NeuroCRMПолитика конфиденциальности
Эта Политика конфиденциальности объясняет, как NeuroCRM собирает, использует, хранит, передаёт и защищает информацию при использовании нашей CRM-платформы на neurocrm.vip и поддоменах, включая app.neurocrm.vip и api.neurocrm.vip (далее — «Сервис»). Документ действует во всём мире. Положения для отдельных регионов (ЕЭЗ/Великобритания, США, Канада, Бразилия, Россия и др.) приведены в приложениях в конце и подсвечиваются для вашего региона, если мы можем его определить. Для пользователей из России действует отдельная Политика обработки персональных данных по 152-ФЗ, имеющая преимущественную силу.
1. Кто мы и наши две роли
Оператором Сервиса является Empire Luxury International Corporation (ведёт деятельность как Neuro Empire), компания по праву штата Флорида, США, адрес: 7901 4th St N, STE 300, St. Petersburg, FL 33702, USA («NeuroCRM», «мы»).
NeuroCRM — мультитенантная бизнес-платформа (SaaS). Мы обрабатываем персональные данные в двух разных ролях:
- Как обработчик (процессор) — для данных, которые вы и ваша организация вносите в Сервис или подключаете к нему (контакты, сделки, сообщения, файлы — далее «Контент клиента»). Контролёром этих данных является ваша организация; мы обрабатываем их по вашим документированным указаниям. Эти отношения регулируются нашим Соглашением об обработке данных (DPA).
- Как контролёр (оператор) — для данных, необходимых, чтобы запускать, защищать, тарифицировать и улучшать сам Сервис (данные аккаунта, использования и обращения в поддержку). Именно эти действия описывает настоящая Политика.
Используя Сервис, вы подтверждаете, что ознакомились с этой Политикой. Если вы не согласны — не используйте Сервис.
2. Какие данные мы собираем
а) Данные аккаунта и идентификации. Имя, рабочий e-mail, название организации/тенанта, роль, учётные данные (хранятся только в виде солёных хэшей), при необходимости — платёжные реквизиты.
б) Данные использования, устройства и журналы. Логи, тип устройства и браузера, IP-адрес, приблизительное местоположение по IP, отметки времени, используемые функции, диагностические данные.
в) Контент клиента. Данные, которые вы вносите в CRM. В отношениях с нами они принадлежат вашей организации; мы обрабатываем их как процессор (см. раздел 1 и DPA).
г) Данные сторонних платформ по OAuth. При подключении аккаунта (например, Google Analytics/Ads/Search Console, Yandex Metrica/Direct/Webmaster, Telegram, платёжный провайдер) мы получаем доступ только по вашему указанию и для аналитики — только на чтение, чтобы показывать ваши же данные внутри Сервиса. См. разделы 5–6.
д) Платёжные данные. При оплате платных тарифов платежи проводят сторонние платёжные провайдеры; мы получаем ограниченные данные о транзакции и не храним полные номера карт.
е) Обращения. Сообщения в поддержку и связанные метаданные.
3. Как и зачем мы используем данные (правовые основания)
Мы используем данные, чтобы предоставлять, поддерживать, защищать, тарифицировать и улучшать Сервис, общаться с вами, соблюдать закон и предотвращать мошенничество и злоупотребления. Где закон требует правового основания (например, в ЕЭЗ, Великобритании, Бразилии, России), мы опираемся на следующее:
| Цель | Типичное основание |
|---|---|
| Предоставление Сервиса и аккаунта; обработка Контента клиента по указаниям | Исполнение договора; процессор, действующий за контролёра |
| Безопасность, предотвращение мошенничества, улучшение Сервиса, аналитика | Законные интересы (с учётом баланса прав; оценка — по запросу) |
| Биллинг, налоги, бухгалтерия и иные обязанности по закону | Обязанность по закону; исполнение договора |
| Маркетинговые письма; необязательные cookie; подключение сторонних аккаунтов | Согласие (можно отозвать в любой момент) |
4. Функции искусственного интеллекта и ваши данные
NeuroCRM включает функции с ИИ (например, встроенный AI-ассистент и генерация контента). К ним применяется следующее:
- По умолчанию — без обучения на ваших данных. Мы и наши ИИ-субпроцессоры не используем Контент клиента для обучения моделей ИИ/машинного обучения. Это возможно только при вашем явном согласии (opt-in) и, по возможности, только на обезличенных или агрегированных данных.
