Редакция от 22 апреля 2026 года · Предыдущие редакции хранятся в архиве и предоставляются по запросу через [email protected]
TurboCRM (далее — «мы», «нас», «наш») уважает ваше право на приватность и понимает важность защиты персональных данных. Настоящая Политика конфиденциальности объясняет, какие данные мы собираем, как их используем, на каких правовых основаниях и какие права вы имеете как субъект персональных данных.
Политика разработана в соответствии с:
- Законом Украины «О защите персональных данных» № 2297-VI от 01.06.2010;
- Общим регламентом о защите данных ЕС (GDPR, Regulation (EU) 2016/679) — для лиц, находящихся в ЕС;
- Конвенцией 108+ Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных.
1. Наши роли: контролёр и процессор
TurboCRM выполняет две разные роли в отношении персональных данных в зависимости от контекста:
1.1. TurboCRM как Контролёр (Data Controller)
Когда мы обрабатываем персональные данные наших непосредственных клиентов (лиц, регистрирующихся на turbocrm.com.ua), а также посетителей сайта — мы выступаем контролёром. Мы самостоятельно определяем цели и средства обработки этих данных. К таким данным относятся: данные регистрации (email, телефон, имя), данные оплаты (через WayForPay), cookies посетителей сайта, запросы в службу поддержки.
1.2. TurboCRM как Процессор (Data Processor)
Когда наши клиенты (пользователи CRM) загружают в свои Учётные записи персональные данные третьих лиц (данные своих клиентов, лидов, контрагентов), в отношении этих данных мы выступаем процессором. Контролёром является сам клиент CRM — он определяет цели обработки и несёт основную ответственность за соблюдение прав субъектов данных. Наша роль — предоставлять техническую инфраструктуру и обрабатывать эти данные исключительно по указанию клиента и в соответствии с Офертой.
2. Какие категории данных мы собираем
2.1. Данные учётной записи (Account Data) — данные, которые вы предоставляете при регистрации:
- фамилия и имя;
- email-адрес;
- номер мобильного телефона;
- название компании;
- выбранный поддомен;
- роль в компании.
2.2. Технические данные (Technical Data) — собираются автоматически при использовании Сервиса:
- IP-адрес;
- тип браузера и операционной системы;
- уникальные идентификаторы устройства;
- данные об использовании Сервиса (посещённые страницы, продолжительность сессий, выполненные действия);
- логи ошибок и диагностическая информация.
2.3. Платёжные данные (Payment Data) — обрабатываются через процессор WayForPay:
- токенизированные реквизиты карты (полные номера карт мы не храним);
- история платежей: суммы, даты, статусы;
- адрес для выставления счетов (если вы юридическое лицо).
2.4. Данные о клиентах Заказчика (Customer Data) — загружаются клиентами CRM в свои Учётные записи. В отношении этих данных мы выступаем процессором:
- данные клиентов, лидов, контрагентов: имена, телефоны, email, адреса, источники;
- история взаимодействий: сообщения, звонки, встречи, сделки;
- загруженные файлы и документы.
2.5. Данные коммуникаций — если вы обращались к нам:
- содержание писем, чатов в Telegram, звонков в службу поддержки;
- записи email-коммуникаций в целях обеспечения качества сервиса.
2.6. Cookies и подобные технологии — подробно описано в разделе 11.
3. Источники получения данных
Мы получаем ваши персональные данные из следующих источников:
- непосредственно от вас — когда вы регистрируетесь, пользуетесь Сервисом, обращаетесь в поддержку;
- автоматически — cookies, логи серверов, данные об использовании Сервиса;
- через интеграции — с Meta, Telegram, Google и других платформ, когда вы подключаете их как источники лидов;
- от третьих лиц — платёжный процессор WayForPay передаёт нам данные о статусе транзакций.
