Lumaktaw sa nilalaman

Legal

Privacy Policy

Huling inupdate:  ·  4 minutong pagbabasa

01.

Overview

Ang FreeBillGen ay isang libreng hosted service na pinapatakbo ng MB Libranet (Vilnius, Lithuania) sa freebillgen.com. Ang MB Libranet ay ang nag-iisang data controller para sa bawat bisita sa ilalim ng GDPR Article 4(7), at nalalapat ang policy na ito sa lahat ng paggamit ng serbisyo.

Sinulat ang policy na ito alinsunod sa Articles 13 at 14 ng EU General Data Protection Regulation (Regulation (EU) 2016/679, "GDPR") at sa Republic of Lithuania Law on Legal Protection of Personal Data. Sinasabi nito sa iyo kung anong kinokolekta namin, bakit, sino pa ang nakakakita, gaano katagal namin tinatago, at paano i-exercise ang iyong karapatan.

02.

Sino ang data controller

Ang nag-iisang data controller ay MB Libranet (Vilnius, Lithuania). Para sa privacy enquiries, sumulat sa [email protected]. Buong legal entity details ay nasa company information page.

Hindi kami nag-appoint ng Data Protection Officer dahil hindi nakakapasok sa GDPR Article 37 thresholds ang aming processing. Maaabot ang operator na may pananagutan sa data protection sa email address sa itaas.

03.

Anong data ang prinoproseso namin

Kapag ginamit mo ang FreeBillGen sa freebillgen.com, prinoproseso namin ang sumusunod na limitadong kategorya ng personal data, sa nakalistang legal bases:

  • Account data. Iyong pangalan, email address, at bcrypt-hashed password (o passkey public key). Lawful basis: Performance of contract - Art. 6(1)(b) GDPR.
  • Invoice at client data na ginagawa mo. Tanging data na pinili mong ipasok: pangalan ng kliyente, address, VAT numbers, line items, totals, payment status. Lawful basis: Performance of contract - Art. 6(1)(b) GDPR.
  • Session at security cookies. Naka-sign na session cookie at CSRF token cookie na ginagamit upang panatilihin kang naka-sign in at i-block ang forged requests. Lawful basis: Strictly necessary - Art. 6(1)(f), legitimate interests.
  • Server logs. IP address, user-agent, at request metadata, panandaliang itinatago para sa pag-iwas sa abuso at debugging. Lawful basis: Legitimate interests - Art. 6(1)(f) GDPR.
  • VIES audit log. Kapag nag-validate ka ng EU buyer VAT ID, itinatago namin ang request identifier, ang queried country at numero, at ang response, bilang ebidensya sa ilalim ng Council Regulation (EU) 904/2010 Article 31. Lawful basis: Legal obligation - Art. 6(1)(c) GDPR.

Ilan sa data na ito ay hindi sa iyo kundi sa iyong invoice clients (Art. 14 GDPR). Ang source ng data na iyon ay ikaw - tumatanggap kami nito dahil lang ipinapasok mo ito sa invoice mo. Prinoproseso namin ito sa basehan ng kontrata namin sa iyo, at sa iyong legitimate interest bilang business operator sa pagpapanatili ng tax-compliant invoice record.

Hindi namin ibinebenta ang data mo. Hindi namin ibinabahagi ito sa advertiser, broker, o analytics network. Hindi kami nagpapatakbo ng tracking, profiling, o behavioural targeting.

04.

Mga sub-processor

Umaasa ang FreeBillGen sa sadyang maliit na set ng sub-processors. Wala sa kanila ang advertising o analytics network. Ang bawat isa ay nakatali sa Data Processing Addendum at prinoproseso lamang ang minimum data na kailangan para sa kanilang function.

