Политика конфиденциальности

Ответственным лицом в понимании ст. 4 п. 7 GDPR является:

PROXALY OÜ
Sepapaja tn 6, 15551 Tallinn, Estland
Регистрационный номер: 16726093
ИНН (USt-IdNr.): EE102611229
Эл. почта: info@proxaly.com
Генеральный директор: Daniel Held

Уполномоченный по защите данных не назначен, поскольку условия, предусмотренные ст. 37 GDPR, не выполняются.

Мы обрабатываем персональные данные наших пользователей в той мере, в какой это необходимо для предоставления нашего сервиса отправки электронной почты «emlyx» (далее — «Сервис»). Сервис охватывает домены emlyx.eu, app.emlyx.eu и webmail.emlyx.eu.

Далее мы информируем Вас в соответствии со ст. 13 GDPR о виде, объёме и цели обработки персональных данных в рамках нашего Сервиса.

Мы обрабатываем персональные данные на следующих правовых основаниях:

• Ст. 6 п. 1 лит. a GDPR (Согласие) – в тех случаях, когда Вы дали нам согласие на обработку, например, для опционального отслеживания открытий (Open-Tracking) и переходов (Click-Tracking).
• Ст. 6 п. 1 лит. b GDPR (Исполнение договора) – в тех случаях, когда обработка необходима для исполнения нашего договора с Вами, в частности, для регистрации, предоставления Сервиса и отправки электронной почты.
• Ст. 6 п. 1 лит. c GDPR (Правовое обязательство) – в тех случаях, когда обработка необходима для выполнения правового обязательства, например, налоговых требований к хранению данных.
• Ст. 6 п. 1 лит. f GDPR (Законный интерес) – в тех случаях, когда обработка необходима для защиты наших законных интересов, в частности, для обеспечения ИТ-безопасности, ведения журналов и выявления злоупотреблений.

4.1 Регистрация и учётная запись

При регистрации мы собираем и обрабатываем следующие данные:

• Имя
• Адрес электронной почты
• Пароль (хранится исключительно в виде bcrypt-хеша; пароль в открытом виде не сохраняется)

Правовое основание: ст. 6 п. 1 лит. b GDPR (исполнение договора).
Цель: создание и управление Вашей учётной записью, аутентификация.

4.2 Данные проекта

Для настройки проектов мы обрабатываем:

• Домен и субдомен
• API-токен (хранится в зашифрованном виде AES-256)

Правовое основание: ст. 6 п. 1 лит. b GDPR (исполнение договора).
Цель: предоставление сервиса отправки электронной почты, привязка писем к проектам.

4.3 Данные электронной почты

При отправке электронных писем через наш Сервис мы обрабатываем:

• Адрес отправителя
• Адрес получателя
• Тема
• Содержание письма (HTML-Body)
• Статус доставки (например, доставлено, не удалось, возврат)
• Временная метка отправки

Правовое основание: ст. 6 п. 1 лит. b GDPR (исполнение договора).
Цель: осуществление отправки электронной почты, протоколирование доставки, устранение неполадок.

4.4 Контакты веб-почты

В веб-клиенте электронной почты Вы можете создавать контакты. При этом мы обрабатываем:

• Имя
• Адрес электронной почты
• Заметки (опционально)

Правовое основание: ст. 6 п. 1 лит. b GDPR (исполнение договора).
Цель: управление Вашими контактами в веб-клиенте электронной почты.

4.5 Подписи

Вы можете создавать и сохранять подписи для электронных писем. При этом мы обрабатываем HTML-текст подписи.

Правовое основание: ст. 6 п. 1 лит. b GDPR (исполнение договора).
Цель: предоставление функции подписи в веб-клиенте электронной почты.

4.6 Отслеживание открытий и переходов (опционально)

Если Вы активируете эту функцию, собираются следующие данные:

• Отслеживание открытий: с помощью встроенного в электронное письмо пикселя отслеживания фиксируется, открыл ли получатель письмо и когда.
• Отслеживание переходов: ссылки в электронном письме перезаписываются для отслеживания того, перешёл ли получатель по ссылке и когда.

Правовое основание: ст. 6 п. 1 лит. a GDPR (согласие). Функция отключена по умолчанию и должна быть осознанно активирована пользователем.
Цель: статистический анализ отправки электронной почты.
Примечание: как пользователь нашего Сервиса, Вы самостоятельно несёте ответственность за получение необходимого согласия получателей электронной почты на обработку их данных, если Вы активируете отслеживание открытий или переходов.