4. Цели и правовые основания обработки
Мы обрабатываем ваши персональные данные только для чётко определённых целей и лишь при наличии правового основания:
| Цель обработки | Категории данных | Правовое основание |
|---|---|---|
| Предоставление доступа к Сервису и его функционирование | Данные учётной записи, технические данные | Исполнение договора (ст. 6(1)(b) GDPR; ст. 11 ЗУ № 2297-VI) |
| Выставление счетов и приём платежей | Платёжные данные, данные учётной записи | Исполнение договора; соблюдение законодательных требований (налоговый учёт) |
| Техническая поддержка и коммуникация | Данные учётной записи, данные коммуникаций | Исполнение договора; легитимный интерес (ст. 6(1)(f) GDPR) |
| Анализ использования Сервиса и его улучшение | Технические данные (обезличенные) | Легитимный интерес в улучшении продукта |
| Предотвращение мошенничества и злоупотреблений | Технические данные, данные учётной записи | Легитимный интерес в безопасности |
| Маркетинговые коммуникации (рассылки, новости продукта) | Согласие (с возможностью отзыва в любой момент) | |
| Соблюдение законодательных требований (запросы правоохранительных органов, бухучёт) | Любые в зависимости от запроса | Соблюдение юридических обязательств (ст. 6(1)(c) GDPR) |
5. Срок хранения данных
Мы храним ваши данные только столько времени, сколько необходимо для достижения целей обработки:
- Данные активной учётной записи — в течение всего срока действия договора;
- Данные после расторжения договора — 30 календарных дней для возможности экспорта и восстановления;
- Финансовые документы (акты, счета, налоговые накладные) — 1095 дней (3 года) в соответствии с требованиями налогового законодательства Украины;
- Логи безопасности и аудита — 180 дней;
- Резервные копии — 30 дней от даты создания;
- Данные кандидатов и запросов в поддержку — 12 месяцев, если не возникает необходимость продления;
- Cookies — в зависимости от типа (от одной сессии до 2 лет; см. раздел 11).
По окончании срока хранения данные удаляются или обезличиваются (анонимизируются).
6. Подпроцессоры (третьи лица, обрабатывающие данные)
Для предоставления услуг мы привлекаем проверенных подпроцессоров, с каждым из которых заключён договор об обработке данных (Data Processing Addendum). Актуальный перечень:
| Подпроцессор | Роль | Юрисдикция | Обрабатываемые данные |
|---|---|---|---|
| Хостинг-провайдер (Cloudware/CWP) | Хостинг серверов | Украина | Все данные Сервиса |
| WayForPay | Процессор платежей | Украина | Платёжные данные, токены карт |
| TurboSMS | SMS-провайдер | Украина | Номера телефонов, тексты SMS |
| Pusher Ltd. | Real-time уведомления | Великобритания | Метаданные уведомлений, user ID |
| Meta Platforms, Inc. | Интеграция Lead Ads, Instagram | США/Ирландия | Исключительно по явному подключению клиента CRM |
| Telegram Messenger Inc. | Telegram-бот интеграция | ОАЭ | По явному подключению клиента CRM |
| Google LLC | Google Analytics (анонимно), Calendar/Maps | США | Cookies, анонимные метрики, календарные события |
| Mailgun/SendGrid | Транзакционные email | США | Email-адреса, содержание транзакционных писем |
Этот перечень подлежит периодическому обновлению. Актуальная версия всегда доступна на этой странице.
7. Трансграничная передача данных
Для отдельных подпроцессоров (Meta, Google, Pusher, Mailgun и т. п.) данные могут передаваться за пределы Украины в страны, в отношении которых Европейская Комиссия и/или украинское законодательство могут не предоставлять решения об адекватности уровня защиты.
В таких случаях передача осуществляется на основании:
- Стандартных договорных положений (Standard Contractual Clauses), утверждённых Европейской Комиссией;
- Сертификации по программе EU-US Data Privacy Framework (для американских подпроцессоров);
- Вашего явного согласия при подключении соответствующих интеграций.
8. Ваши права как субъекта персональных данных
В соответствии с ЗУ № 2297-VI и GDPR вы имеете следующие права:
- Право на доступ — получить подтверждение того, обрабатываем ли мы ваши данные, и запросить копию данных в машиночитаемом формате;
- Право на исправление — требовать исправления неточных или дополнения неполных данных;
- Право на удаление («право быть забытым») — требовать удаления данных в случаях, предусмотренных законодательством (в том числе при отзыве согласия, если нет иного правового основания);
- Право на ограничение обработки — требовать временной приостановки обработки в определённых случаях;
- Право на переносимость — получить свои данные в структурированном, машиночитаемом формате (CSV, JSON) и передать их другому контролёру;
- Право на возражение — возразить против обработки на основании легитимного интереса или для целей прямого маркетинга;
- Право отозвать согласие — если обработка осуществляется на основании согласия — в любой момент, без влияния на законность обработки до отзыва;
- Право на жалобу — подать жалобу Уполномоченному Верховной Рады Украины по правам человека или в надзорный орган по месту жительства в ЕС.
Автоматизированное принятие решений. Мы не осуществляем исключительно автоматизированного принятия решений, имеющих существенные юридические последствия для вас.
9. Как реализовать свои права
Чтобы воспользоваться любым из перечисленных прав, обращайтесь:
- email: [email protected];
- онлайн-форма: turbocrm.com.ua/ru/contacts с темой «Запрос касательно персональных данных».
Мы ответим на ваш запрос в течение 30 календарных дней. При необходимости дополнительной проверки личности или сложных запросов этот срок может быть продлён ещё на 60 дней с соответствующим уведомлением.
