Редакція від 22 квітня 2026 року · Попередні редакції зберігаються в архіві і надаються на запит через [email protected]
TurboCRM (далі — «ми», «нас», «наш») поважає ваше право на приватність і розуміє важливість захисту персональних даних. Ця Політика конфіденційності пояснює, які дані ми збираємо, як їх використовуємо, на яких правових підставах і які права ви маєте як суб'єкт персональних даних.
Політика розроблена відповідно до:
- Закону України «Про захист персональних даних» № 2297-VI від 01.06.2010;
- Загального регламенту про захист даних ЄС (GDPR, Regulation (EU) 2016/679) — для осіб, що перебувають у ЄС;
- Конвенції 108+ Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних.
1. Наші ролі: контролер і процесор
TurboCRM виконує дві різні ролі щодо персональних даних залежно від контексту:
1.1. TurboCRM як Контролер (Data Controller)
Коли ми обробляємо персональні дані наших безпосередніх клієнтів (осіб, що реєструються на turbocrm.com.ua), а також відвідувачів сайту — ми виступаємо контролером. Ми самостійно визначаємо цілі та засоби обробки цих даних. До таких даних належать: дані реєстрації (email, телефон, ім'я), дані оплати (через WayForPay), cookies відвідувачів сайту, запити в службу підтримки.
1.2. TurboCRM як Процесор (Data Processor)
Коли наші клієнти (користувачі CRM) завантажують у свої Облікові записи персональні дані третіх осіб (дані своїх клієнтів, лідів, контрагентів), щодо цих даних ми виступаємо процесором. Контролером є сам клієнт CRM — він визначає цілі обробки й несе основну відповідальність за дотримання прав суб'єктів даних. Наша роль — надавати технічну інфраструктуру та обробляти ці дані виключно за вказівкою клієнта й відповідно до Оферти.
2. Які категорії даних ми збираємо
2.1. Дані облікового запису (Account Data) — дані, які ви надаєте при реєстрації:
- прізвище та ім'я;
- email-адреса;
- номер мобільного телефону;
- назва компанії;
- обраний піддомен;
- роль у компанії.
2.2. Технічні дані (Technical Data) — автоматично збираються при використанні Сервісу:
- IP-адреса;
- тип браузера та операційної системи;
- унікальні ідентифікатори пристрою;
- дані про використання Сервісу (відвідані сторінки, тривалість сесій, виконані дії);
- логи помилок і діагностична інформація.
2.3. Платіжні дані (Payment Data) — обробляються через процесор WayForPay:
- токенізовані реквізити картки (повні номери карток ми не зберігаємо);
- історія платежів: суми, дати, статуси;
- адреса для виставлення рахунків (якщо ви юридична особа).
2.4. Дані про клієнтів Замовника (Customer Data) — завантажуються клієнтами CRM у свої Облікові записи. Щодо цих даних ми виступаємо процесором:
- дані клієнтів, лідів, контрагентів: імена, телефони, email, адреси, джерела;
- історія взаємодій: повідомлення, дзвінки, зустрічі, угоди;
- завантажені файли та документи.
2.5. Дані комунікацій — якщо ви зверталися до нас:
- зміст листів, чатів у Telegram, дзвінків у службу підтримки;
- записи email-комунікацій для цілей забезпечення якості сервісу.
2.6. Cookies та подібні технології — детально описано в розділі 11.
3. Джерела отримання даних
Ми отримуємо ваші персональні дані з наступних джерел:
- безпосередньо від вас — коли ви реєструєтесь, користуєтесь Сервісом, звертаєтесь у підтримку;
- автоматично — cookies, логи серверів, дані про використання Сервісу;
- через інтеграції — з Meta, Telegram, Google та інших платформ, коли ви підключаєте їх як джерела лідів;
- від третіх осіб — платіжний процесор WayForPay передає нам дані про статус транзакцій.
