Политика конфиденциальности

Редакция от 13 апреля 2026 г.

Главное обязательство

Мы не ведём журналы активности пользователей. Мы не знаем, какие сайты вы посещаете, когда подключаетесь и какой трафик передаёте. Анонимный аккаунт не требует никаких личных данных — мы буквально не можем вас идентифицировать.

1. Контролёр данных

Контролёром персональных данных в соответствии с GDPR (Регламент ЕС 2016/679) и испанским Законом об органической защите данных (LOPDGDD, Ley Orgánica 3/2018) является:

Наименование: ByGate S.L.
Адрес: C/ de la Reina 24, 46011, Valencia, España
Email: [email protected]

На обработку данных распространяется законодательство Испании и ЕС, включая GDPR и LOPDGDD. Надзорный орган по защите данных: Agencia Española de Protección de Datos (AEPD), aepd.es.

2. Что мы НЕ собираем

Мы принципиально не собираем и не храним:

Журналы посещённых вами сайтов и DNS-запросов
IP-адрес вашего устройства
Время, продолжительность и частоту VPN-сессий
Объём переданного трафика
Содержимое передаваемых данных

Эти данные не существуют в наших системах — их невозможно передать третьим лицам даже при наличии соответствующего запроса.

3. Что мы храним

3.1 Анонимный аккаунт

При создании анонимного аккаунта в базе данных хранится только:

Уникальный код аккаунта (сгенерированный случайно, без привязки к личности)
Дата создания аккаунта
Статус подписки и дата её окончания

Никакой персональной информации не требуется и не хранится.

3.2 Аккаунт с email

Дополнительно хранится:

Хэш email-адреса (SHA-256) — для авторизации и проверки уникальности. Исходный адрес из хэша восстановить невозможно.
Зашифрованный email (AES-256) — исключительно для отправки уведомлений об аккаунте. Ключ шифрования хранится отдельно от базы данных.
Хэш пароля (bcrypt)

3.3 Платёжные данные

Мы не обрабатываем данные банковских карт и криптовалютных кошельков напрямую. В наших системах хранится только:

Идентификатор заказа платёжного сервиса (для подтверждения оплаты)
Сумма, валюта и дата платежа
Выбранный способ оплаты (карта/СБП или криптовалюта)

Данные банковской карты и криптовалютных кошельков в наши системы не передаются.

Важно: при переходе на страницу оплаты платёжные сервисы WATA и Cryptomus могут самостоятельно собирать технические данные (IP-адрес, тип устройства, браузер) в соответствии со своими политиками конфиденциальности. Этот сбор происходит на их стороне и не зависит от нашей no-logs политики.

4. Правовые основания обработки данных (GDPR)

Мы обрабатываем данные только при наличии правового основания по ст. 6 GDPR:

Исполнение договора (ст. 6(1)(b)) — код аккаунта, статус подписки, идентификаторы платежей. Необходимо для предоставления Сервиса.
Законный интерес (ст. 6(1)(f)) — хэш email для авторизации и восстановления доступа.
Согласие (ст. 6(1)(a)) — зашифрованный email для уведомлений (вы вправе отозвать согласие в любой момент).
Юридическое обязательство (ст. 6(1)(c)) — платёжные записи для целей бухгалтерского учёта.

5. Обработчики данных (третьи стороны)

Мы не продаём и не передаём ваши данные третьим лицам в коммерческих целях. Данные могут передаваться только следующим обработчикам:

WATA (ТОО «RZV», БИН 171040030671, Республика Казахстан)

Платёжный агент для обработки платежей картой и через СБП. Передаются только данные, необходимые для проведения конкретного платежа. Обработка данных регулируется публичной офертой WATA.

Cryptomus

Платёжный сервис для обработки криптовалютных платежей. Передаётся сумма и валюта платежа для формирования инвойса.

Хостинг-провайдер (инфраструктура)

Серверная инфраструктура ByGate VPN расположена в Европе. Хостинг-провайдер обеспечивает физическое размещение серверов и не имеет доступа к персональным данным пользователей — на серверах не хранятся логи активности, IP-адреса или иные идентифицирующие данные.

Правоохранительные органы

Только при наличии законного требования в рамках юрисдикции ЕС/Испании. Поскольку мы не ведём логов активности, предоставить данные о вашей VPN-активности физически невозможно.

6. Cookies и аналитика

Сайт bygate.net использует технически необходимые cookies — сессионный токен авторизации, который хранится в вашем браузере и удаляется при выходе.

