Перейти до вмісту

Юридична інформація

Політика конфіденційності

Останнє оновлення:  ·  Читання: 4 хв.

01.

Огляд

FreeBillGen - це безплатний хостинг-сервіс, який веде MB Libranet (Вільнюс, Литва) за адресою freebillgen.com. MB Libranet є єдиним контролером даних кожного відвідувача за ст. 4(7) GDPR, і ця політика діє на все використання сервісу.

Цю політику складено відповідно до ст. 13 і 14 Загального регламенту ЄС із захисту даних (Регламент (ЄС) 2016/679, GDPR) і Закону Литовської Республіки про правовий захист персональних даних. Вона пояснює, що ми збираємо, для чого, хто ще це бачить, як довго ми це зберігаємо і як скористатися своїми правами.

02.

Хто є контролером даних

Єдиний контролер даних - MB Libranet (Vilnius, Lithuania). З питань конфіденційності пишіть на [email protected]. Повні реквізити юридичної особи - на сторінці з реквізитами.

Ми не призначали уповноваженого із захисту даних, оскільки наша обробка не сягає порогів ст. 37 GDPR. Оператор, що відповідає за захист даних, доступний за вказаною вище адресою.

03.

Які дані ми обробляємо

Коли ви користуєтесь FreeBillGen на freebillgen.com, ми обробляємо такі обмежені категорії персональних даних на вказаних правових підставах:

  • Дані акаунта. Ваше імʼя, адреса електронної пошти і bcrypt-хеш пароля (або відкритий ключ passkey). Правова підстава: Виконання договору - ст. 6(1)(b) GDPR.
  • Дані рахунків і клієнтів, які ви створюєте. Лише ті дані, які ви самі вводите: імена клієнтів, адреси, ПДВ-номери, позиції, підсумки, статус оплати. Правова підстава: Виконання договору - ст. 6(1)(b) GDPR.
  • Сесійні та захисні cookie. Підписаний сесійний cookie і cookie з CSRF-токеном, що утримують вхід і блокують підроблені запити. Правова підстава: Суворо необхідно - ст. 6(1)(f), законні інтереси.
  • Серверні логи. IP-адреса, user-agent і метадані запиту, що зберігаються короткий час для боротьби зі зловживаннями та налагодження. Правова підстава: Законні інтереси - ст. 6(1)(f) GDPR.
  • Аудит-лог VIES. Коли ви перевіряєте ПДВ-ID покупця з ЄС, ми зберігаємо ідентифікатор запиту, країну і номер, за якими зверталися, і відповідь - як доказ за ст. 31 Регламенту Ради (ЄС) 904/2010. Правова підстава: Юридичний обовʼязок - ст. 6(1)(c) GDPR.

Частина цих даних належить не вам, а вашим клієнтам за рахунками (ст. 14 GDPR). Джерело цих даних - ви; ми отримуємо їх лише тому, що ви вносите їх у свої рахунки. Ми обробляємо їх на підставі договору з вами та вашого законного інтересу як бізнес-оператора у веденні податково коректної звітності.

Ми ніколи не продаємо ваші дані. Ми не ділимося ними з рекламодавцями, брокерами або аналітичними мережами. Ми не ведемо стеження, профілювання чи поведінкового таргетингу.

04.

Субпроцесори

FreeBillGen спирається на свідомо невеликий набір субпроцесорів. Серед них немає рекламних чи аналітичних мереж. З кожним підписано угоду про обробку даних, і кожен обробляє лише мінімум даних, потрібний для його функції.

SMTP2GO (транзакційна пошта)

Коли ви надсилаєте рахунок електронною поштою або отримуєте системне сповіщення, повідомлення відправляється через SMTP2GO у її ЄС-регіоні (mail-eu.smtp2go.com). Передавані дані: відправник, адреса отримувача, тема, текст і будь-який доданий PDF. SMTP2GO Inc. зареєстрована в Новій Зеландії з інфраструктурою в ЄС; передачі покриваються Стандартними договірними умовами.

Cloudflare Turnstile (захист від ботів)

Форми /login і /register відображають перевірку Cloudflare Turnstile, щоб блокувати автоматизовані зловживання. Віджет завантажується з challenges.cloudflare.com і обмінюється короткоживучим токеном з ендпоінтом siteverify Cloudflare. Передавані дані: ваша IP-адреса, user-agent і одноразовий токен. Turnstile не встановлює стежачих cookie і не використовується для реклами. Cloudflare, Inc. перебуває у США; передачі покриваються EU-US Data Privacy Framework і Стандартними договірними умовами.

bunny.net (CDN шрифтів)

Сайт завантажує два вебшрифти з fonts.bunny.net - дружньої до приватності CDN, яку обслуговує BunnyWay d.o.o. (Словенія, ЄС). Передавані дані: ваша IP-адреса і user-agent на час запиту шрифту. Див. їхню заяву про конфіденційність.

VIES Європейської комісії (перевірка ПДВ)

Коли ви перевіряєте ПДВ-ID покупця, введені код країни і номер ПДВ надсилаються до системи обміну інформацією про ПДВ Європейської комісії (VIES) на ec.europa.eu. Отримувач - інституція ЄС; обробка регулюється Регламентом (ЄС) 2018/1725.

Хостинг і генерація PDF (власними силами)

Застосунок працює на виділеній інфраструктурі в Європейському Союзі. PDF-рахунки генеруються в нас на власних серверах за допомогою mPDF. Сторонні сервіси PDF-as-a-service або хостинг-реселери не задіяні.