- ИИ-субпроцессоры. Функции ИИ могут предоставляться через сторонних провайдеров моделей как наших субпроцессоров; они связаны обязательствами конфиденциальности и защиты данных и перечислены на странице Субпроцессоры.
- Контроль человека. Вывод ИИ носит вероятностный характер и может быть неточным. Он предназначен помогать, а не заменять решения человека, и не должен быть единственным основанием решений, влекущих юридические или иные существенные последствия для людей. Ограничения и оговорки см. в Условиях использования.
5. Данные Google — что мы получаем, зачем, и Limited Use
При подключении аккаунта Google наш модуль аналитики интегрируется с API Google, чтобы вы видели свою маркетинговую и веб-аналитику внутри NeuroCRM. Мы запрашиваем минимум необходимых разрешений, доступ — только на чтение.
| Scope | Что даёт | Зачем нам |
|---|---|---|
analytics.readonly | Чтение отчётов Google Analytics (GA4) | Показ отчётов о трафике/поведении внутри NeuroCRM |
adwords | Данные аккаунта Google Ads | Показ рекламных метрик (только чтение) |
webmasters.readonly | Чтение данных Google Search Console | Показ метрик поисковой эффективности |
Использование и передача NeuroCRM информации, полученной из API Google, любым другим приложениям соответствует Google API Services User Data Policy, включая требования Limited Use.
- Данные Google используются только для аналитических функций, заметных в интерфейсе NeuroCRM.
- Мы не передаём данные Google, кроме как для этих функций, по требованию закона или при слиянии/поглощении с предварительным уведомлением.
- Мы не используем данные Google для рекламы, в т.ч. ретаргетинга.
- Мы не обучаем на данных Google модели ИИ/ML.
- Люди не читают данные Google, кроме как: (i) с вашего явного согласия; (ii) при необходимости для безопасности или по закону; (iii) если данные обезличены и агрегированы.
Отозвать доступ можно в NeuroCRM (Отчёты / Интеграции) или на myaccount.google.com/permissions.
6. Yandex и другие подключённые платформы
При подключении Yandex Metrica, Yandex Direct, Yandex Webmaster, Telegram и других поддерживаемых платформ мы получаем доступ аналогично интеграциям Google: по вашему указанию, для аналитики — только на чтение, исключительно чтобы показывать ваши же данные внутри NeuroCRM. Мы не изменяем эти аккаунты, не продаём данные и не используем их для посторонних целей. Токены доступа хранятся в зашифрованном виде; отключить можно в любой момент.
7. Как мы передаём данные
Мы не продаём персональные данные и не передаём их для кросс-контекстной поведенческой рекламы. Передача возможна только:
- Субпроцессорам, помогающим работать Сервису (хостинг, инфраструктура, провайдеры моделей ИИ, доставка почты, аналитика, платежи) — на условиях конфиденциальности и защиты данных и только по необходимости. Актуальный список с локациями — на /legal/subprocessors.
- По требованию закона — по законному запросу либо для защиты прав, имущества или безопасности NeuroCRM, пользователей или общества.
- При смене бизнеса — слияние, поглощение, продажа активов, с уведомлением; правопреемник остаётся связан не менее защищающей политикой.
- По вашему указанию или согласию — например, подключённой вами интеграции.
8. Международная передача и резидентность данных
NeuroCRM использует географически разделённую архитектуру:
- Мировые тенанты: инфраструктура в США (Amazon Web Services) и ЕС (Hetzner, Германия).
- Российские тенанты: персональные данные лиц в РФ записываются и хранятся на серверах в России в соответствии с законом о локализации (см. приложение «Россия» и отдельную Политику обработки персональных данных).
