrastruktūra, izoliuota nuo Everfair ir kitų dalių saugotojų.
• HTTPS su griežtomis saugumo antraštėmis (HSTS, CSP, X-Frame-Options).
• SSH prieiga tik raktais, ugniasienės kontrolė, automatiniai saugumo atnaujinimai, įsilaužimo bandymų stebėjimas.
• Audito žurnalai apsaugoti nuo modifikavimo.

9. Kontaktai

Klausimais dėl duomenų tvarkymo: info@rozero.digital, arba žr. kontaktų puslapį.

Politikos versija: 2026-04. Politika gali būti atnaujinama; aktuali versija — šiame puslapyje.