Перейти к содержимому

Юридическая информация

Политика конфиденциальности

Последнее обновление:  ·  Чтение: 4 мин.

01.

Обзор

FreeBillGen - это бесплатный хостинг-сервис, который ведёт MB Libranet (Вильнюс, Литва) по адресу freebillgen.com. MB Libranet является единственным контролёром данных каждого посетителя по ст. 4(7) GDPR, и эта политика действует на всё использование сервиса.

Эта политика составлена в соответствии со ст. 13 и 14 Общего регламента ЕС по защите данных (Регламент (ЕС) 2016/679, GDPR) и Законом Литовской Республики о правовой защите персональных данных. Она объясняет, что мы собираем, для чего, кто ещё это видит, как долго мы это храним и как реализовать ваши права.

02.

Кто является контролёром данных

Единственный контролёр данных - MB Libranet (Vilnius, Lithuania). По вопросам конфиденциальности пишите на [email protected]. Полные реквизиты юридического лица - на странице с реквизитами.

Мы не назначали уполномоченного по защите данных, поскольку наша обработка не достигает порогов ст. 37 GDPR. Оператор, отвечающий за защиту данных, доступен по указанному выше адресу.

03.

Какие данные мы обрабатываем

Когда вы пользуетесь FreeBillGen на freebillgen.com, мы обрабатываем следующие ограниченные категории персональных данных на указанных правовых основаниях:

  • Данные аккаунта. Ваше имя, адрес электронной почты и bcrypt-хэш пароля (или открытый ключ passkey). Правовое основание: Исполнение договора - ст. 6(1)(b) GDPR.
  • Данные счетов и клиентов, которые вы создаёте. Только те данные, которые вы сами вводите: имена клиентов, адреса, НДС-номера, позиции, итоги, статус оплаты. Правовое основание: Исполнение договора - ст. 6(1)(b) GDPR.
  • Сессионные и защитные cookie. Подписанный сессионный cookie и cookie с CSRF-токеном, удерживающие вход и блокирующие подделанные запросы. Правовое основание: Строго необходимо - ст. 6(1)(f), законные интересы.
  • Серверные логи. IP-адрес, user-agent и метаданные запроса, хранящиеся короткое время для борьбы с злоупотреблениями и отладки. Правовое основание: Законные интересы - ст. 6(1)(f) GDPR.
  • Аудит-лог VIES. Когда вы проверяете НДС-ID покупателя из ЕС, мы храним идентификатор запроса, страну и номер, по которым обращались, и ответ - в качестве доказательства по ст. 31 Регламента Совета (ЕС) 904/2010. Правовое основание: Юридическая обязанность - ст. 6(1)(c) GDPR.

Часть этих данных принадлежит не вам, а вашим клиентам по счетам (ст. 14 GDPR). Источник этих данных - вы; мы получаем их только потому, что вы вносите их в свои счета. Мы обрабатываем их на основании договора с вами и вашего законного интереса как бизнес-оператора в ведении налогово корректной отчётности.

Мы никогда не продаём ваши данные. Мы не делимся ими с рекламодателями, брокерами или аналитическими сетями. Мы не ведём отслеживания, профилирования или поведенческого таргетинга.

04.

Субпроцессоры

FreeBillGen опирается на сознательно небольшой набор субпроцессоров. Среди них нет рекламных или аналитических сетей. С каждым подписано соглашение об обработке данных, и каждый обрабатывает только минимум данных, необходимый для своей функции.

SMTP2GO (транзакционная почта)

Когда вы отправляете счёт по электронной почте или получаете системное уведомление, сообщение уходит через SMTP2GO в её ЕС-регионе (mail-eu.smtp2go.com). Передаваемые данные: отправитель, адрес получателя, тема, тело и любой прикреплённый PDF. SMTP2GO Inc. зарегистрирована в Новой Зеландии с инфраструктурой в ЕС; передачи покрываются Стандартными договорными положениями.

Cloudflare Turnstile (защита от ботов)

Формы /login и /register отображают проверку Cloudflare Turnstile, чтобы блокировать автоматизированные злоупотребления. Виджет загружается с challenges.cloudflare.com и обменивается короткоживущим токеном с эндпоинтом siteverify Cloudflare. Передаваемые данные: ваш IP-адрес, user-agent и одноразовый токен. Turnstile не устанавливает отслеживающие cookie и не используется для рекламы. Cloudflare, Inc. находится в США; передачи покрываются EU-US Data Privacy Framework и Стандартными договорными положениями.

bunny.net (CDN шрифтов)

Сайт загружает два веб-шрифта с fonts.bunny.net - дружественной к приватности CDN, эксплуатируемой BunnyWay d.o.o. (Словения, ЕС). Передаваемые данные: ваш IP-адрес и user-agent на время запроса шрифта. См. их заявление о конфиденциальности.

VIES Европейской комиссии (проверка НДС)

Когда вы проверяете НДС-ID покупателя, введённые код страны и номер НДС отправляются в систему обмена информацией о НДС Европейской комиссии (VIES) на ec.europa.eu. Получатель - институт ЕС; обработка регулируется Регламентом (ЕС) 2018/1725.

