1.1. Настоящая Политика обработки персональных данных (далее — «Политика») описывает, как [ИП/ООО] (далее — «Оператор») собирает, использует, хранит и защищает персональные данные в рамках предоставления CRM-системы «ТвойCRM» (далее — «Сервис»).
1.2. Политика распространяется на все персональные данные, обрабатываемые Оператором в связи с функционированием Сервиса по адресу app.tvoicrm.ru и сайта tvoicrm.ru.
1.3. Оператор действует в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» и иными применимыми нормативными актами Российской Федерации.
1.4. Настоящая Политика является неотъемлемой частью Пользовательского соглашения.
В Сервисе существуют два принципиально разных типа персональных данных с разными правовыми режимами. Понимание этого различия важно для каждого пользователя.
Имя, email, телефон лица, зарегистрировавшегося в Сервисе. Оператор обрабатывает эти данные для предоставления доступа и поддержки — как оператор персональных данных.
Контакты, лиды, партнёры, которых Пользователь вносит в систему. Оператор хранит эти данные технически — как обработчик по поручению Пользователя.
Ключевое правило: В отношении данных своих клиентов, внесённых в Сервис, Пользователь является самостоятельным оператором персональных данных по смыслу 152-ФЗ. Оператор Сервиса не определяет цели обработки этих данных и не несёт ответственности за наличие у Пользователя законных оснований для их обработки.
Подробные обязанности Пользователя как оператора описаны в разделе 5 Пользовательского соглашения.
Следующая таблица описывает, какие данные самого Пользователя (не его клиентов) собирает и обрабатывает Оператор:
| Данные | Цель обработки | Правовое основание | Срок |
|---|---|---|---|
| Имя, адрес электронной почты | Регистрация, идентификация, уведомления | Исполнение договора (ст. 6 ч. 1 п. 5 152-ФЗ) | Срок действия аккаунта + 3 года |
| Номер телефона | Техническая поддержка, двухфакторная аутентификация | Согласие | До отзыва согласия или закрытия аккаунта |
| IP-адрес, браузер, тип устройства | Безопасность, диагностика, предотвращение мошенничества | Легитимный интерес оператора | 1 год |
| Журнал действий в системе | Диагностика ошибок, безопасность | Легитимный интерес оператора | 6 месяцев |
| Платёжные данные (без данных карты) | Выставление счетов, подтверждение оплаты | Исполнение договора | 5 лет (требования налогового учёта) |
Данные банковских карт Пользователей Оператором не собираются и не хранятся — они обрабатываются платёжными провайдерами напрямую.
Безусловные обязательства Оператора:
Обезличенные и агрегированные данные, из которых невозможно установить личность конкретного субъекта (далее — «Статистические данные»), не являются персональными данными в смысле статьи 1 Федерального закона № 152-ФЗ и не подпадают под его ограничения.
Оператор может формировать и использовать Статистические данные для:
Принцип необратимости: Статистические данные формируются таким образом, что обратное восстановление персональных данных конкретного субъекта технически невозможно. Персональные данные в идентифицируемом виде Оператором в собственных целях не используются.
Все данные — только в России. Персональные данные хранятся и обрабатываются исключительно на серверах, расположенных на территории Российской Федерации. Трансграничная передача персональных данных не осуществляется.
5.1. Это требование соблюдается в отношении как данных самих Пользователей, так и данных клиентов Пользователей.
5.2. Все привлечённые Оператором обработчики также работают на инфраструктуре, расположенной на территории РФ (см. раздел 6).
5.3. При оценке соответствия требованиям 152-ФЗ к локализации Пользователи могут запросить у Оператора подтверждение по адресу privacy@tvoicrm.ru.
Для технического обеспечения Сервиса Оператор привлекает следующих обработчиков — на основании договоров, обязывающих их соблюдать конфиденциальность и требования 152-ФЗ:
| Обработчик | Функция | Передаваемые данные | Местонахождение |
|---|---|---|---|
| Российский хостинг-провайдер | Хостинг, хранение данных, резервное копирование | Все данные Сервиса | Российская Федерация |
| Российский сервис распознавания речи | Распознавание речи для функции голосового ввода | Аудиозапись (без персональных идентификаторов) | Российская Федерация |
| Российский AI-сервис | AI-обработка текста в функции AI-советника (при её активации) | Текстовые расшифровки и фрагменты контекста сделок (обезличенные) | Российская Федерация |
При изменении состава обработчиков Политика обновляется с уведомлением Пользователей.
7.1. Сервис предоставляет функцию голосового ввода: Пользователь диктует итог звонка или заметку, система преобразует речь в текст и добавляет его в карточку клиента.
7.2. При использовании функции голосового ввода:
Важное разъяснение: Голосовые записи, используемые исключительно для получения текстовой расшифровки, не являются биометрическими персональными данными в смысле статьи 11 Федерального закона № 152-ФЗ. Биометрические данные — это те, которые используются для установления личности субъекта. Функция голосового ввода используется только для преобразования речи в текст, идентификация личности по голосу не осуществляется.
8.1. Сервис использует технологии искусственного интеллекта для следующих функций:
При загрузке Excel или CSV-файла AI определяет, что означает каждый столбец. В этом случае:
Описан в разделе 7. Обработка производится российским сервисом.
Ограничение: Оператор не передаёт персональные данные клиентов Пользователя привлечённым AI-провайдерам в целях обучения моделей. Оператор не контролирует внутреннюю политику обработки данных привлечённых провайдеров и не несёт ответственности за их действия, выходящие за рамки договорных обязательств.
