आढावा
FreeBillGen ही freebillgen.com येथे विनामूल्य होस्टेड पावती सेवा आहे. हे धोरण स्पष्ट करते की आम्ही कोणता वैयक्तिक डेटा गोळा करतो, का, इतर कोण तो पाहतो, आम्ही तो किती काळ ठेवतो आणि EU कायद्यांतर्गत आपल्याला कोणते हक्क आहेत.
हे EU सामान्य डेटा संरक्षण विनियमन (विनियमन (EU) 2016/679, "GDPR") च्या अनुच्छेद १३ आणि १४ तसेच लिथुआनिया प्रजासत्ताकाच्या वैयक्तिक डेटाच्या कायदेशीर संरक्षणाच्या कायद्याचे पालन करण्यासाठी लिहिले गेले आहे. पुढील विभाग डेटा नियंत्रक ओळखतो; उर्वरित पृष्ठ प्रत्येक विषय क्रमाने कव्हर करते.
डेटा नियंत्रक कोण आहे
सेवा MB Libranet द्वारे संचालित आहे, Vilnius, Lithuania येथे स्थित एक लहान भागीदारी, आणि GDPR कलम ४(७) अंतर्गत एकमेव डेटा नियंत्रक आहे. गोपनीयतेच्या चौकशीसाठी, [email protected] वर लिहा. नोंदणी आणि VAT कोडांसह संपूर्ण कायदेशीर घटक तपशील कंपनी माहिती पृष्ठावर आहेत.
आमच्या प्रक्रियेने GDPR कलम ३७ चा उंबरठा पूर्ण होत नसल्यामुळे आम्ही डेटा संरक्षण अधिकारी नियुक्त केलेला नाही. डेटा संरक्षणासाठी जबाबदार व्यक्ती वरील ईमेल पत्त्यावर संपर्कयोग्य आहे.
आम्ही कोणता डेटा प्रक्रिया करतो
आम्ही खालील मर्यादित श्रेणींचा वैयक्तिक डेटा सूचीबद्ध कायदेशीर आधारांवर प्रक्रिया करतो:
- खाते डेटा. आपले नाव, ईमेल पत्ता आणि bcrypt-हॅश केलेला पासवर्ड (किंवा पासकी सार्वजनिक की). कायदेशीर आधार: कराराची अंमलबजावणी — कलम ६(१)(b) GDPR.
- आपण तयार केलेला पावती आणि ग्राहक डेटा. केवळ आपण प्रविष्ट करणे निवडलेला डेटा: ग्राहकांची नावे, पत्ते, VAT क्रमांक, ओळी आयटम, एकूण रक्कम, देयक स्थिती. कायदेशीर आधार: कराराची अंमलबजावणी — कलम ६(१)(b) GDPR.
- सत्र आणि सुरक्षा कुकीज. आपल्याला साइन-इन ठेवण्यासाठी आणि बनावट विनंत्या रोखण्यासाठी वापरली जाणारी स्वाक्षरित सत्र कुकी आणि CSRF टोकन कुकी. कायदेशीर आधार: अत्यंत आवश्यक — कलम ६(१)(f), वैध हितसंबंध.
- सर्व्हर लॉग. IP पत्ता, वापरकर्ता-एजंट आणि विनंती मेटाडेटा, गैरवापर प्रतिबंध आणि डीबगिंगसाठी थोडक्यात ठेवला जातो. कायदेशीर आधार: वैध हितसंबंध — कलम ६(१)(f) GDPR.
- VIES ऑडिट लॉग. जेव्हा आपण EU खरेदीदार VAT ID सत्यापित करता, तेव्हा आम्ही परिषद विनियमन (EU) ९०४/२०१० कलम ३१ अंतर्गत पुरावा म्हणून विनंती ओळखकर्ता, क्वेरी केलेला देश आणि क्रमांक आणि प्रतिसाद संग्रहित करतो. कायदेशीर आधार: कायदेशीर बंधन — कलम ६(१)(c) GDPR.
यातील काही डेटा आपला नाही तर आपल्या पावती ग्राहकांचा आहे (GDPR कलम १४). त्या डेटाचा स्रोत आपणच आहात — आपण तो आपल्या पावत्यांमध्ये प्रविष्ट करता म्हणूनच आम्हाला तो मिळतो. आम्ही तो आपल्याशी आमच्या कराराच्या कायदेशीर आधारावर आणि कर-अनुरूप पावती रेकॉर्ड ठेवण्यात व्यवसाय चालकाच्या रूपात आपल्या वैध हितसंबंधांवर प्रक्रिया करतो.
आम्ही आपला डेटा कधीही विकत नाही. आम्ही तो जाहिरातदार, दलाल किंवा विश्लेषण नेटवर्कशी सामायिक करत नाही आणि आम्ही कोणतेही ट्रॅकिंग, प्रोफाइलिंग किंवा वर्तणुकीनुसार लक्ष्यीकरण चालवत नाही.