4.7 Серверные лог-файлы

При каждом обращении к нашему Сервису автоматически протоколируются следующие данные:

• IP-адрес обращающегося устройства
• Дата и время обращения
• Запрашиваемый URL
• Код состояния HTTP
• Объём переданных данных
• Тип браузера и операционная система (User-Agent)

Правовое основание: ст. 6 п. 1 лит. f GDPR (законный интерес).
Законный интерес: обеспечение ИТ-безопасности, обнаружение и отражение атак, устранение неполадок.
Срок хранения: лог-файлы автоматически удаляются через 14 дней.

Для обработки платных подписок мы используем платёжный сервис Stripe.

Stripe, Inc.
354 Oyster Point Blvd, South San Francisco, CA 94080, USA

Платёжные данные (например, номер кредитной карты, срок действия) собираются и обрабатываются исключительно компанией Stripe. Мы не храним платёжные данные на наших серверах. Мы получаем от Stripe лишь подтверждение о статусе платежа и анонимизированную ссылку (например, последние четыре цифры Вашей карты).

Правовое основание: ст. 6 п. 1 лит. b GDPR (исполнение договора).
Цель: обработка платежей за платные тарифы.

Компания Stripe сертифицирована в рамках Рамочной программы ЕС–США по защите данных (DPF). Дополнительная информация о защите данных в Stripe доступна по адресу: stripe.com/privacy.

Для оказания наших услуг мы привлекаем следующих сторонних поставщиков в качестве обработчиков данных в соответствии со ст. 28 GDPR:

6.1 Resend – доставка электронной почты

Resend, Inc.
2261 Market Street #5039, San Francisco, CA 94114, USA

Цель: техническая доставка электронных писем, отправленных через наш Сервис.
Передаваемые данные: отправитель, получатель, тема, содержание письма, статус доставки.
Правовое основание передачи: ст. 28 GDPR (обработка данных по поручению) в сочетании со ст. 6 п. 1 лит. b GDPR.
Передача в третьи страны: Resend сертифицирован в рамках Рамочной программы ЕС–США по защите данных (DPF) (решение о достаточности уровня защиты в соответствии со ст. 45 GDPR). Дополнительно действуют стандартные договорные положения ЕС (ст. 46 п. 2 лит. c GDPR) в качестве дополнительной гарантии.

Дополнительная информация: resend.com/legal/dpa.

6.2 Stripe – обработка платежей

Stripe, Inc.
354 Oyster Point Blvd, South San Francisco, CA 94080, USA

Цель: обработка платежей за платные подписки.
Передаваемые данные: платёжные данные (собираются непосредственно Stripe), адрес электронной почты, имя.
Правовое основание передачи: ст. 6 п. 1 лит. b GDPR (исполнение договора).
Передача в третьи страны: Stripe сертифицирован в рамках Рамочной программы ЕС–США по защите данных (DPF) (решение о достаточности уровня защиты в соответствии со ст. 45 GDPR). Дополнительно действуют стандартные договорные положения ЕС (ст. 46 п. 2 лит. c GDPR) в качестве дополнительной гарантии.

Дополнительная информация: stripe.com/privacy.

6.3 Hetzner – хостинг

Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen, Deutschland

Цель: предоставление серверной инфраструктуры для нашего Сервиса.
Передаваемые данные: все данные, обрабатываемые в рамках использования Сервиса, хранятся на серверах Hetzner в Германии.
Правовое основание: ст. 28 GDPR (обработка данных по поручению) в сочетании со ст. 6 п. 1 лит. b GDPR.
Передача в третьи страны: отсутствует. Серверы расположены в Германии (ЕС).

Дополнительная информация: hetzner.com/de/legal/privacy-policy.

В рамках оказания услуг персональные данные передаются получателям в США (Resend, Stripe). Передача осуществляется на основании решения Европейской комиссии о достаточности уровня защиты для Рамочной программы ЕС–США по защите данных (DPF) в соответствии со ст. 45 GDPR.

Оба поставщика сертифицированы в рамках DPF и обязались соблюдать принципы DPF. Сертификацию можно проверить по адресу dataprivacyframework.gov/list.

