Политика конфиденциальности (GDPR)
Последнее обновление: 2 июля 2026 г.
Настоящая политика конфиденциальности описывает порядок сбора, использования, хранения и защиты персональных данных в рамках использования онлайн-программного обеспечения (SaaS) ThumbLead, доступного по адресу https://thumblead.com (далее — «Сервис»).
Она составлена в соответствии с Регламентом (ЕС) 2016/679 от 27 апреля 2016 г. (далее — «GDPR») и Законом № 78-17 от 6 января 1978 г. с изменениями об информатике, файлах данных и свободах (loi Informatique et Libertés) (далее — «Закон об информатике и свободах»).
Использование Сервиса подразумевает ознакомление с настоящей политикой и её принятие. Мы просим вас внимательно с ней ознакомиться.
Статья 1 — Оператор обработки данных
Оператором обработки персональных данных, собираемых в рамках функционирования Сервиса, является издатель:
- Издатель: Enzo Violante
- SIRET: 948 968 318 000 14
- Адрес: 6 rue Émile Barthe, 34500 Béziers, France
- Внутрисоюзный номер плательщика НДС: TVA non applicable, article 293 B du CGI (освобождение от уплаты НДС по режиму franchise en base)
- Контакт (персональные данные): contact@thumblead.com
- Директор публикации: Enzo Violante
Далее именуемый «мы», «издатель» или «оператор обработки данных».
Издатель выступает в качестве оператора обработки данных в отношении данных, которые он определяет (данные учётной записи, данные для выставления счетов, технические токены, журналы и т. д.). Особый случай применяется к данным потенциальных клиентов, импортированным пользователем, в отношении которых издатель выступает в качестве обработчика данных (см. Статью 9).
Статья 2 — Собираемые персональные данные
Мы собираем исключительно данные, строго необходимые для целей, описанных в Статье 3. Обрабатываются следующие категории данных:
2.1 Данные учётной записи
- Фамилия и/или имя (либо указанное используемое имя);
- Адрес электронной почты;
- Пароль, хранимый в хешированном виде (никогда в открытом виде — см. Статью 7);
- При необходимости — сведения, полученные при входе через учётную запись Google («Google / OAuth»), такие как идентификатор учётной записи и связанный с ней адрес электронной почты.
2.2 Данные для выставления счетов
- Фамилия / наименование организации, платёжный адрес;
- При необходимости — номер SIRET и внутрисоюзный номер плательщика НДС;
- История подписок, коммерческих предложений, счетов-фактур и кредитовых авизо;
- Технические идентификаторы, связанные с платёжным провайдером (см. 2.5).
Данные платёжной карты (номер карты, код проверки подлинности) никогда не собираются и не хранятся ThumbLead. Они обрабатываются напрямую нашим платёжным провайдером Stripe (см. Статью 4). При этом, если вы указываете собственные банковские реквизиты (IBAN/BIC) для их отображения в ваших счетах-фактурах, эти данные хранятся и шифруются в состоянии покоя (см. Статью 7).
2.3 Данные контактов / CRM, вводимые пользователем
В рамках функций CRM и управления коммерческой деятельностью пользователь может создавать и сохранять карточки контактов (клиенты, потенциальные клиенты), а также заказы. Эти данные (имя, адрес электронной почты, контактные данные, заметки, сведения, относящиеся к YouTube-каналам, по которым ведётся поиск, история заказов) вводятся и управляются под единоличной ответственностью пользователя. Режим, применимый к этим данным, уточняется в Статье 9.
2.4 Токены доступа OAuth Google
Когда пользователь подключает свою учётную запись Google для синхронизации Google Calendar (и, при необходимости, других сервисов Google), мы храним токены доступа и обновления OAuth, зашифрованные в состоянии покоя (см. Статью 7) и используемые исключительно для выполнения запрошенных действий.
Для отправки своих последовательностей электронных писем в целях поиска клиентов пользователь подключает собственный почтовый ящик (SMTP). В этом случае мы храним его учётные данные для отправки (адрес электронной почты и пароль приложения), причём последний шифруется в состоянии покоя (см. Статью 7) и используется исключительно для отправки писем, которые он планирует, с его собственного адреса.
2.5 Идентификаторы Stripe
Для управления подписками и платежами мы храним технические идентификаторы, присвоенные Stripe (например, идентификатор клиента, идентификатор подписки, идентификатор токенизированного платёжного средства). Эти идентификаторы позволяют привязать подписку к учётной записи, никогда не предоставляя доступа к полным банковским реквизитам.
2.6 Технические журналы (логи)
По соображениям безопасности, диагностики и надлежащего функционирования Сервиса мы собираем технические журналы: IP-адрес, дату и время подключения, тип браузера / устройства, просмотренные страницы или функции, события ошибок и безопасности.