Оператор применяет следующий комплекс технических и организационных мер защиты персональных данных:
| Мера | Описание |
|---|---|
| Шифрование при передаче | Протокол TLS 1.2+ для всех соединений между устройством Пользователя и серверами |
| Разграничение доступа на уровне данных | Row Level Security (RLS) — каждый пользователь физически ограничен только своими данными на уровне базы данных |
| Изоляция аккаунтов | Данные каждого Пользователя изолированы; другие Пользователи не имеют к ним доступа |
| Резервное копирование | Регулярное автоматическое резервное копирование для защиты от потери данных |
| Принцип минимальных привилегий | Доступ сотрудников к данным ограничен только тем, что необходимо для выполнения их функций |
| Журналирование | Ведение журналов событий безопасности для обнаружения инцидентов |
В соответствии со статьями 14–17 Федерального закона № 152-ФЗ субъект персональных данных вправе:
| Право | Содержание |
|---|---|
| Право на информацию | Получить подтверждение факта обработки, перечень обрабатываемых данных, цели и основания |
| Право на уточнение | Потребовать исправления неточных или неполных персональных данных |
| Право на удаление | Потребовать уничтожения данных при отсутствии законных оснований для их обработки |
| Право на ограничение | Потребовать прекращения обработки данных в определённых целях |
| Право на отзыв согласия | Отозвать ранее данное согласие на обработку; это не затрагивает правомерность обработки до отзыва |
| Право на жалобу | Обратиться в Роскомнадзор: rkn.gov.ru |
Направьте письмо на privacy@tvoicrm.ru с указанием: ФИО, контактных данных, сути запроса. Срок рассмотрения — 30 дней. В случае необходимости Оператор вправе запросить подтверждение личности.
Если ваши данные внесены другим пользователем: Если вы являетесь субъектом персональных данных, внесённых в Сервис другим пользователем (например, вы — клиент компании, использующей ТвойCRM), вам следует обратиться напрямую в эту компанию — она является оператором ваших данных. Оператор Сервиса рассмотрит ваш запрос после получения необходимого подтверждения от Пользователя, внёсшего данные, либо при наличии законных оснований для самостоятельного ответа.
| Категория данных | Срок хранения | Что происходит после |
|---|---|---|
| Данные аккаунта Пользователя (имя, email) | Срок действия аккаунта + 3 года | Безвозвратное удаление |
| Данные клиентов Пользователя (контакты, лиды) | Срок действия аккаунта | Удаление в течение 30 дней после закрытия аккаунта |
| Данные после закрытия аккаунта | 30 дней | Безвозвратное удаление, включая резервные копии |
| Журналы событий безопасности | 6 месяцев | Автоматическое удаление |
| Финансовые документы (счета, оплаты) | 5 лет | Удаление (требования налогового учёта) |
| Резервные копии | 30 дней | Автоматическая замена новой резервной копией |
По письменному запросу данные могут быть удалены досрочно, если это не противоречит требованиям действующего законодательства (в том числе в части хранения финансовой документации).
В соответствии с требованиями Федерального закона № 152-ФЗ (в редакции Федерального закона № 266-ФЗ от 14.07.2022) при выявлении инцидента, повлёкшего неправомерный доступ к персональным данным, распространение или иное неправомерное использование, Оператор:
Для сообщения об уязвимостях безопасности: security@tvoicrm.ru
Сервис использует следующие технологии хранения данных на устройстве Пользователя:
| Тип | Цель | Можно отключить |
|---|---|---|
| Функциональные cookies | Поддержание сессии авторизации (без них вход в систему невозможен) | Нет — обязательные |
| LocalStorage | Сохранение настроек интерфейса (фильтры, выбранные вкладки) на устройстве Пользователя | Да (в настройках браузера) |
| Аналитические cookies | Диагностика ошибок и мониторинг доступности Сервиса | Да |
Сторонние трекинговые cookies, рекламные пиксели и иные средства слежения третьих сторон в Сервисе не используются.
14.1. При заполнении формы на сайте Пользователь может предоставить отдельное согласие на получение маркетинговых сообщений. Такое согласие является добровольным и не является условием доступа к Сервису.
14.2. На основании маркетингового согласия Оператор направляет: информацию о новых функциях и обновлениях Сервиса, приглашения на демонстрации и вебинары, специальные предложения по тарифам.
14.3. Согласие может быть отозвано в любой момент:
14.4. Отзыв маркетингового согласия не влияет на получение транзакционных уведомлений (подтверждение оплаты, уведомления о безопасности аккаунта).
15.1. Оператор вправе изменять настоящую Политику. О существенных изменениях (изменение целей обработки, новые категории данных, новые обработчики) Оператор уведомляет Пользователей по электронной почте не менее чем за 14 дней до вступления в силу.
15.2. Актуальная версия Политики всегда доступна по адресу tvoicrm.ru/privacy.html. Дата последнего обновления указана в заголовке документа.
15.3. Продолжение использования Сервиса после вступления изменений в силу означает согласие с обновлённой Политикой.
| Назначение | Контакт |
|---|---|
| Запросы по персональным данным (права субъектов) | privacy@tvoicrm.ru |
| Сообщения об уязвимостях безопасности | security@tvoicrm.ru |
| Юридические вопросы и претензии | legal@tvoicrm.ru |
| Техническая поддержка | support@tvoicrm.ru |
| Надзорный орган (жалобы) | Роскомнадзор · rkn.gov.ru |
Ответственный за организацию обработки персональных данных: [ФИО] · [ИП/ООО]
Адрес: [Юридический адрес]