उप-प्रोसेसर
आम्ही जाणीवपूर्वक उप-प्रोसेसरच्या लहान संचावर अवलंबून असतो. त्यांपैकी कोणीही जाहिरात किंवा विश्लेषण नेटवर्क नाहीत. प्रत्येक डेटा प्रक्रिया संलग्नकाने बांधला गेला आहे आणि त्याच्या कार्यासाठी आवश्यक किमान डेटाच प्रक्रिया करतो.
SMTP2GO (व्यवहारात्मक ईमेल)
जेव्हा आपण ईमेलद्वारे पावती पाठवता किंवा प्रणाली अधिसूचना प्राप्त करता, तेव्हा संदेश SMTP2GO च्या EU प्रदेशाद्वारे (mail-eu.smtp2go.com) पाठवला जातो. सामायिक डेटा: प्रेषक, प्राप्तकर्त्याचा पत्ता, विषय, मुख्य भाग आणि कोणताही संलग्न PDF. SMTP2GO Inc. EU पायाभूत सुविधांसह न्यूझीलंडमध्ये स्थापित आहे; हस्तांतरण मानक करारात्मक कलमांद्वारे कव्हर केले जातात.
Cloudflare Turnstile (बॉट संरक्षण)
/login आणि /register फॉर्म स्वयंचलित गैरवापर रोखण्यासाठी Cloudflare Turnstile आव्हान प्रस्तुत करतात. विजेट challenges.cloudflare.com वरून लोड होते आणि Cloudflare च्या siteverify एंडपॉइंटसह अल्पकालीन टोकनची देवाणघेवाण करते. सामायिक डेटा: आपला IP पत्ता, वापरकर्ता-एजंट आणि एकवेळ आव्हान टोकन. Turnstile ट्रॅकिंग कुकीज सेट करत नाही आणि जाहिरातीसाठी वापरला जात नाही. Cloudflare, Inc. US-आधारित आहे; हस्तांतरण EU-US Data Privacy Framework आणि मानक करारात्मक कलमांद्वारे कव्हर केले जातात.
bunny.net (फॉन्ट CDN)
साइट fonts.bunny.net वरून दोन वेब फॉन्ट लोड करते, BunnyWay d.o.o. (स्लोव्हेनिया, EU) द्वारे संचालित गोपनीयता-अनुकूल फॉन्ट CDN. सामायिक डेटा: फॉन्ट विनंतीच्या कालावधीसाठी आपला IP पत्ता आणि वापरकर्ता-एजंट. त्यांचे गोपनीयता विधान पहा.
युरोपियन कमिशन VIES (VAT सत्यापन)
जेव्हा आपण खरेदीदार VAT ID सत्यापित करता, तेव्हा आपण प्रविष्ट केलेला देश कोड आणि VAT क्रमांक युरोपियन कमिशनच्या VAT Information Exchange System (VIES) ला ec.europa.eu वर पाठवले जातात. प्राप्तकर्ता EU संस्था आहे; प्रक्रिया विनियमन (EU) २०१८/१७२५ द्वारे नियंत्रित आहे.
होस्टिंग आणि PDF रेंडरिंग (अंतर्गत)
अनुप्रयोग युरोपियन युनियनमधील समर्पित पायाभूत सुविधांवर चालतो. पावती PDFs आमच्या स्वतःच्या सर्व्हरवर mPDF वापरून अंतर्गत रेंडर केले जातात. कोणतेही तृतीय-पक्ष PDF-as-a-service किंवा होस्टिंग पुनर्विक्रेता सामील नाही.
कोणत्याही Google सेवा नाहीत. कोणतेही Meta किंवा Facebook पिक्सेल नाहीत. कोणतेही विश्लेषण SDK नाहीत. कोणत्याही तृतीय-पक्ष त्रुटी-अहवाल सेवा नाहीत.
डेटा धारणा
खाते आणि पावती डेटा आपले खाते सक्रिय असेपर्यंत ठेवला जातो. खाते हटवताना, लिथुआनियन लेखा कायद्याने (जो पावती रेकॉर्डसाठी १०-वर्षांचा धारण कालावधी निर्धारित करतो) आम्हाला विशिष्ट दस्तऐवज अधिक काळ ठेवण्यास आवश्यक असेल तेथील अपवाद वगळता सर्व मानक वैयक्तिक डेटा ३० दिवसांत काढला जातो — अशा स्थितीत ते रेकॉर्ड प्रवेश-प्रतिबंधित संग्रहात हस्तांतरित केले जातात आणि केवळ कायदेशीर दृष्ट्या आवश्यक तोपर्यंत ठेवले जातात.
सर्व्हर लॉग सक्रिय सुरक्षा तपासणीसाठी अधिक काळ आवश्यक असल्याशिवाय ३० दिवसांपर्यंत ठेवले जातात. परिषद विनियमन (EU) ९०४/२०१० च्या पुराव्यांच्या आवश्यकता पूर्ण करण्यासाठी VIES ऑडिट-लॉग पंक्ती किमान १० वर्षे ठेवल्या जातात.