Статья 3 — Цели и правовые основания обработки
Каждая операция обработки основывается на определённом правовом основании в соответствии со статьёй 6 GDPR.
| Цель | Затрагиваемые данные | Правовое основание |
|---|---|---|
| Создание и управление учётной записью пользователя, предоставление Сервиса | Данные учётной записи, токены OAuth Google | Исполнение договора (ст. 6.1.b) |
| Управление подписками, платежами, коммерческими предложениями, счетами-фактурами и кредитовыми авизо | Данные для выставления счетов, идентификаторы Stripe | Исполнение договора (ст. 6.1.b) и юридическая обязанность (ст. 6.1.c — бухгалтерские и налоговые обязательства) |
| Функции CRM, календаря, последовательностей электронных писем и анализа миниатюр с помощью ИИ | Данные учётной записи, данные, вводимые пользователем, токены OAuth Google | Исполнение договора (ст. 6.1.b) |
| Синхронизация Google Calendar | Токены OAuth Google | Согласие (ст. 6.1.a — авторизация OAuth, отзываемая в любой момент) |
| Отправка последовательностей электронных писем из почтового ящика пользователя | Учётные данные почтового ящика для отправки (адрес + пароль приложения, зашифрованный) | Исполнение договора (ст. 6.1.b) |
| Безопасность Сервиса, предотвращение мошенничества и злоупотреблений, техническая диагностика | Технические журналы | Законный интерес (ст. 6.1.f) |
| Улучшение Сервиса и внутренняя статистика использования | Технические журналы (агрегированные / минимизированные данные) | Законный интерес (ст. 6.1.f) |
| Измерение аудитории с помощью стороннего инструмента (PostHog) | Данные о навигации и использовании | Согласие (ст. 6.1.a — собираемое через баннер, отзываемое в любой момент) |
| Ответы на обращения и запросы в службу поддержки | Данные учётной записи, содержание переписки | Законный интерес (ст. 6.1.f) и/или исполнение договора |
| Отправка транзакционных электронных писем (подтверждение, счёт-фактура, служебная информация) | Адрес электронной почты | Исполнение договора (ст. 6.1.b) |
| Соблюдение юридических обязательств и ответы на запросы органов власти | В зависимости от запроса | Юридическая обязанность (ст. 6.1.c) |
Когда обработка основывается на согласии, оно может быть отозвано в любой момент, при этом такой отзыв не ставит под сомнение правомерность обработки, осуществлённой ранее. Отзыв авторизации OAuth Google может, в частности, быть произведён из настроек безопасности учётной записи Google пользователя и/или из Сервиса.
Статья 4 — Получатели и обработчики данных
Данные не продаются, не сдаются в аренду и не передаются третьим лицам в коммерческих целях.
Они могут передаваться следующим категориям получателей, строго в объёме, необходимом для целей, описанных выше:
- Издателю и, при необходимости, уполномоченным лицам, действующим под его руководством;
- Обработчикам данных, перечисленным ниже, действующим по нашим указаниям и предоставляющим достаточные гарантии по смыслу статьи 28 GDPR;
- Уполномоченным административным или судебным органам по законному запросу.
Обработчики данных и поставщики услуг
| Поставщик услуг | Роль / цель | Местонахождение | Передача за пределы ЕС |
|---|---|---|---|
| Railway Corporation | Хостинг приложения и базы данных PostgreSQL | США | Да (см. Статью 5) |
| Stripe Payments Europe, Ltd. | Обработка платежей и управление подписками | Ирландия (ЕС) | Нет |
| Google Ireland Ltd. | Анализ миниатюр с помощью ИИ (Google Gemini), вход через Google / OAuth, синхронизация Google Calendar | Ирландия (ЕС) | См. Статью 5 |
| PostHog | Измерение аудитории и статистика использования Сервиса (на основе согласия пользователя) | Европейский союз (хостинг в ЕС) | Нет |
| Sentry (Functional Software, Inc.) | Обнаружение и диагностика технических ошибок (мониторинг приложения) | Европейский союз (регион хранения данных ЕС) | Нет |
| Resend и/или Gmail SMTP | Отправка транзакционных электронных писем и счетов-фактур | Google (отправка через API Gmail / Google Ireland Ltd., Ирландия) | Не применимо (поставщик услуг расположен в Европейском союзе) |
Адрес поставщика услуг хостинга: Railway Corporation, 548 Market Street, San Francisco, CA 94104, États-Unis.
Что касается данных, передаваемых Google (в частности, содержания миниатюр, анализируемых через Gemini), их обработка также подчиняется политикам конфиденциальности Google. Сервис использует эти доступы только для выполнения действий, прямо запрошенных пользователем.