При трансграничной передаче мы применяем надлежащий механизм — например, Стандартные договорные условия Еврокомиссии (и UK Addendum/IDTA), применимое решение об адекватности либо сертификацию, или ваше явное согласие — и дополнительные меры защиты при необходимости.
Без гарантии резидентности. За исключением прямого письменного обязательства, мы не гарантируем, что конкретная локация хранения отвечает вашим требованиям или требованиям ваших клиентов к резидентности данных; вы сами определяете, отвечает ли конфигурация Сервиса вашим юридическим обязанностям.
9. Как мы защищаем данные
Мы применяем организационные и технические меры, соразмерные риску: шифрование при передаче (TLS/HTTPS); шифрование OAuth-токенов при хранении (AES-GCM, ключи управляются отдельно); логическую изоляцию тенантов; ролевой доступ и журналирование; ограничение доступа к продакшен-данным кругом уполномоченных сотрудников по принципу необходимости. Ни один способ передачи или хранения не является абсолютно безопасным, и мы не можем гарантировать абсолютную защиту.
10. Сроки хранения
Мы храним персональные данные столько, сколько необходимо для целей этой Политики — как правило, пока активен аккаунт и далее в объёме, нужном для предоставления Сервиса, соблюдения закона, разрешения споров и защиты наших соглашений. Данные хранятся в форме, позволяющей определить субъекта, не дольше, чем требуют цели обработки, если иной срок не установлен законом. Контент клиента хранится и удаляется в порядке DPA. Резервные копии перезаписываются по штатному циклу ротации.
11. Ваши права
В зависимости от страны у вас могут быть права: на доступ к данным; исправление; удаление; получение копии в переносимом формате; ограничение или возражение против обработки; отказ от отдельных видов передачи или автоматизированных решений; отзыв согласия. Для реализации напишите на support@neurocrm.vip. Мы ответим в установленный законом срок и можем запросить подтверждение личности. Вы вправе подать жалобу в надзорный орган. Если ваши данные внёс в Сервис наш бизнес-клиент, обратитесь к нему (он — контролёр); мы поможем ему как процессор.
12. Файлы cookie и аналогичные технологии
Мы используем строго необходимые cookie для работы Сервиса (вход, безопасность сессии) и — с вашего согласия, где требуется — ограниченные cookie предпочтений и аналитики. Мы учитываем сигналы вроде Global Privacy Control (GPC), где это требуется по закону. Подробности и выбор — в Политике cookie.
13. Дети
Сервис — бизнес-инструмент для организаций и лиц не моложе 18 лет. Он не предназначен для детей, и мы сознательно не собираем данные детей. Наши клиенты не должны загружать персональные данные детей, кроме случаев законного основания и письменного уведомления нас. Если вы считаете, что собраны данные ребёнка, сообщите нам для удаления.
14. Изменения Политики
Мы можем время от времени обновлять эту Политику. При существенных изменениях обновим дату «Последнее обновление» и при необходимости уведомим вас в Сервисе или по e-mail. Продолжение использования Сервиса после вступления изменений в силу означает согласие с обновлённой Политикой в допустимых законом пределах.
15. Контакты и представители
Оператор: Empire Luxury International Corporation (DBA Neuro Empire), 7901 4th St N, STE 300, St. Petersburg, FL 33702, USA.
По любым вопросам конфиденциальности, обработки данных и иным обращениям пишите на support@neurocrm.vip.
Права и детали для отдельных регионов — в приложениях ниже. Для России действует отдельная Политика обработки персональных данных.
A. ЕЭЗ и Евросоюз — GDPRДля вашего региона✓ Применимо к вам
Если вы находитесь в Европейской экономической зоне, это приложение дополняет основной текст.
Контролёр. Контролёр указан в разделе 15. По вопросам ваших персональных данных пишите на support@neurocrm.vip.
Основания. См. раздел 3 (ст. 6(1)(a)–(f) GDPR). При опоре на законные интересы (ст. 6(1)(f)) можно запросить оценку баланса.
Права (ст. 15–22). Доступ, исправление, удаление, ограничение, переносимость, возражение и право не подвергаться исключительно автоматизированным решениям с юридическими или схожими последствиями. Согласие можно отозвать, жалобу — подать в надзорный орган.