Для анализа посещаемости и улучшения сайта мы используем Яндекс.Метрику (Яндекс LLC) и Google Analytics 4 (Google LLC). Эти сервисы собирают обезличенные данные о поведении посетителей (страницы, источники трафика, время на сайте, тип устройства) с использованием cookies и аналогичных технологий. Правовое основание — наш законный интерес в улучшении сервиса (ст. 6(1)(f) GDPR). Вы можете отказаться от аналитических cookies через настройки браузера или расширение Яндекс.Метрика Opt-out / Google Analytics Opt-out.

В мобильных приложениях ByGate VPN для iOS и Android используется Firebase Analytics (Google LLC) для анализа количества установок, активных пользователей и ошибок. Firebase не собирает персонально идентифицирующие данные; сбор ограничен техническими идентификаторами устройства. Отключить сбор можно в настройках приложения.

7. Сроки хранения данных

Данные аккаунта — хранятся до удаления аккаунта пользователем. При удалении все данные уничтожаются в течение 30 дней.
Платёжные записи — хранятся не более 5 лет в соответствии с требованиями испанского законодательства о бухгалтерском учёте, после чего удаляются безвозвратно.
Хэш email — удаляется вместе с аккаунтом.

8. Безопасность данных

Все данные передаются исключительно по зашифрованному соединению (TLS 1.3)
Серверы расположены в защищённых дата-центрах в Европе
Email-адреса хранятся зашифрованными (AES-256), ключ отдельно от БД
Пароли хранятся в виде хэша (bcrypt) — исходный пароль не восстановим
Доступ к данным ограничен принципом минимальных привилегий

9. Ваши права (GDPR)

В соответствии с GDPR и LOPDGDD вы имеете следующие права:

Доступ (ст. 15) — запросить, какие данные мы о вас храним
Исправление (ст. 16) — потребовать исправления неточных данных
Удаление (ст. 17) — «право быть забытым»
Ограничение обработки (ст. 18) — ограничить обработку ваших данных
Переносимость данных (ст. 20) — получить ваши данные в машиночитаемом формате
Возражение (ст. 21) — возразить против обработки на основании законного интереса
Отзыв согласия — в любой момент без ущерба для законности ранее произведённой обработки

Для анонимных аккаунтов идентифицировать пользователя по запросу невозможно — данные и так не связаны с личностью. Реализовать права можно только через удаление аккаунта (код аккаунта служит единственным идентификатором).

Для реализации прав: [email protected]

Если вы считаете, что ваши права нарушены, вы вправе подать жалобу в надзорный орган. Для пользователей из Испании: AEPD (aepd.es). Для пользователей из других стран ЕС — в соответствующий национальный орган.

10. Удаление аккаунта

Вы можете удалить аккаунт в любой момент из личного кабинета или по запросу на [email protected]. При удалении все связанные данные уничтожаются безвозвратно в течение 30 дней. Платёжные записи хранятся в соответствии со сроками, указанными в разделе 7.

11. Международные передачи данных

Вся инфраструктура ByGate VPN расположена в Европейском союзе. Передача персональных данных за пределы ЕС не осуществляется, за исключением случаев когда платёжный сервис (WATA, Cryptomus) обрабатывает данные в соответствии со своими политиками.

12. Изменения политики

О существенных изменениях мы уведомляем пользователей с email за 14 дней до вступления в силу. Актуальная версия всегда доступна на bygate.net/privacy.

13. Контакты

По вопросам конфиденциальности и реализации прав GDPR:

Email: [email protected]
Поддержка: [email protected]
ByGate S.L.
C/ de la Reina 24, 46011, Valencia, España

Our Core Commitment

We do not log user activity. We do not know which websites you visit, when you connect, or what traffic you transmit. An anonymous account requires no personal data — we literally cannot identify you.

1. Data Controller

The data controller under the GDPR (EU Regulation 2016/679) and the Spanish Organic Law on Data Protection (LOPDGDD, Ley Orgánica 3/2018) is:

Name: ByGate S.L.
Address: C/ de la Reina 24, 46011, Valencia, España
Email: [email protected]

Data processing is governed by Spanish and EU law, including the GDPR and LOPDGDD. Supervisory authority: Agencia Española de Protección de Datos (AEPD), aepd.es.

2. What We Do NOT Collect

We expressly do not collect or store:

Logs of websites visited or DNS queries
Your device's IP address
Time, duration, or frequency of VPN sessions
Volume of transmitted traffic
Content of transmitted data

This data does not exist in our systems — it cannot be provided to third parties even upon request.

3. What We Store

3.1 Anonymous Account

When an anonymous account is created, only the following is stored:

Unique account code (randomly generated, not linked to any identity)
Account creation date
Subscription status and expiry date

No personal information is required or stored.