Дополнительно с обоими поставщиками заключены стандартные договорные положения ЕС (Standard Contractual Clauses, SCC) в соответствии со ст. 46 п. 2 лит. c GDPR. Они служат дополнительной гарантией на случай отмены или ограничения решения о достаточности уровня защиты.

Наш Сервис использует исключительно технически необходимые файлы cookie. Согласие для этого не требуется (§ 25 п. 2 № 2 TDDDG).

Правовое основание: § 25 п. 2 № 2 TDDDG (техническая необходимость) в сочетании со ст. 6 п. 1 лит. f GDPR (законный интерес в обеспечении безопасности и функционирования Сервиса).

Мы не используем аналитические cookie, рекламные cookie или cookie отслеживания. Google Analytics или аналогичные сервисы аналитики не применяются.

Мы храним персональные данные только до тех пор, пока это необходимо для соответствующей цели обработки или пока существуют законодательные требования к хранению.

По истечении соответствующего срока хранения данные автоматически удаляются или анонимизируются, если законодательные требования к хранению не препятствуют удалению.

В соответствии с GDPR Вам принадлежат следующие права:

• Право на получение информации (ст. 15 GDPR): Вы имеете право на получение информации о хранимых нами персональных данных, относящихся к Вам.
• Право на исправление (ст. 16 GDPR): Вы имеете право на исправление неточных или неполных персональных данных.
• Право на удаление (ст. 17 GDPR): Вы имеете право потребовать удаления Ваших персональных данных при соблюдении условий, предусмотренных ст. 17 GDPR.
• Право на ограничение обработки (ст. 18 GDPR): Вы имеете право потребовать ограничения обработки Ваших персональных данных.
• Право на переносимость данных (ст. 20 GDPR): Вы имеете право на получение относящихся к Вам персональных данных, которые Вы нам предоставили, в структурированном, общепринятом и машиночитаемом формате.
• Право на возражение (ст. 21 GDPR): Вы имеете право по основаниям, связанным с Вашей конкретной ситуацией, в любое время подать возражение против обработки относящихся к Вам персональных данных, осуществляемой на основании ст. 6 п. 1 лит. f GDPR.
• Право на отзыв согласия (ст. 7 п. 3 GDPR): если обработка основана на согласии, Вы имеете право в любое время отозвать его с действием на будущее. Правомерность обработки, осуществлённой до отзыва, не затрагивается.

Для реализации Ваших прав Вы можете в любое время обратиться к нам: info@proxaly.com.

Без ущерба для иных административных или судебных средств правовой защиты Вы имеете право подать жалобу в надзорный орган, если Вы считаете, что обработка Ваших персональных данных нарушает GDPR (ст. 77 GDPR).

Компетентным для нас надзорным органом является:

Andmekaitse Inspektsioon (Эстонское управление по защите данных)
Väike-Ameerika 19, 10129 Tallinn, Estland
Телефон: +372 627 4135
Эл. почта: info@aki.ee
Веб-сайт: www.aki.ee

Вы также можете обратиться в надзорный орган по защите данных по месту Вашего обычного пребывания или работы.

Предоставление Вашего имени, адреса электронной почты и пароля необходимо для регистрации и использования нашего Сервиса. Без этих данных мы не можем заключить с Вами договор и предоставить Сервис.

Активация отслеживания открытий и переходов является добровольной и не требуется для использования Сервиса.

Автоматизированное принятие решений, включая профилирование, в понимании ст. 22 GDPR не осуществляется.

Если Вы используете наш Сервис для обработки персональных данных третьих лиц (например, адресов электронной почты Ваших клиентов или посетителей сайта), Вы действуете в качестве контролёра данных в понимании ст. 4 п. 7 GDPR. Мы в этом случае выступаем в качестве обработчика данных в соответствии со ст. 28 GDPR.

Подробности обработки данных по поручению регулируются Договором об обработке данных (DPA), доступным по адресу emlyx.eu/dpa, который становится неотъемлемой частью договора при регистрации.

Наш Сервис использует SSL- или TLS-шифрование в целях безопасности и для защиты передачи конфиденциального содержимого. Вы можете определить зашифрованное соединение по тому, что адресная строка браузера меняется с «http://» на «https://» и по значку замка в адресной строке Вашего браузера.

Мы оставляем за собой право вносить изменения в настоящую Политику конфиденциальности для её адаптации к изменениям правовой базы, а также при изменениях Сервиса и порядка обработки данных. Актуальная редакция всегда доступна по адресу emlyx.eu/privacy.