Хостинг и генерация PDF (своими силами)

Приложение работает на выделенной инфраструктуре в Европейском союзе. PDF-счета генерируются у нас на собственных серверах с помощью mPDF. Сторонние сервисы PDF-as-a-service или хостинг-реселлеры не задействованы.

Никаких сервисов Google. Никаких пикселей Meta или Facebook. Никаких аналитических SDK. Никаких сторонних сервисов отчётов об ошибках.

05.

Файлы cookie

FreeBillGen устанавливает только строго необходимые cookie. Согласно ст. 5(3) Директивы об электронной приватности (2002/58/EC), строго необходимые cookie не требуют согласия, поэтому вы не видите cookie-баннер.

Сессионный cookie

Удерживает вход и запоминает выбранный язык интерфейса на время сессии. Истекает при выходе или по достижении срока жизни сессии.

HTTP-only · Secure · SameSite=Lax
Cookie с CSRF-токеном (XSRF-TOKEN)

Содержит сессионный анти-подделочный токен, проверяющий, что изменяющие состояние запросы пришли с этого сайта. Требуется фреймворком для любых действий после входа.

Secure · SameSite=Lax

Нет аналитических cookie. Нет рекламных cookie. FreeBillGen не устанавливает сторонних cookie. Проверка Cloudflare Turnstile, описанная в разделе 04, может установить собственный короткоживущий cookie, привязанный к challenges.cloudflare.com; этот cookie строго необходим для проверки от ботов и не используется для отслеживания.

06.

Хранение данных

Данные аккаунта и счетов хранятся, пока ваш аккаунт активен. После удаления аккаунта все стандартные персональные данные удаляются в течение 30 дней, кроме случаев, когда литовский закон о бухгалтерском учёте (10 лет хранения для записей счетов) требует более длительного хранения определённых документов - в этом случае такие записи переносятся в архив с ограниченным доступом и хранятся только сколько требует закон.

Серверные логи хранятся до 30 дней, если они не нужны дольше для активного расследования инцидента. Записи аудит-лога VIES хранятся не менее 10 лет в соответствии с доказательственными требованиями Регламента Совета (ЕС) 904/2010.

07.

Ваши права по GDPR

По GDPR у вас есть права на доступ (ст. 15), исправление (ст. 16), удаление (ст. 17), ограничение обработки (ст. 18), переносимость данных (ст. 20) и возражение (ст. 21). Если обработка основана на согласии, вы можете отозвать его в любое время (ст. 7(3)).

Также у вас есть право по ст. 77 GDPR подать жалобу в надзорный орган - обычно того государства ЕС/ЕЭП, где вы живёте, работаете или где предположительно произошло нарушение. Поскольку оператор зарегистрирован в Литве, ведущим органом является Государственная инспекция по защите данных (State Data Protection Inspectorate of Lithuania, VDAI).

Пошаговое руководство, как воспользоваться каждым правом, со сроками и тем, что включить в запрос, - на отдельной странице о правах GDPR.

08.

Автоматизированные решения

FreeBillGen не использует автоматизированное принятие решений или профилирование в смысле ст. 22 GDPR. Решения, имеющие юридические или подобные значимые последствия для вас, не принимаются исключительно автоматически. Мы не оцениваем, не ранжируем и не профилируем пользователей в целях рекламы, кредитования, борьбы с мошенничеством или иных целей.

09.

Безопасность данных

Технические и организационные меры (ст. 32 GDPR):

  • Пароли хранятся в виде bcrypt-хэшей; поддерживаются passkey (WebAuthn).
  • Опциональная 2FA на основе времени через любое TOTP-совместимое приложение.
  • CSRF-токены при каждом изменяющем состояние запросе.
  • Параметризированные запросы повсюду - никакого SQL через конкатенацию строк.
  • HTTPS/TLS при передаче; включён HTTP Strict Transport Security.
  • Content Security Policy и другие заголовки усиления безопасности.
  • Аудит-лог уровня приложения для действий, чувствительных к безопасности.
  • Зашифрованные резервные копии БД с ограниченным доступом.
10.

Международные передачи

По умолчанию персональные данные обрабатываются внутри Европейского союза. Два субпроцессора, перечисленных в разделе 04, могут предполагать передачу в третью страну:

  • Cloudflare Turnstile - передачи в США, покрываются EU-US Data Privacy Framework и Стандартными договорными положениями Европейской комиссии.
  • SMTP2GO - управляющая компания зарегистрирована в Новой Зеландии (страна с решением Европейской комиссии об адекватности) и использует инфраструктуру в ЕС-регионе. Где происходят передачи, они покрываются Стандартными договорными положениями.

Других передач в третьи страны не происходит. Если это изменится, мы будем опираться на соответствующий механизм передач из Главы V GDPR и обновим эту политику до начала новой передачи.

11.

Дети

FreeBillGen - инструмент для бизнеса и не предназначен для детей младше 16 лет. Мы сознательно не собираем персональные данные детей.

12.

Изменения этой политики

Если мы внесём существенные изменения, мы опубликуем обновлённый текст на этой странице с новой датой «последнее обновление» и уведомим активные аккаунты по электронной почте. Текущая версия определяется датой вверху страницы.

13.

Контакт

Вопросы по конфиденциальности и запросы прав: [email protected]. Почтовый адрес и полные реквизиты юридического лица - на странице с реквизитами.