3.2 Email Account

Additionally stored:

Email hash (SHA-256) — for authentication and uniqueness checks. The original address cannot be recovered from the hash.
Encrypted email (AES-256) — solely for sending account notifications. The encryption key is stored separately from the database.
Password hash (bcrypt)

3.3 Payment Data

We do not directly process card or cryptocurrency wallet data. Only the following is stored in our systems:

Payment service order ID (for payment confirmation)
Amount, currency, and payment date
Selected payment method (card/SBP or cryptocurrency)

Card and cryptocurrency wallet data are not transmitted to our systems.

Important: when you are redirected to the payment page, WATA and Cryptomus may independently collect technical data (IP address, device type, browser) per their own privacy policies. This collection occurs on their side and is outside our no-logs policy.

4. Legal Bases for Processing (GDPR)

We process data only when a lawful basis under Art. 6 GDPR applies:

Contract performance (Art. 6(1)(b)) — account code, subscription status, payment identifiers. Required to provide the Service.
Legitimate interest (Art. 6(1)(f)) — email hash for authentication and account recovery.
Consent (Art. 6(1)(a)) — encrypted email for notifications (you may withdraw consent at any time).
Legal obligation (Art. 6(1)(c)) — payment records for accounting purposes.

5. Data Processors (Third Parties)

We do not sell or share your data with third parties for commercial purposes. Data may be shared only with the following processors:

WATA (RZV LLP, BIN 171040030671, Republic of Kazakhstan)

Payment agent for card and SBP payments. Only data necessary for a specific payment is shared. Processing is governed by WATA's public offer.

Cryptomus

Payment service for cryptocurrency transactions. Payment amount and currency are shared to generate an invoice.

Hosting Provider (Infrastructure)

ByGate VPN infrastructure is located in Europe. The hosting provider handles physical server placement and has no access to user personal data — no activity logs, IP addresses, or identifying data are stored on servers.

Law Enforcement

Only upon lawful request within EU/Spanish jurisdiction. Since we do not log activity, providing data about your VPN activity is technically impossible.

6. Cookies and Analytics

The bygate.net website uses technically necessary cookies — a session authentication token stored in your browser and deleted upon logout.

For traffic analysis and site improvement, we use Yandex Metrica (Yandex LLC) and Google Analytics 4 (Google LLC). These services collect anonymized visitor behavior data (pages, traffic sources, time on site, device type) using cookies and similar technologies. Legal basis: our legitimate interest in improving the Service (Art. 6(1)(f) GDPR). You may opt out via browser settings or the Yandex Metrica Opt-out / Google Analytics Opt-out extensions.

The ByGate VPN iOS and Android apps use Firebase Analytics (Google LLC) to analyze install counts, active users, and errors. Firebase does not collect personally identifying data; collection is limited to technical device identifiers. Analytics can be disabled in app settings.

7. Data Retention

Account data — retained until account deletion. All data is destroyed within 30 days of deletion.
Payment records — retained for up to 5 years per Spanish accounting law, then permanently deleted.
Email hash — deleted with the account.

8. Data Security

All data is transmitted exclusively over encrypted connections (TLS 1.3)
Servers are located in secure data centers in Europe
Email addresses are stored encrypted (AES-256), key stored separately from the DB
Passwords are stored as hashes (bcrypt) — the original password is unrecoverable
Data access follows the principle of least privilege

9. Your Rights (GDPR)

Under the GDPR and LOPDGDD, you have the following rights:

Access (Art. 15) — request what data we hold about you
Rectification (Art. 16) — request correction of inaccurate data
Erasure (Art. 17) — "right to be forgotten"
Restriction (Art. 18) — restrict how we process your data
Portability (Art. 20) — receive your data in a machine-readable format
Objection (Art. 21) — object to processing based on legitimate interest
Withdrawal of consent — at any time, without affecting prior lawful processing

For anonymous accounts, identifying a user upon request is impossible — data is not linked to any identity. Rights can only be exercised by deleting the account (the account code is the sole identifier).

To exercise your rights: [email protected]

If you believe your rights have been violated, you may file a complaint with a supervisory authority. For users in Spain: AEPD (aepd.es). For users in other EU countries — the relevant national authority.

10. Account Deletion

You may delete your account at any time from the dashboard or by requesting at [email protected]. Upon deletion, all associated data is permanently destroyed within 30 days. Payment records are retained per the terms in section 7.

11. International Data Transfers

All ByGate VPN infrastructure is located in the European Union. No personal data is transferred outside the EU, except where a payment service (WATA, Cryptomus) processes data under its own policies.

12. Policy Updates

We notify email account users of material changes at least 14 days before they take effect. The current version is always available at bygate.net/privacy.

13. Contact

For privacy and GDPR-related inquiries:

Email: [email protected]
Support: [email protected]
ByGate S.L.
C/ de la Reina 24, 46011, Valencia, España