4. Цілі та правові підстави обробки
Ми обробляємо ваші персональні дані тільки для чітко визначених цілей і лише за наявності правової підстави:
| Ціль обробки | Категорії даних | Правова підстава |
|---|---|---|
| Надання доступу до Сервісу та його функціонування | Дані облікового запису, технічні дані | Виконання договору (ст. 6(1)(b) GDPR; ст. 11 ЗУ № 2297-VI) |
| Виставлення рахунків і прийом платежів | Платіжні дані, дані облікового запису | Виконання договору; дотримання законодавчих вимог (податковий облік) |
| Технічна підтримка і комунікація | Дані облікового запису, дані комунікацій | Виконання договору; легітимний інтерес (ст. 6(1)(f) GDPR) |
| Аналіз використання Сервісу і його покращення | Технічні дані (знеособлені) | Легітимний інтерес у покращенні продукту |
| Запобігання шахрайству і зловживанням | Технічні дані, дані облікового запису | Легітимний інтерес у безпеці |
| Маркетингові комунікації (розсилки, новини продукту) | Згода (з можливістю відкликання в будь-який момент) | |
| Дотримання законодавчих вимог (запити правоохоронних органів, бухоблік) | Будь-які залежно від запиту | Дотримання юридичних зобов'язань (ст. 6(1)(c) GDPR) |
5. Строк зберігання даних
Ми зберігаємо ваші дані лише стільки часу, скільки це необхідно для досягнення цілей обробки:
- Дані активного облікового запису — протягом усього строку дії договору;
- Дані після розірвання договору — 30 календарних днів для можливості експорту та відновлення;
- Фінансові документи (акти, рахунки, податкові накладні) — 1095 днів (3 роки) відповідно до вимог податкового законодавства України;
- Логи безпеки та аудиту — 180 днів;
- Резервні копії — 30 днів від дати створення;
- Дані кандидатів і запитів у підтримку — 12 місяців, якщо не з'являється необхідність продовжити;
- Cookies — залежно від типу (від однієї сесії до 2 років; див. розділ 11).
Після закінчення терміну зберігання дані видаляються або знеособлюються (анонімізуються).
6. Підпроцесори (третіх особи, які обробляють дані)
Для надання послуг ми залучаємо перевірених підпроцесорів, з кожним з яких укладено договір про обробку даних (Data Processing Addendum). Актуальний перелік:
| Підпроцесор | Роль | Юрисдикція | Дані, що обробляються |
|---|---|---|---|
| Хостинг-провайдер (Cloudware/CWP) | Хостинг серверів | Україна | Усі дані Сервісу |
| WayForPay | Процесор платежів | Україна | Платіжні дані, токени карток |
| TurboSMS | SMS-провайдер | Україна | Номери телефонів, тексти SMS |
| Pusher Ltd. | Real-time сповіщення | Велика Британія | Метадані сповіщень, user ID |
| Meta Platforms, Inc. | Інтеграція Lead Ads, Instagram | США/Ірландія | Виключно за явною підкою клієнта CRM |
| Telegram Messenger Inc. | Telegram-бот інтеграція | ОАЕ | За явною підкою клієнта CRM |
| Google LLC | Google Analytics (анонімно), Calendar/Maps | США | Cookies, анонімні метрики, календарні події |
| Mailgun/SendGrid | Транзакційні email | США | Email-адреси, зміст транзакційних листів |
Цей перелік підлягає періодичному оновленню. Актуальна версія завжди доступна на цій сторінці.
7. Транскордонна передача даних
Для окремих підпроцесорів (Meta, Google, Pusher, Mailgun тощо) дані можуть передаватися за межі України до країн, щодо яких Європейська Комісія та/або українське законодавство можуть не надавати рішення про адекватність рівня захисту.
У таких випадках передача здійснюється на підставі:
- Стандартних договірних положень (Standard Contractual Clauses), затверджених Європейською Комісією;
- Сертифікації за програмою EU-US Data Privacy Framework (для американських підпроцесорів);
- Вашої явної згоди при підключенні відповідних інтеграцій.
8. Ваші права як суб'єкта персональних даних
Відповідно до ЗУ № 2297-VI та GDPR ви маєте наступні права:
- Право на доступ — отримати підтвердження того, чи обробляємо ми ваші дані, і запросити копію даних у машиночитаному форматі;
- Право на виправлення — вимагати виправлення неточних або доповнення неповних даних;
- Право на видалення («право бути забутим») — вимагати видалення даних у випадках, передбачених законодавством (у тому числі при відкликанні згоди, якщо немає іншої правової підстави);
- Право на обмеження обробки — вимагати тимчасового припинення обробки у певних випадках;
- Право на переносимість — отримати свої дані у структурованому, машиночитаному форматі (CSV, JSON) і передати їх іншому контролеру;
- Право на заперечення — заперечити проти обробки на підставі легітимного інтересу або для цілей прямого маркетингу;
- Право відкликати згоду — якщо обробка здійснюється на підставі згоди — у будь-який момент, без впливу на законність обробки до відкликання;
- Право на скаргу — подати скаргу до Уповноваженого Верховної Ради України з прав людини або до наглядового органу за місцем проживання в ЄС.
Автоматизоване прийняття рішень. Ми не здійснюємо виключно автоматизованого прийняття рішень, що мають істотні юридичні наслідки для вас.
9. Як реалізувати свої права
Щоб скористатися будь-яким з перерахованих прав, звертайтеся:
- email: [email protected];
- онлайн-форма: turbocrm.com.ua/contacts з темою «Запит щодо персональних даних».
Ми відповімо на ваш запит протягом 30 календарних днів. У разі необхідності додаткової перевірки особистості або складних запитів цей термін може бути продовжено ще на 60 днів із відповідним повідомленням.