Для большинства запросов услуга бесплатная. Только при явно необоснованных или чрезмерных повторных запросах мы можем взимать обоснованную плату или отказать в выполнении.
10. Меры защиты данных
Мы применяем комплекс технических и организационных мер для защиты ваших данных от несанкционированного доступа, потери, изменения или раскрытия:
Технические меры:
- шифрование «на лету»: HTTPS/TLS 1.3 для всех соединений;
- шифрование «в покое»: AES-256 для чувствительных полей (пароли, токены интеграций);
- пароли хранятся в виде хешей с использованием bcrypt (уровень сложности 12);
- изоляция данных: каждый клиент CRM получает отдельную базу данных, что исключает пересечение данных между тенантами;
- автоматическое резервное копирование с шифрованием;
- защита от DDoS на уровне CloudFlare;
- регулярные security-аудиты, penetration testing;
- двухфакторная аутентификация (2FA) для администраторов.
Организационные меры:
- доступ к production-среде предоставляется только ограниченному кругу инженеров по принципу наименьших привилегий;
- все действия в административных панелях фиксируются в аудит-логе;
- сотрудники подписывают соглашения о неразглашении (NDA);
- внутреннее обучение команды по кибербезопасности и GDPR;
- процедура реагирования на инциденты с 72-часовым окном уведомления Уполномоченного.
11. Cookies и подобные технологии
Мы используем cookies и подобные технологии (localStorage, pixel tags) для работы Сервиса и улучшения пользовательского опыта. Типы cookies:
11.1. Необходимые (strictly necessary) — не требуют вашего согласия:
- session cookies — для поддержания авторизации;
- CSRF-токены — для защиты от подделки запросов;
- выбранная локаль (landing_locale) — для запоминания языка лендинга.
11.2. Аналитические (analytics) — требуют согласия:
- Google Analytics (с анонимизированными IP);
- внутренняя аналитика использования Сервиса.
11.3. Маркетинговые (marketing) — требуют согласия:
- Facebook Pixel (для retargeting);
- Google Ads conversion tracking.
Вы можете отказаться от аналитических и маркетинговых cookies через cookie-баннер при первом посещении сайта, а также в любой момент в настройках браузера или через связь с нами.
12. Несовершеннолетние
Сервис TurboCRM не предназначен для лиц младше 18 лет. Мы сознательно не собираем персональные данные детей. Если вы узнали, что ребёнок предоставил нам свои данные без согласия родителей/опекунов, свяжитесь с нами по адресу [email protected] — мы немедленно удалим такие данные.
13. Уведомление об инцидентах
В случае нарушения защиты персональных данных, которое может представлять риск для прав и свобод субъектов данных, мы обязуемся:
- уведомить Уполномоченного Верховной Рады Украины по правам человека в течение 72 часов с момента обнаружения инцидента;
- без неоправданной задержки уведомить субъектов данных, если инцидент представляет высокий риск для их прав и свобод;
- предоставить описание инцидента, вероятные последствия и принятые/планируемые меры.
14. Ссылки на сторонние сайты
Сервис может содержать ссылки на сайты третьих лиц. Мы не несём ответственности за политики конфиденциальности или практики таких сайтов. Рекомендуем ознакомиться с их собственными политиками перед предоставлением персональных данных.
15. Изменения настоящей Политики
Мы можем обновлять настоящую Политику конфиденциальности время от времени. При существенных изменениях мы уведомим вас:
- через email на адрес, указанный в учётной записи;
- через уведомление в интерфейсе Сервиса;
- обновлением даты редакции вверху настоящей страницы.
Продолжение пользования Сервисом после вступления в силу обновлённой Политики означает принятие изменений.
16. Контролёр данных и контакты
Контролёр персональных данных: ФЛП/ООО, предоставляющее сервис TurboCRM. Полное наименование и реквизиты указываются в личном кабинете Заказчика.
Каналы связи по вопросам приватности:
- email: [email protected];
- email общий: [email protected];
- почтовый адрес: предоставляется по запросу через [email protected];
- Telegram: @turbo_crm_bot.
Надзорный орган:
- Уполномоченный Верховной Рады Украины по правам человека (ombudsman.gov.ua);
- Для резидентов ЕС — надзорный орган по месту жительства (перечень: edpb.europa.eu).
17. Заключительные положения
17.1. Настоящая Политика конфиденциальности является неотъемлемой частью Публичной оферты.
17.2. Официальным языком Политики является украинский. В случае расхождений с переводом преимущественную силу имеет украинская редакция.
17.3. Вопросы, не урегулированные настоящей Политикой, регулируются действующим законодательством Украины и, в соответствующих случаях, положениями GDPR.
Благодарим за доверие. Мы серьёзно относимся к защите ваших данных и постоянно совершенствуем наши практики.