Юридически

Политика конфиденциальности

Мы не ведём логи трафика, не храним DNS-запросы и не привязываем подписку к вашему IP. Что собираем — описано ниже подробно и без воды.

1.Кто мы и зачем эта политика

Настоящая Политика описывает, какие данные Пользователей обрабатывает UAB Orvia (далее — «Компания») при предоставлении сервиса Orvia VPN, на каких основаниях, как долго и кому может передавать. Политика подготовлена в соответствии с требованиями Общего регламента защиты данных Европейского союза (GDPR, Регламент 2016/679) и распространяется на всех Пользователей независимо от их страны проживания.

Контролёр данных в смысле GDPR — UAB Orvia, регистрационный адрес: Vilnius, LT-09310, Lithuania. Контакты Data Protection Officer указаны в разделе 8 настоящей Политики.

2.Какие данные мы собираем

Принцип проектирования сервиса — минимизация данных. Для работы Сервиса Компания обрабатывает только следующие категории информации:

  • Telegram ID — числовой идентификатор Учётной записи. Используется для авторизации и привязки подписки. Имя пользователя, аватар, номер телефона не запрашиваются и не сохраняются.
  • Идентификатор платёжной транзакции (tx-id) — необходим для подтверждения оплаты Подписки. Платёжный провайдер обрабатывает реквизиты карты самостоятельно — Компания их не получает.
  • Дата активации и окончания подписки — для определения прав доступа к Сервису.
  • Идентификаторы выданных WireGuard-конфигураций — публичные ключи устройств. Приватные ключи генерируются на стороне клиента и Компании не передаются.

Любые иные данные о Пользователе — IP-адрес, история активности, местоположение, контакты — Компанией не собираются и не хранятся.

3.No-logs политика

Orvia VPN построен на принципе «нет логов» (no-logs). Это не маркетинговое заявление, а архитектурное решение. Серверы Сервиса сконфигурированы таким образом, что технически не способны собирать и хранить следующие категории данных:

  • История посещённых сайтов и URL-адресов.
  • DNS-запросы Пользователей и их ответы.
  • Метаданные сетевых соединений (timestamp, source IP, destination IP, port).
  • Объём переданного через туннель трафика на уровне отдельного Пользователя.
  • Сессии подключения — длительность, время начала и окончания.

Внутренние диски серверов работают исключительно в режиме tmpfs (in-memory), без подключения постоянного хранилища. Серверы перезагружаются ежесуточно — никакая остаточная информация не переживает перезагрузку. Конфигурация инфраструктуры проходит независимый аудит фирмой Cure53 не реже двух раз в год.

Для целей мониторинга работоспособности Сервиса используются агрегированные обезличенные метрики на уровне локации (общий объём трафика на сервер, количество одновременных подключений в моменте) — они не привязаны к конкретным Пользователям.

4.Правовые основания обработки

Обработка данных осуществляется на следующих правовых основаниях, предусмотренных статьёй 6 GDPR:

— исполнение договора с Пользователем (предоставление Сервиса) — ст. 6(1)(b); — исполнение требований применимого законодательства (налоговое, валютное, AML) — ст. 6(1)(c); — законные интересы Компании по предотвращению мошенничества и злоупотреблений — ст. 6(1)(f).

Согласие Пользователя в качестве отдельного правового основания не используется — обработка данных, выходящая за рамки указанных оснований, в Сервисе не производится.

5.Кому мы передаём данные

Компания не продаёт, не сдаёт в аренду и не передаёт персональные данные Пользователей третьим лицам в коммерческих целях.

Передача данных третьим лицам возможна только в следующих случаях:

— платёжным провайдерам (YooKassa, Telegram, CryptoBot) — в минимально необходимом объёме для проведения транзакции; — государственным органам — при поступлении законного запроса, оформленного в соответствии с применимым законодательством. Компания публикует Transparency Report ежеквартально с количеством полученных и удовлетворённых запросов; — аудиторам Cure53 в рамках регулярных проверок — без доступа к данным конкретных Пользователей.