GDPR अंतर्गत आपले हक्क
GDPR अंतर्गत आपल्याला प्रवेश (कलम १५), सुधारणा (कलम १६), मिटवणे (कलम १७), प्रक्रियेवर निर्बंध (कलम १८), डेटा पोर्टेबिलिटी (कलम २०) आणि आक्षेप (कलम २१) चे हक्क आहेत. जेथे प्रक्रिया संमतीवर आधारित आहे, आपण ती कोणत्याही वेळी मागे घेऊ शकता (कलम ७(३)).
GDPR कलम ७७ अंतर्गत आपल्याला पर्यवेक्षी प्राधिकरणाकडे तक्रार दाखल करण्याचाही हक्क आहे — सामान्यत: EU/EEA देशात जेथे आपण राहता, काम करता किंवा कथित उल्लंघन झाले. चालक लिथुआनियात स्थापित असल्याने, प्रमुख प्राधिकरण राज्य डेटा संरक्षण निरीक्षणालय (State Data Protection Inspectorate of Lithuania, VDAI) आहे.
प्रत्येक हक्काचा वापर कसा करावा याबद्दल चरण-दर-चरण मार्गदर्शनासाठी, मुदती आणि विनंतीत काय समाविष्ट करावे यासह, समर्पित GDPR हक्क पृष्ठ पहा.
स्वयंचलित निर्णय-निर्मिती
FreeBillGen GDPR कलम २२ च्या अर्थाने स्वयंचलित निर्णय-निर्मिती किंवा प्रोफाइलिंग वापरत नाही. आपल्यावर कायदेशीर किंवा तत्सम महत्त्वपूर्ण परिणाम घडवणारा कोणताही निर्णय केवळ स्वयंचलित माध्यमांनी घेतला जात नाही. आम्ही जाहिरात, पत, फसवणूक किंवा इतर कोणत्याही उद्देशासाठी वापरकर्त्यांना गुण, क्रम किंवा प्रोफाइल देत नाही.
डेटा सुरक्षा
तांत्रिक आणि संघटनात्मक उपाय (कलम ३२ GDPR):
- पासवर्ड bcrypt हॅश म्हणून संग्रहित; पासकी (WebAuthn) समर्थित.
- कोणत्याही TOTP-सुसंगत प्रमाणीकरण अनुप्रयोगाद्वारे ऐच्छिक वेळ-आधारित 2FA.
- प्रत्येक स्थिती-बदल करणाऱ्या विनंतीवर CSRF टोकन.
- सर्वत्र पॅरामीटराइज्ड क्वेरी — स्ट्रिंग-जोडलेला SQL नाही.
- पारेषणात HTTPS/TLS; HTTP Strict Transport Security सक्षम.
- Content Security Policy आणि इतर हार्डनिंग हेडर.
- सुरक्षा-संवेदनशील क्रियांसाठी अनुप्रयोग-स्तर ऑडिट लॉग.
- प्रतिबंधित प्रवेशासह एन्क्रिप्टेड डेटाबेस बॅकअप.
आंतरराष्ट्रीय हस्तांतरण
वैयक्तिक डेटा डिफॉल्टनुसार युरोपियन युनियनमध्ये प्रक्रिया केला जातो. विभाग ०४ मध्ये नमूद केलेल्या दोन उप-प्रोसेसरमध्ये तृतीय देशात हस्तांतरण समाविष्ट असू शकते:
- Cloudflare Turnstile — अमेरिकेत हस्तांतरण, EU-US Data Privacy Framework आणि युरोपियन कमिशनच्या मानक करारात्मक कलमांद्वारे कव्हर.
- SMTP2GO — संचालन कंपनी न्यूझीलंडमध्ये स्थापित आहे (युरोपियन कमिशनच्या पर्याप्तता निर्णयाचा देश) आणि वितरणासाठी EU-प्रदेश पायाभूत सुविधा वापरते. जेथे हस्तांतरण होतात, ते मानक करारात्मक कलमांद्वारे कव्हर केले जातात.
तृतीय देशांमध्ये इतर कोणतेही हस्तांतरण होत नाही. हे बदलल्यास, आम्ही योग्य GDPR अध्याय V हस्तांतरण यंत्रणेवर अवलंबून राहू आणि नवीन हस्तांतरण सुरू होण्यापूर्वी हे धोरण अद्ययावत करू.
मुले
FreeBillGen हे व्यावसायिक साधन आहे आणि १६ वर्षांखालील मुलांसाठी नाही. आम्ही जाणीवपूर्वक मुलांकडून वैयक्तिक डेटा गोळा करत नाही.
या धोरणातील बदल
जर आम्ही महत्त्वपूर्ण बदल केले, तर आम्ही या पृष्ठावर नवीन "शेवटचे अद्ययावत" तारखेसह अद्ययावत मजकूर प्रकाशित करू आणि सक्रिय खात्यांना ईमेलद्वारे सूचित करू. सध्याची आवृत्ती पृष्ठाच्या शीर्षावरील तारखेद्वारे ओळखली जाते.
संपर्क
गोपनीयता प्रश्न आणि हक्क विनंत्या: [email protected]. टपाल पत्ता आणि संपूर्ण कायदेशीर घटक तपशील कंपनी माहिती पृष्ठावर आहेत.