Обработка Контента клиента регулируется нашим DPA по ст. 28, включая Стандартные договорные условия ЕС при передаче за пределы ЕЭЗ.
B. Великобритания — UK GDPRДля вашего региона✓ Применимо к вам
Для лиц в Великобритании применяются UK GDPR и Data Protection Act 2018. По вопросам ваших персональных данных пишите на support@neurocrm.vip. Передача из UK опирается на IDTA или UK Addendum к SCC ЕС. Вы вправе подать жалобу в ICO.
C. Швейцария — nFADPДля вашего региона✓ Применимо к вам
Для лиц в Швейцарии применяется пересмотренный nFADP. Описанные права и основания применяются аналогично; вы можете обратиться к FDPIC. Передача опирается на SCC с признанными FDPIC швейцарскими адаптациями.
D. США — Калифорния и другие штатыДля вашего региона✓ Применимо к вам
Приложение для резидентов США, дополняет основной текст.
Мы не продаём и не «передаём» (share) персональные данные для кросс-контекстной поведенческой рекламы и не обрабатываем чувствительные данные для целей, требующих дополнительного opt-out сверх предоставления Сервиса. Мы учитываем сигналы Global Privacy Control (GPC), где это требуется.
Калифорния (CCPA/CPRA). Права знать, на доступ, удаление, исправление, отказ от продажи/передачи, ограничение использования чувствительных данных и недискриминацию. Реализация — support@neurocrm.vip. Эта Политика служит «Notice at Collection».
Другие штаты (Виргиния, Колорадо, Коннектикут, Техас, Юта, Орегон и др. по мере вступления законов) дают схожие права на доступ, исправление, удаление, копию и отказ от таргетированной рекламы, продажи и отдельного профилирования. Для обжалования ответьте на наш ответ — мы пересмотрим решение.
E. Канада — PIPEDA и Quebec Law 25Для вашего региона✓ Применимо к вам
Для лиц в Канаде мы обрабатываем данные по PIPEDA, а для жителей Квебека — по Law 25. Вы можете получить доступ, исправить данные и отозвать согласие. Жителей Квебека уведомляют о передаче за пределы Квебека и об автоматизированных решениях. Наш Privacy Officer — support@neurocrm.vip. Маркетинговые письма — по CASL.
F. Бразилия — LGPDДля вашего региона✓ Применимо к вам
Для лиц в Бразилии применяется LGPD. У вас есть права по ст. 18 LGPD (подтверждение, доступ, исправление, обезличивание, переносимость, удаление, сведения о передаче и др.), ответ — как правило, в течение 15 дней. Передача опирается на механизмы ANPD (включая SCC ANPD). По вопросам ваших персональных данных пишите на португальском на support@neurocrm.vip.
G. Россия — 152-ФЗДля вашего региона✓ Применимо к вам
Для лиц в Российской Федерации обработка персональных данных регулируется Федеральным законом № 152-ФЗ и описана в отдельной русскоязычной Политике обработки персональных данных, которая имеет преимущественную силу для российских субъектов. Персональные данные граждан РФ записываются и хранятся на серверах в России, согласие оформляется отдельным документом. NeuroCRM не осуществляет трансграничную передачу персональных данных граждан РФ: такие данные остаются на серверах в России, а данные лиц за пределами России обрабатываются на серверах за пределами России. Уведомление об обработке персональных данных подано в Роскомнадзор.
H. Азиатско-Тихоокеанский регион и другие страны
Мы соблюдаем применимое законодательство о защите данных везде, где находятся пользователи, включая Австралию (Privacy Act / APPs), Японию (APPI), Южную Корею (PIPA), Сингапур (PDPA), Индию (DPDP Act), Китай (PIPL) и др. Описанные права применяются в объёме, требуемом вашим законом. Где требуется особый механизм передачи или местное согласие (например, PIPL Китая), мы его обеспечиваем. Австралия: ничто в этой Политике и наших Условиях не исключает права, которые нельзя исключить по применимому потребительскому праву. Для реализации прав — support@neurocrm.vip.