Статья 5 — Передача данных за пределы Европейского союза
Хостинг приложения и базы данных PostgreSQL обеспечивается компанией Railway Corporation, зарегистрированной в США. В связи с этим определённые персональные данные подлежат передаче за пределы Европейского экономического пространства (ЕЭП).
Эта передача регулируется надлежащими гарантиями по смыслу главы V GDPR, а именно заключением типовых договорных положений (SCC), принятых Европейской комиссией (имплементационное решение (ЕС) 2021/914 от 4 июня 2021 г.), дополненных при необходимости дополнительными техническими и организационными мерами.
Что касается Google, когда договаривающимся обработчиком данных является Google Ireland Ltd. (ЕС), данные обрабатываются в европейских рамках; любая возможная передача на инфраструктуры, расположенные за пределами ЕЭП, регулируется типовыми договорными положениями и гарантиями, введёнными Google.
Копия применимых гарантий может быть получена по запросу по адресу, указанному в Статье 1.
Статья 6 — Сроки хранения
Данные хранятся только в течение срока, строго необходимого для целей, для которых они обрабатываются, после чего архивируются или удаляются в соответствии с приведёнными ниже сроками:
| Категория данных | Срок хранения |
|---|---|
| Данные учётной записи | В течение всего срока действия договорных отношений, затем удаление (или анонимизация) в течение максимального срока в 3 месяца после закрытия учётной записи |
| Токены OAuth Google | До отзыва авторизации пользователем, отключения сервиса Google или закрытия учётной записи |
| Данные для выставления счетов, счета-фактуры и бухгалтерские документы | 10 лет с момента закрытия отчётного периода, в соответствии со статьёй L123-22 Торгового кодекса (Code de commerce) |
| Контакты CRM и заказы, вводимые пользователем | В течение всего срока использования Сервиса пользователем; удаляются при закрытии учётной записи, с учётом собственных действий пользователя (см. Статью 9) |
| Технические журналы (логи) | 12 месяцев в соответствии с рекомендациями в области безопасности |
| Данные, относящиеся к обработке запросов на реализацию прав | В течение времени, необходимого для обработки запроса, затем хранение в качестве доказательства в пределах применимых сроков исковой давности |
По истечении этих сроков данные удаляются или анонимизируются необратимым образом. Некоторые данные могут храниться в промежуточном архиве с ограниченным доступом для выполнения юридической обязанности или защиты права в судебном порядке.
Статья 7 — Безопасность данных
Мы применяем надлежащие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, в соответствии со статьёй 32 GDPR. Эти меры включают, в частности:
- Хеширование паролей с помощью алгоритма bcrypt (пароли никогда не хранятся и не передаются в открытом виде);
- Шифрование в состоянии покоя чувствительных данных (в частности, банковских реквизитов типа IBAN, используемых для выставления счетов, токенов доступа Google и пароля приложения почтового ящика для отправки) с помощью шифрования AES-256;
- Шифрование сообщений при передаче с помощью протокола HTTPS/TLS;
- Контроль доступа и ограничение полномочий строго необходимым;
- Ведение журнала событий безопасности;
- Привлечение обработчиков данных, предоставляющих гарантии безопасности в соответствии со статьёй 28 GDPR.
В случае нарушения безопасности персональных данных, способного создать риск для прав и свобод затрагиваемых лиц, мы обязуемся уведомить об этом CNIL на условиях и в сроки, предусмотренные статьёй 33 GDPR, и, при необходимости, проинформировать затрагиваемых лиц в соответствии со статьёй 34 GDPR.
Поскольку ни одна система не обеспечивает абсолютной безопасности, пользователю предлагается способствовать защите своих данных, в частности выбирая надёжный пароль и сохраняя его конфиденциальность.
Статья 8 — Права затрагиваемых лиц
В соответствии с GDPR и Законом об информатике и свободах каждое затрагиваемое лицо обладает следующими правами в отношении своих персональных данных:
- Право на доступ (ст. 15 GDPR): получить подтверждение того, что касающиеся его данные обрабатываются, и получить их копию;
- Право на исправление (ст. 16 GDPR): добиться исправления неточных или неполных данных;
- Право на удаление (ст. 17 GDPR): добиться удаления своих данных, с учётом юридических обязательств по хранению (в частности, бухгалтерских и налоговых);
- Право на переносимость (ст. 20 GDPR): получить предоставленные данные в структурированном, широко используемом и машиночитаемом формате и передать их другому оператору обработки данных;
- Право на возражение (ст. 21 GDPR): возразить, по причинам, связанным с его особой ситуацией, против обработки, основанной на законном интересе;
- Право на ограничение обработки (ст. 18 GDPR): в определённых случаях потребовать временного приостановления использования своих данных;
- Право отозвать своё согласие в любой момент, когда обработка основывается на нём;
- Право определять указания относительно судьбы своих данных после смерти (ст. 85 Закона об информатике и свободах).
