Политика конфиденциальности

INTEK CENTER SASU, зарегистрированная по адресу 369Q Avenue de Verdun, 33700 Mérignac, Франция (RCS Bordeaux 844 849 174, внутриобщественный НДС FR02844849174), действует в качестве Контролёра данных по смыслу Регламента (ЕС) 2016/679 («GDPR») и Французского закона № 78-17 от 6 января 1978 года («Loi Informatique et Libertés»).

Контакт по вопросам защиты данных: форма поддержки в приложении.

Хотя Компания юридически не обязана назначать сотрудника по защите данных (статья 37 GDPR), вышеуказанный контакт служит специально назначенной точкой связи по всем вопросам защиты данных и будет обрабатывать все запросы с той же тщательностью, что и официальный DPO.

2.1. Данные сервиса

2.2. Данные учётной записи (необязательно)

Создание учётной записи является необязательным. Бесплатная услуга снятия пароля владельца не требует ни учётной записи, ни электронной почты.

2.3. Платёжные данные

Компания не хранит номера кредитных карт. Все платёжные данные обрабатываются исключительно Stripe в PCI-DSS-совместимой среде.

2.4. Технические данные

2.5. Аналитические данные (требуется согласие)

Аналитические данные собираются через Google Analytics 4 (GA4) только после явного согласия через баннер согласия на использование файлов cookie.

Автоматическое принятие решений и профилирование (ст. 22 GDPR): Сервис не применяет автоматическое принятие решений или профилирование, которое производит юридические последствия или аналогично существенно затрагивает Вас.

Мы используем Ваши данные исключительно для:

• Предоставления, эксплуатации и улучшения Сервиса (восстановление пароля, разблокировка PDF).
• Извлечения только hash шифрования из загруженных PDF — мы никогда не читаем, не индексируем и не храним фактическое содержимое Ваших документов.
• Обработки платежей, формирования счетов-фактур и проведения возвратов через Stripe.
• Коммуникации с Вами (уведомления о завершении заданий, подтверждения покупок, ответы службы поддержки).
• Выявления и предотвращения мошенничества, злоупотреблений и несанкционированного доступа (ограничение запросов, проверка вебхуков).
• Соблюдения юридических обязательств (бухгалтерский учёт, налоги, запросы правоохранительных органов).
• Анализа паттернов использования с анонимизированными данными (только с согласия).

Мы никогда не продаём, не сдаём в аренду и не передаём Ваши персональные данные третьим лицам.

Ваши данные могут передаваться следующим поставщикам услуг строго в целях, описанных выше:

Мы работаем только с субобработчиками, предоставляющими надлежащие гарантии по GDPR. Ваши данные никогда не передаются рекламодателям, брокерам данных или любым другим третьим сторонам.

Основное хранение данных — в пределах Европейского союза (Google Cloud, Бельгия, europe-west1). Некоторые субобработчики находятся в США. Эти передачи обеспечены:

• Решением о достаточности Рамочного соглашения ЕС–США о конфиденциальности данных (DPF) Европейской комиссии (10 июля 2023 г.), к которому наши американские субобработчики присоединились и прошли сертификацию.
• Там, где DPF не применяется, — Стандартными договорными положениями (SCC), принятыми Европейской комиссией (Решение 2021/914), дополненными соответствующими техническими и организационными мерами (шифрование при передаче и хранении, контроль доступа, псевдонимизация).

В соответствии с GDPR и французским законодательством Вы обладаете следующими правами:

• Доступ (ст. 15 GDPR): Получить копию всех данных, которые мы храним о Вас.
• Исправление (ст. 16): Исправить неточные или неполные данные.
• Удаление (ст. 17): Запросить удаление (с учётом юридических обязательств по хранению).
• Ограничение (ст. 18): Запросить ограничение обработки.
• Переносимость (ст. 20): Получить Ваши данные в структурированном, машиночитаемом формате.
• Возражение (ст. 21): Возразить против обработки на основании законного интереса.
• Отозвать согласие (ст. 7): Отозвать согласие на аналитику/маркетинг в любое время через «Управление файлами cookie» в подвале сайта.
• Посмертные распоряжения (французское законодательство): Определить распоряжения относительно судьбы Ваших данных после смерти.