Для більшості запитів послуга безоплатна. Лише при явно необґрунтованих або надмірних повторних запитах ми можемо стягувати обґрунтовану плату або відмовити у виконанні.
10. Заходи захисту даних
Ми застосовуємо комплекс технічних та організаційних заходів для захисту ваших даних від несанкціонованого доступу, втрати, зміни або розкриття:
Технічні заходи:
- шифрування «на льоту»: HTTPS/TLS 1.3 для всіх з'єднань;
- шифрування «в спокої»: AES-256 для чутливих полів (паролі, токени інтеграцій);
- паролі зберігаються у вигляді хешів з використанням bcrypt (рівень складності 12);
- ізоляція даних: кожен клієнт CRM отримує окрему базу даних, що унеможливлює перетин даних між тенантами;
- автоматичне резервне копіювання з шифруванням;
- захист від DDoS на рівні CloudFlare;
- регулярні security-аудити, penetration testing;
- двохфакторна аутентифікація (2FA) для адміністраторів.
Організаційні заходи:
- доступ до production-середовища надається тільки обмеженому колу інженерів за принципом найменших привілеїв;
- усі дії в адміністративних панелях фіксуються в аудит-логу;
- співробітники підписують угоди про нерозголошення (NDA);
- внутрішнє навчання команди з кібербезпеки і GDPR;
- процедура реагування на інциденти з 72-годинним вікном сповіщення Уповноваженого.
11. Cookies та подібні технології
Ми використовуємо cookies та подібні технології (localStorage, pixel tags) для роботи Сервісу і покращення користувацького досвіду. Типи cookies:
11.1. Необхідні (strictly necessary) — не потребують вашої згоди:
- session cookies — для підтримки авторизації;
- CSRF-токени — для захисту від підробки запитів;
- обрана локаль (landing_locale) — для запам'ятовування мови лендингу.
11.2. Аналітичні (analytics) — потребують згоди:
- Google Analytics (анонімізовані IP);
- внутрішня аналітика використання Сервісу.
11.3. Маркетингові (marketing) — потребують згоди:
- Facebook Pixel (для retargeting);
- Google Ads conversion tracking.
Ви можете відмовитися від аналітичних і маркетингових cookies через cookie-банер при першому відвідуванні сайту, а також у будь-який момент у налаштуваннях браузера або через зв'язок з нами.
12. Неповнолітні
Сервіс TurboCRM не призначений для осіб молодше 18 років. Ми свідомо не збираємо персональні дані дітей. Якщо ви дізналися, що дитина надала нам свої дані без згоди батьків/опікунів, зв'яжіться з нами за адресою [email protected] — ми негайно видалимо такі дані.
13. Сповіщення про інциденти
У разі порушення захисту персональних даних, що може становити ризик для прав і свобод суб'єктів даних, ми зобов'язуємось:
- повідомити Уповноваженого Верховної Ради України з прав людини протягом 72 годин від моменту виявлення інциденту;
- без невиправданої затримки повідомити суб'єктів даних, якщо інцидент становить високий ризик для їхніх прав і свобод;
- надати опис інциденту, ймовірні наслідки та вжиті/заплановані заходи.
14. Посилання на сторонні сайти
Сервіс може містити посилання на сайти третіх осіб. Ми не несемо відповідальності за політики конфіденційності або практики таких сайтів. Рекомендуємо ознайомлюватись з їхніми власними політиками перед наданням персональних даних.
15. Зміни цієї Політики
Ми можемо оновлювати цю Політику конфіденційності час від часу. При суттєвих змінах ми повідомимо вас:
- через email на адресу, вказану в обліковому записі;
- через сповіщення в інтерфейсі Сервісу;
- оновленням дати редакції вгорі цієї сторінки.
Продовження користування Сервісом після набрання чинності оновленої Політики означає прийняття змін.
16. Контроллер даних і контакти
Контролер персональних даних: ФОП/ТОВ, що надає сервіс TurboCRM. Повне найменування та реквізити вказуються в особистому кабінеті Замовника.
Канали зв'язку з питань приватності:
- email: [email protected];
- email загальний: [email protected];
- поштова адреса: вказується за запитом через [email protected];
- Telegram: @turbo_crm_bot.
Наглядовий орган:
- Уповноважений Верховної Ради України з прав людини (ombudsman.gov.ua);
- Для резидентів ЄС — наглядовий орган за місцем проживання (перелік: edpb.europa.eu).
17. Прикінцеві положення
17.1. Ця Політика конфіденційності є невід'ємною частиною Публічної оферти.
17.2. Офіційною мовою Політики є українська. У разі розбіжностей з перекладом переважну силу має українська редакція.
17.3. Питання, не врегульовані цією Політикою, регулюються чинним законодавством України та, у відповідних випадках, положеннями GDPR.
Дякуємо за довіру. Ми серйозно ставимось до захисту ваших даних і постійно вдосконалюємо наші практики.