Как реализовать свои права
Эти права могут быть реализованы путём направления запроса по контактному адресу, указанному в Статье 1: contact@thumblead.com, либо письмом по почтовому адресу издателя.
Для обработки запроса может быть запрошено подтверждение личности. Ответ будет предоставлен в течение одного месяца с момента получения запроса, с возможностью продления на два месяца в случае сложности или большого количества запросов, о чём затрагиваемое лицо будет проинформировано.
Жалоба в CNIL
Если после обращения к издателю затрагиваемое лицо считает, что его права не соблюдаются, оно может подать жалобу в Национальную комиссию по информатике и свободам (CNIL):
- CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Сайт: https://www.cnil.fr
Статья 9 — Особый случай: данные потенциальных клиентов, импортированные пользователем
Сервис позволяет пользователю импортировать, создавать и управлять данными, относящимися к потенциальным клиентам (YouTube-каналы и их ответственные лица, коммерческие контакты, контактные данные, заметки, история переписки), в частности в рамках функций поиска клиентов, CRM и последовательностей электронных писем.
Для этих данных распределение ролей следующее:
- Пользователь является оператором обработки данных своих собственных потенциальных клиентов. Он определяет цели и средства обработки этих данных, выбирает лиц, с которыми ведётся работа, и решает, какие сообщения им направляются.
- Издатель (ThumbLead) выступает в качестве обработчика данных по смыслу статьи 28 GDPR: он обрабатывает эти данные исключительно по указанию пользователя и от его имени, единственно в целях предоставления функций Сервиса.
В связи с этим пользователь, в качестве оператора обработки данных своих потенциальных клиентов, обязан:
- располагать действительным правовым основанием для поиска клиентов (в частности, соблюдением правил, применимых к поиску клиентов в сегментах B2B и B2C, директиве о «конфиденциальности и электронных коммуникациях», статье L34-5 Кодекса почтовых и электронных коммуникаций (Code des postes et des communications électroniques) и руководящим указаниям CNIL);
- информировать лиц, с которыми ведётся работа, и соблюдать их права (доступ, возражение, удаление и т. д.);
- получать, когда это требуется, предварительное согласие лиц;
- следить за правомерностью источников, из которых получены импортированные данные.
Издатель, в качестве обработчика данных, обязуется обрабатывать эти данные только в соответствии с документированными указаниями пользователя, обеспечивать их конфиденциальность и безопасность, а также удалять или возвращать их по завершении оказания услуг на условиях, предусмотренных общими условиями Сервиса и, при необходимости, отдельным соглашением об обработке данных (DPA). Кроме того, издатель заключил соглашения об обработке данных (DPA) со своими собственными обработчиками данных (Railway, Stripe, Google).
Статья 10 — Файлы cookie и трекеры
Сервис использует по существу технические файлы cookie, строго необходимые для его функционирования:
- файлы cookie сеанса и аутентификации (позволяющие поддерживать пользователя в подключённом состоянии);
- файлы cookie предпочтений (запоминание настроек интерфейса).
Поскольку эти файлы cookie строго необходимы для предоставления прямо запрошенного Сервиса, они освобождаются от требования получения согласия в соответствии со статьёй 82 Закона об информатике и свободах и руководящими указаниями CNIL.
Сервис не использует рекламные файлы cookie третьих лиц и не осуществляет отслеживание в целях рекламного таргетинга.
Для получения более подробной информации о характере используемых файлов cookie и управлении ими следует обратиться к Политике использования файлов cookie Сервиса: https://thumblead.com/politique-cookies.
Статья 11 — Несовершеннолетние
Сервис предназначен для профессионалов (фрилансеров, индивидуальных предпринимателей) и не предназначен для несовершеннолетних. Мы сознательно не собираем данные, относящиеся к лицам младше 15 лет. Если нам станет известно о сборе таких данных без требуемого согласия, мы удалим их в кратчайшие сроки. Любое лицо, полагающее, что несовершеннолетний передал нам данные, приглашается сообщить нам об этом по адресу, указанному в Статье 1.
Статья 12 — Изменения настоящей политики
Настоящая политика конфиденциальности может быть изменена в любой момент, в частности с целью учёта законодательных, нормативных, судебных или технических изменений, либо изменений Сервиса.
Применимой версией является версия, действующая на дату доступа к Сервису, при этом дата последнего обновления указана в начале настоящего документа. В случае существенного изменения пользователи могут быть проинформированы об этом надлежащим способом (например, по электронной почте или уведомлением в рамках Сервиса). Продолжение использования Сервиса после вступления изменений в силу означает ознакомление с ними.