Для реализации Ваших прав обратитесь через форму поддержки в приложении. Мы ответим в течение 30 дней (возможно продление до 60 дней для сложных запросов с уведомлением).

Вы вправе подать жалобу в надзорный орган. Во Франции: Commission Nationale de l'Informatique et des Libertés (CNIL) — cnil.fr.

Мы применяем отраслевые стандартные технические и организационные меры:

• Все коммуникации зашифрованы с помощью TLS 1.2+ (HTTPS, принудительно в Firebase Hosting).
• Пользовательские пароли хэшированы — мы никогда не храним пароли аутентификации в открытом виде.
• Доступ к базе данных контролируется строгими правилами безопасности Firestore (принцип минимальных привилегий).
• PDF-файлы хранятся в Firebase Storage с автоудалением по TTL (24 часа).
• Подписи вебхуков (Stripe) проверяются криптографически для предотвращения подделки.
• Ограничение запросов на всех конечных точках API для предотвращения брутфорса и злоупотреблений (5 загрузок/час на IP, максимум 3 одновременных задания).
• Восстановленные PDF-пароли хранятся в зашифрованном виде, автоматически удаляются через 7 дней.
• Регулярные проверки безопасности и обновления зависимостей.

В случае утечки данных, способной повлечь риск для Ваших прав и свобод, мы уведомим CNIL в течение 72 часов (ст. 33 GDPR) и проинформируем пострадавших пользователей без необоснованной задержки (ст. 34 GDPR).

9.1. Строго необходимые (согласие не требуется)

• Сессия аутентификации — Поддерживает состояние входа (localStorage).
• Настройки интерфейса — Тема (светлая/тёмная) и язык (ключи localStorage: pdfunlock-theme, pdfunlock-locale).
• Выбор согласия — Фиксирует Ваше решение относительно файлов cookie.

9.2. Аналитика (требуется согласие)

• Google Analytics 4 — Файлы cookie: _ga, _ga_*. Срок: до 14 месяцев. Цель: понимание паттернов использования сайта. Активируется только после явного согласия.

9.3. Маркетинг (требуется согласие)

• Google Ads — Файлы cookie: _gcl_*. Цель: измерение эффективности рекламных кампаний через связку с GA4.
• Microsoft Advertising (Bing UET) — Файлы cookie: _uetmsclkid, _uetvid. Цель: отслеживание конверсий.

Мы реализуем Google Consent Mode v2. Все трекеры аналитики и маркетинга заблокированы по умолчанию (analytics_storage: denied, ad_storage: denied, ad_user_data: denied, ad_personalization: denied) и активируются только после Вашего явного, утвердительного согласия через баннер cookie.

Вы можете изменить свой выбор в любое время, нажав «Управление файлами cookie» в подвале сайта.

Серверные события (purchase, refund) отправляются через GA4 Measurement Protocol из нашего бэкенда (вебхук Stripe) и не подпадают под согласие на использование файлов cookie, поскольку не предполагают клиентского отслеживания или сбора персональных данных сверх самой транзакции.

Сервис не предназначен для детей до 16 лет. Мы сознательно не собираем персональные данные детей. Если нам станет известно, что мы собрали данные ребёнка до 16 лет без согласия родителей, мы незамедлительно их удалим. Если Вы считаете, что это произошло, свяжитесь с нами через форму поддержки в приложении.

Мы можем периодически обновлять настоящую Политику конфиденциальности для отражения изменений в наших практиках, технологиях, юридических требованиях или иных факторах. Изменения будут опубликованы на этой странице с обновлённой датой «Последнее обновление».

Для существенных изменений, затрагивающих Ваши права, мы уведомим зарегистрированных пользователей по электронной почте не менее чем за 15 дней до вступления изменений в силу.