Жодних сервісів Google. Жодних пікселів Meta або Facebook. Жодних аналітичних SDK. Жодних сторонніх сервісів звітів про помилки.

05.

Файли cookie

FreeBillGen встановлює лише суворо необхідні cookie. За ст. 5(3) Директиви про електронну приватність (2002/58/EC) суворо необхідні cookie не вимагають згоди, тому ви не бачите cookie-банер.

Сесійний cookie

Утримує вхід і запамʼятовує вибрану мову інтерфейсу на час сесії. Спливає після виходу або після досягнення терміну життя сесії.

HTTP-only · Secure · SameSite=Lax
Cookie з CSRF-токеном (XSRF-TOKEN)

Містить сесійний антипідробний токен, що перевіряє, що змінювальні стан запити надійшли з цього сайту. Потрібен фреймворку для будь-яких дій після входу.

Secure · SameSite=Lax

Немає аналітичних cookie. Немає рекламних cookie. FreeBillGen не встановлює сторонніх cookie. Перевірка Cloudflare Turnstile, описана в розділі 04, може встановити власний короткоживучий cookie, привʼязаний до challenges.cloudflare.com; цей cookie суворо потрібний для перевірки від ботів і не використовується для стеження.

06.

Зберігання даних

Дані акаунта і рахунків зберігаються, поки ваш акаунт активний. Після видалення акаунта всі стандартні персональні дані видаляються протягом 30 днів, крім випадків, коли литовський закон про бухгалтерський облік (10 років зберігання для записів рахунків) вимагає триваліше зберігання певних документів - тоді такі записи переносяться в архів з обмеженим доступом і зберігаються лише стільки, скільки вимагає закон.

Серверні логи зберігаються до 30 днів, якщо вони не потрібні довше для активного розслідування інциденту. Записи аудит-логу VIES зберігаються щонайменше 10 років відповідно до доказових вимог Регламенту Ради (ЄС) 904/2010.

07.

Ваші права за GDPR

За GDPR у вас є права на доступ (ст. 15), виправлення (ст. 16), видалення (ст. 17), обмеження обробки (ст. 18), переносність даних (ст. 20) та заперечення (ст. 21). Якщо обробка ґрунтується на згоді, ви можете відкликати її будь-коли (ст. 7(3)).

Також ви маєте право за ст. 77 GDPR подати скаргу до наглядового органу - зазвичай тієї держави ЄС/ЄЕП, де ви живете, працюєте або де ймовірно сталося порушення. Оскільки оператор зареєстрований у Литві, провідним органом є Державна інспекція захисту даних (State Data Protection Inspectorate of Lithuania, VDAI).

Покрокове керівництво, як скористатися кожним правом, із термінами і тим, що включити в запит, - на окремій сторінці про права GDPR.

08.

Автоматизовані рішення

FreeBillGen не використовує автоматизованого ухвалення рішень або профілювання у сенсі ст. 22 GDPR. Рішень, що мають юридичні чи подібні значущі наслідки для вас, не ухвалюється виключно автоматично. Ми не оцінюємо, не ранжуємо й не профілюємо користувачів для реклами, кредитування, боротьби з шахрайством або інших цілей.

09.

Безпека даних

Технічні та організаційні заходи (ст. 32 GDPR):

  • Паролі зберігаються у вигляді bcrypt-хешів; підтримуються passkey (WebAuthn).
  • Опціональна 2FA на основі часу через будь-який TOTP-сумісний застосунок.
  • CSRF-токени при кожному змінювальному стан запиті.
  • Параметризовані запити повсюди - жодного SQL через конкатенацію рядків.
  • HTTPS/TLS під час передачі; увімкнено HTTP Strict Transport Security.
  • Content Security Policy та інші заголовки посилення безпеки.
  • Аудит-лог рівня застосунку для дій, чутливих до безпеки.
  • Зашифровані резервні копії БД з обмеженим доступом.
10.

Міжнародні передачі

За замовчуванням персональні дані обробляються всередині Європейського Союзу. Два субпроцесори, перелічені у розділі 04, можуть передбачати передачу до третьої країни:

  • Cloudflare Turnstile - передачі до США, покриваються EU-US Data Privacy Framework і Стандартними договірними умовами Європейської комісії.
  • SMTP2GO - керуюча компанія зареєстрована в Новій Зеландії (країні з рішенням Європейської комісії про адекватність) і використовує інфраструктуру в ЄС-регіоні. Де відбуваються передачі, вони покриваються Стандартними договірними умовами.

Інших передач до третіх країн не відбувається. Якщо це зміниться, ми спиратимемось на відповідний механізм передач із Глави V GDPR і оновимо цю політику до початку нової передачі.

11.

Діти

FreeBillGen - інструмент для бізнесу і не призначений для дітей до 16 років. Ми свідомо не збираємо персональні дані дітей.

12.

Зміни цієї політики

Якщо ми внесемо суттєві зміни, ми опублікуємо оновлений текст на цій сторінці з новою датою «останнє оновлення» і повідомимо активні акаунти електронною поштою. Поточну версію визначає дата вгорі сторінки.

13.

Контакт

Питання конфіденційності та запити прав: [email protected]. Поштова адреса і повні реквізити юридичної особи - на сторінці з реквізитами.