SMTP2GO (transactional email)

Kapag nagpadala ka ng invoice sa email o tumanggap ng system notification, ipinapadala ang mensahe sa pamamagitan ng SMTP2GO sa kanilang EU region (mail-eu.smtp2go.com). Ibinahaging data: sender, recipient address, subject, body, at anumang attached PDF. Itinatag ang SMTP2GO Inc. sa New Zealand na may EU infrastructure; saklaw ng Standard Contractual Clauses ang mga transfer.

Cloudflare Turnstile (bot protection)

Nagpapakita ang /login at /register na form ng Cloudflare Turnstile challenge upang i-block ang automated abuse. Naglo-load ang widget mula sa challenges.cloudflare.com at nakikipagpalitan ng panandaliang token sa siteverify endpoint ng Cloudflare. Ibinahaging data: ang iyong IP address, user-agent, at one-time challenge token. Hindi nag-iimbak ng tracking cookies ang Turnstile at hindi ito ginagamit para sa advertising. Ang Cloudflare, Inc. ay nasa US; saklaw ng EU-US Data Privacy Framework at Standard Contractual Clauses ang mga transfer.

bunny.net (font CDN)

Naglo-load ang site ng dalawang web font mula sa fonts.bunny.net, isang privacy-friendly na font CDN na pinapatakbo ng BunnyWay d.o.o. (Slovenia, EU). Ibinahaging data: iyong IP address at user-agent sa tagal ng font request. Tingnan ang kanilang privacy statement.

European Commission VIES (VAT validation)

Kapag nag-validate ka ng buyer VAT ID, ipinapadala ang country code at VAT number na pinasok mo sa VAT Information Exchange System (VIES) ng European Commission sa ec.europa.eu. Ang recipient ay isang institusyon ng EU; pinangangasiwaan ang processing ng Regulation (EU) 2018/1725.

Hosting at PDF rendering (in-house)

Tumatakbo ang application sa dedicated infrastructure sa loob ng European Union. Nire-render ang invoice PDFs in-house gamit ang mPDF sa sariling servers namin. Walang involved na third-party PDF-as-a-service o hosting reseller.

Walang Google services. Walang Meta o Facebook pixels. Walang analytics SDK. Walang third-party error-reporting service.

05.

Cookies

Naglalagay lamang ang FreeBillGen ng strictly necessary na cookies. Sa ilalim ng Article 5(3) ng ePrivacy Directive (2002/58/EC), hindi nangangailangan ng pahintulot ang strictly necessary cookies, kaya hindi ka nakakakita ng cookie banner.

Session cookie

Pinapanatili kang naka-sign in at inaalala ang napiling interface language para sa session. Mag-e-expire kapag nag-log out ka o naabot ang session lifetime.

HTTP-only · Secure · SameSite=Lax
CSRF token cookie (XSRF-TOKEN)

Nagdadala ng per-session anti-forgery token na ginagamit upang i-verify na nanggaling sa site na ito ang state-changing requests. Kinakailangan ng framework para sa anumang signed-in action.

Secure · SameSite=Lax

Walang analytics cookies. Walang advertising cookies. Walang third-party cookies na nilalagay ng FreeBillGen. Maaaring maglagay ang Cloudflare Turnstile challenge na inilarawan sa Section 04 ng sariling panandaliang cookie na nasa scope ng challenges.cloudflare.com; strictly necessary ang cookie na iyon para sa bot-protection challenge at hindi ginagamit para sa tracking.

06.

Pagpapanatili ng data

Pinapanatili ang account at invoice data habang aktibo ang iyong account. Sa pagtanggal ng account, lahat ng standard personal data ay tinatanggal sa loob ng 30 araw, maliban kung saan hinihingi ng Lithuanian accounting law (na nagtatakda ng 10-taong retention period para sa invoice records) na panatilihin namin ang ilang dokumento nang mas matagal - sa kasong iyon, ililipat ang mga record na iyon sa access-restricted archive at hahawakan lamang habang legal na kailangan.

