Политика конфиденциальности

Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных пользователей сервиса Glassbiz (далее — «Сервис»), доступного по адресу glassbiz.ru.

Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и регулирует обработку данных Администратором Сервиса (далее — «Администратор» или «Оператор»).

При регистрации пользователь отдельно подтверждает принятие Пользовательского соглашения и отдельно даёт согласие на обработку персональных данных на условиях настоящей Политики.

• Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
• Обработка — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
• Субъект данных — пользователь Сервиса, чьи данные обрабатываются.
• Администратор — физическое лицо, эксплуатирующее Сервис и определяющее цели и способы обработки персональных данных.

Администратор обрабатывает следующие категории данных:

• Идентификационные: адрес электронной почты, имя, фамилия (опционально), должность (опционально), название компании пользователя.
• Учётные: хеш пароля (bcrypt — пароль в открытом виде не хранится), идентификатор сессии (JWT access/refresh токены), дата и время регистрации, дата согласия с настоящей Политикой.
• Технические: IP-адрес и User-Agent при обращении к Сервису (для безопасности и анти-фрод защиты), идентификатор запроса (для трассировки ошибок).
• Бизнес-данные, полученные из подключённых источников (МойСклад, Битрикс24): заказы, отгрузки, оплаты, ответственные сотрудники, статусы. Эти данные принадлежат компании пользователя и обрабатываются исключительно для целей, перечисленных в п. 4.
• Журнал действий: история смены статусов и ответственных по выявленным операционным проблемам — для аудита внутри компании пользователя.

Администратор не обрабатывает специальные категории персональных данных (расовая принадлежность, политические взгляды, состояние здоровья, биометрические данные) и персональные данные несовершеннолетних.

Данные обрабатываются в следующих целях:

• Предоставление доступа к Сервису и его функциональности (аутентификация, авторизация, ведение учётной записи).
• Анализ данных из Битрикс24 и МойСклад для выявления операционных проблем в исполнении заказов (сделка без заказа, оплачено, но не отгружено, проблемы качества данных, ответственный за разбор).
• Информирование пользователя о состоянии Сервиса, изменениях функциональности и условий использования.
• Обеспечение безопасности Сервиса, предотвращение несанкционированного доступа и злоупотреблений.
• Техническая поддержка, диагностика и устранение ошибок.

Правовые основания: исполнение договора, стороной которого является субъект данных (п. 5 ч. 1 ст. 6 152-ФЗ); согласие субъекта на обработку (п. 1 ч. 1 ст. 6 152-ФЗ), предоставляемое при регистрации.

Обработка осуществляется как с использованием средств автоматизации, так и без таковых. Передача данных осуществляется по защищённым каналам связи (HTTPS/TLS 1.2+).

С персональными данными могут совершаться следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача в пределах целей обработки, обезличивание, блокирование, удаление и уничтожение.

Хранение данных осуществляется на серверах, расположенных на территории Российской Федерации, что соответствует требованию ч. 5 ст. 18 152-ФЗ о локализации данных российских граждан.

Администратор не передаёт персональные данные пользователей третьим лицам в рекламных или маркетинговых целях, не продаёт и не предоставляет доступ к ним внешним сторонам, за исключением случаев, перечисленных ниже.

Обработчики, привлекаемые Администратором:

• ООО «Яндекс.Облако» (Yandex Cloud, г. Москва) — обработка обезличенного контекста для формирования краткого AI-инсайта по операционным проблемам через сервис YandexGPT. В запрос направляется структурированная сводка по компании пользователя (тип главной проблемы, агрегированные суммы, количество активных задач, признак наличия ответственного, но без исходных данных клиентов компании, заказов, персональных данных сотрудников). Обработка осуществляется на территории РФ. Опция отключения AI-инсайта доступна в настройках компании.
• serv.host — предоставляет вычислительные ресурсы для размещения Сервиса на сервере, расположенном на территории РФ.
• Сервисы внешних источников данных (Битрикс24 и МойСклад): пользователь самостоятельно предоставляет Сервису токены доступа к этим системам и сохраняет с ними отдельные договорные отношения.
• Государственные органы — в случаях, предусмотренных законодательством РФ, по мотивированному запросу.

Трансграничная передача персональных данных не осуществляется. Если такая передача потребуется в будущем, Администратор до её начала выполнит требования ст. 12 152-ФЗ и обновит настоящую Политику.

Персональные данные обрабатываются и хранятся до достижения целей обработки или до момента отзыва согласия субъектом данных. Учётная запись с агрегированной статистикой хранится не более 5 лет с момента последней активности пользователя.

При получении заявления об отзыве согласия или удалении учётной записи Администратор прекращает обработку и уничтожает данные в срок, не превышающий 30 календарных дней, за исключением данных, обязательных к хранению в силу требований законодательства РФ.

Бизнес-данные, полученные из подключённых источников, удаляются немедленно при отключении соответствующей интеграции пользователем.

Пользователь Сервиса вправе:

• Получить информацию об обработке своих персональных данных.
• Требовать уточнения, блокирования или уничтожения своих данных в случае их неполноты, неточности или незаконности обработки.
• Отозвать согласие на обработку персональных данных в любой момент.
• Получить копию своих данных в машиночитаемом виде.
• Обжаловать действия Администратора в Роскомнадзоре или в суде.

Для реализации указанных прав направьте письменное обращение на адрес электронной почты, указанный в разделе «Контакты». Рассмотрение обращений — в течение 30 календарных дней.

• Multi-tenant изоляция: данные каждой компании отделены на уровне приложения и базы данных; межтенантный доступ невозможен.
• Шифрование токенов интеграций: учётные данные подключённых источников хранятся в зашифрованном виде (симметричный алгоритм Fernet, AES-128 в CBC + HMAC-SHA256). Ключ шифрования хранится отдельно от базы данных.
• Защищённая аутентификация: пароли хранятся только в виде bcrypt-хеша. Сессии управляются JWT с механизмом ротации refresh-токенов.
• Защита от перебора: ограничение частоты запросов на входы и регистрации (rate limiting).
• Журнал действий: ключевые операции (смена статуса проблем, изменение ответственных) фиксируются в append-only журнале для аудита.
• HTTPS-передача: весь трафик между пользователем и Сервисом зашифрован.
• Регулярное резервное копирование базы данных с хранением в защищённом объектном хранилище.

Подробнее о технических практиках — Безопасность.

Сервис не использует сторонние cookies, рекламные пиксели и сервисы поведенческой аналитики. В браузере пользователя хранятся только токены сессии (access/refresh), необходимые для работы аутентификации. Удаление данных браузера приводит к автоматическому выходу из учётной записи.

Администратор вправе изменять настоящую Политику. Актуальная редакция всегда доступна по адресу glassbiz.ru/privacy. Существенные изменения дополнительно доводятся до сведения пользователей через интерфейс Сервиса или по электронной почте.

Продолжение использования Сервиса после публикации изменений означает принятие новой редакции.

По вопросам обработки персональных данных и реализации прав субъекта данных обращайтесь к Администратору:

• Электронная почта: support@glassbiz.ru
• Сервис: glassbiz.ru

Контролирующий орган: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — rkn.gov.ru.