Передача данных за пределы Европейской экономической зоны не производится. Вся инфраструктура хранения метаданных размещена в юрисдикции ЕС.

6.Cookies и аналогичные технологии

На сайте orvia.vpn используется одна сессионная cookie — session_token — необходимая для поддержания авторизованной сессии в личном кабинете. Cookie имеет атрибуты HttpOnly, Secure, SameSite=Lax и удаляется при закрытии браузера.

Аналитические cookies, рекламные пиксели, fingerprinting-скрипты на сайте отсутствуют. Метрики посещаемости (Plausible) собираются обезличенно на стороне сервера без установки клиентских идентификаторов.

В клиентских приложениях Orvia (iOS, Android, Windows, macOS, Linux) cookies и аналогичные технологии не используются.

7.Срок хранения данных

Сроки хранения категорий данных:

— Telegram ID и связанные данные Учётной записи — на срок действия Учётной записи плюс 30 дней после её удаления для возможности восстановления по запросу Пользователя; — платёжные tx-id и связанные финансовые данные — 5 лет с момента транзакции в соответствии с требованиями налогового законодательства Литвы; — публичные ключи WireGuard-устройств — на срок действия устройства, удаляются вместе с устройством; — агрегированные метрики работы Сервиса — 90 дней.

По истечении указанных сроков данные подлежат необратимому удалению автоматическими процедурами.

8.Права пользователя по GDPR

Каждый Пользователь имеет следующие права в отношении своих персональных данных:

  • Право на доступ — получить копию своих данных в машиночитаемом формате (JSON).
  • Право на исправление — обновить неактуальные или неточные данные.
  • Право на удаление («право быть забытым») — потребовать удаления Учётной записи и всех связанных данных.
  • Право на ограничение обработки — приостановить обработку до разрешения спора.
  • Право на переносимость — получить данные для передачи другому контролёру.
  • Право на возражение против обработки, основанной на законных интересах.
  • Право подать жалобу в надзорный орган (для резидентов ЕС — Valstybinė duomenų apsaugos inspekcija, Литва).

Для реализации любого из прав направьте запрос на dpo@orvia.vpn. Срок ответа — не более 30 дней. Услуга бесплатна, кроме случаев явно избыточных или повторяющихся запросов.

9.Безопасность данных

Компания применяет организационные и технические меры защиты данных, соответствующие принципу разумной достаточности и характеру обрабатываемых данных:

— шифрование данных в покое (AES-256) и в передаче (TLS 1.3, WireGuard); — разграничение доступа сотрудников по принципу минимальных привилегий; — регулярные внутренние и внешние аудиты безопасности; — bug bounty программа для исследователей безопасности; — план реагирования на инциденты с уведомлением Пользователей и регулятора в течение 72 часов в случае подтверждённой утечки персональных данных.

10.Защита несовершеннолетних

Сервис не предназначен для использования лицами младше 16 лет. Компания не запрашивает и не обрабатывает осознанно данные таких лиц. Если законному представителю стало известно о наличии Учётной записи у несовершеннолетнего, он вправе обратиться в Компанию для её удаления.

11.Контакты Data Protection Officer

По всем вопросам, связанным с обработкой персональных данных, обращайтесь к Data Protection Officer:

— электронная почта: dpo@orvia.vpn — почтовый адрес: UAB Orvia, Attn: DPO, Vilnius, LT-09310, Lithuania

Для запросов на реализацию прав по GDPR используется отдельная форма в разделе личного кабинета «Приватность → Запросить мои данные».

12.Изменения политики

Компания вправе вносить изменения в настоящую Политику. Существенные изменения публикуются не менее чем за 30 дней до вступления в силу с уведомлением Пользователей по доступным каналам связи (Telegram-бот, электронная почта при её наличии). Дата последней редакции указана в нижней части документа.

Последнее обновление: 22 июня 2026