Pinapanatili ang server logs hanggang 30 araw maliban na lang kung kailangan pa ang mga ito para sa active security investigation. Pinapanatili ang VIES audit-log rows nang hindi bababa sa 10 taon upang masiyahan ang evidentiary requirements ng Council Regulation (EU) 904/2010.

07.

Iyong mga karapatan sa ilalim ng GDPR

Sa ilalim ng GDPR mayroon kang karapatan sa access (Art. 15), rectification (Art. 16), erasure (Art. 17), restriction of processing (Art. 18), data portability (Art. 20), at objection (Art. 21). Kung saan nakabase sa pahintulot ang processing, maaari mong bawiin ito anumang oras (Art. 7(3)).

Mayroon ka ring karapatan sa ilalim ng Article 77 GDPR na maghain ng reklamo sa supervisory authority - karaniwang ang nasa EU/EEA na bansa kung saan ka nakatira, nagtatrabaho, o kung saan naganap ang inilegrong paglabag. Dahil itinatag ang operator sa Lithuania, ang lead authority ay ang State Data Protection Inspectorate (State Data Protection Inspectorate of Lithuania, VDAI).

Para sa step-by-step na gabay kung paano i-exercise ang bawat karapatan, kasama ang timeline at kung anong ilagay sa request, tingnan ang nakatuon na GDPR rights page.

08.

Automated decision-making

Hindi gumagamit ang FreeBillGen ng automated decision-making o profiling sa kahulugan ng Article 22 GDPR. Walang desisyon na may legal o katulad-na-mahalagang epekto sa iyo na ginagawa lamang sa pamamagitan ng automated means. Hindi kami gumagawa ng score, ranking, o profile ng users para sa advertising, credit, fraud, o anumang ibang layunin.

09.

Seguridad ng data

Mga teknikal at organisasyonal na hakbang (Art. 32 GDPR):

  • Pasword na nakatago bilang bcrypt hashes; sinusuportahan ang passkeys (WebAuthn).
  • Optional na time-based 2FA sa pamamagitan ng anumang TOTP-compatible authenticator app.
  • CSRF tokens sa bawat state-changing request.
  • Parameterised queries sa lahat - walang string-concatenated SQL.
  • HTTPS/TLS in transit; naka-enable ang HTTP Strict Transport Security.
  • Content Security Policy at iba pang hardening headers.
  • Application-layer audit log para sa security-sensitive actions.
  • Encrypted database backups na may restricted access.
10.

International transfers

Bilang default, prinoproseso ang personal data sa loob ng European Union. Dalawa sa sub-processors na nakalista sa Section 04 ay maaaring mag-involve ng transfer sa third country:

  • Cloudflare Turnstile - mga transfer sa United States, na saklaw ng EU-US Data Privacy Framework at Standard Contractual Clauses ng European Commission.
  • SMTP2GO - itinatag ang operating company sa New Zealand (isang bansa na may European Commission adequacy decision) at gumagamit ng EU-region infrastructure para sa delivery. Kung saan nangyayari ang transfer, saklaw ito ng Standard Contractual Clauses.

Walang ibang transfer sa third country na nangyayari. Kung magbago ito, aasa kami sa naaangkop na GDPR Chapter V transfer mechanism at i-update ang policy na ito bago magsimula ang bagong transfer.

11.

Mga bata

Ang FreeBillGen ay isang business tool at hindi nakatuon sa mga batang wala pang 16. Hindi kami sinasadyang nangongolekta ng personal data mula sa bata.

12.

Mga pagbabago sa policy

Kung magkakaroon kami ng material changes, ila-publish namin ang updated text sa pahinang ito na may bagong "last updated" na petsa at aabisuhan ang aktibong account sa email. Ang kasalukuyang version ay tinutukoy ng petsa sa itaas ng pahina.

13.

Contact

Mga tanong sa privacy at rights requests: [email protected]. Postal address at buong legal entity details ay nasa company information page.