Защита персональных данных

1. Контролёр персональных данных и роли при обработке

1.1 Две роли при обработке персональных данных

При обработке персональных данных Taxorio выступает в двух различных ролях, которые необходимо строго разграничивать:

• Контролёр (оператор) персональных данных — в отношении собственных зарегистрированных пользователей (ИП/самозанятых, предпринимателей). Taxorio сам определяет цель и средства обработки их регистрационных, идентификационных и эксплуатационных данных (имя, e-mail, IČO, платёжный адрес для подписки, технические логи).
• Обработчик персональных данных — в отношении персональных данных третьих лиц (клиентов и поставщиков пользователя), которые пользователь вносит в приложение в рамках ведения своей фактурации. В этих отношениях контролёром является исключительно пользователь, который решает, кому, что и по какой причине выставлять счета. Taxorio предоставляет лишь технический инструмент.

Договорная основа отношений контролёр–обработчик урегулирована Договором об обработке данных (DPA) в ст. 9 Условий использования, с которым пользователь выражает согласие при регистрации. На пользователе как контролёре лежит обязанность обеспечить законное основание для внесения персональных данных своих клиентов в приложение.

1.2 Уполномоченный по защите персональных данных

Оператор не назначил уполномоченного по защите персональных данных (DPO), поскольку не отвечает условиям ст. 37 GDPR — его основной деятельностью не является масштабный регулярный и систематический мониторинг субъектов данных, ни масштабная обработка особых категорий данных. Все вопросы по обработке персональных данных рассматриваются непосредственно оператором по адресу info@taxorio.cz.

2. Какие персональные данные мы обрабатываем

2.1 Данные при регистрации и входе

Зарегистрироваться и войти можно двумя способами:

• Вход через Google (OAuth): Имя, e-mail и изображение профиля из вашего аккаунта Google
• Вход по e-mail и паролю: Адрес электронной почты и пароль. Пароль мы не храним в читаемом виде — мы храним лишь его односторонний криптографический отпечаток (алгоритм bcrypt). Кроме того, мы временно храним одноразовые токены для подтверждения e-mail и для восстановления забытого пароля.
• Идентификация пользователя: Уникальный ID пользователя, генерируемый системой; предпочитаемый язык интерфейса

2.2 Предпринимательские данные (ИП/самозанятые)

• IČO, DIČ (ИНН, если является плательщиком НДС)
• Коммерческое наименование или имя и фамилия
• Адрес юридического лица или места ведения деятельности
• Банковские реквизиты (номер счёта, код банка) для формирования счетов
• Email и телефонный контакт для счетов

2.3 Данные фактурации и бухгалтерского учёта

• Выставленные счета (номер счёта, позиции, суммы, НДС)
• Учёт расходов (поставщики, суммы, категории, приложения документов)
• Загруженные PDF-файлы и отсканированные документы (чеки, счета)
• Метаданные о документах (дата создания, данные, распознанные ИИ)

2.4 Технические данные

• IP-адрес: Для целей аналитики посещаемости обрабатывается в анонимизированном виде. Для целей безопасности (запись о входе, защита от злоупотребления аккаунтом) IP-адрес и тип браузера сохраняются у токенов входа (refresh) и при подключении интеграции MCP в неанонимизированном виде на срок действия токена (как правило, 30 дней) на основании законного интереса.
• Тип браузера и устройства (user-agent)
• Дата и время доступа, последний вход
• Эксплуатационные логи и логи сообщений об ошибках (для технической поддержки и безопасности)

2.5 Платёжные данные (только тариф Pro)

• Данные о подписке (тариф, дата активации, платёжный период)
• Платёжные карты: Мы не обрабатываем и не храним полные номера платёжных карт — все платёжные данные безопасно обрабатываются поставщиком платёжного шлюза Stripe (сертифицирован по PCI DSS Level 1). В нашей базе данных мы храним лишь идентификаторы клиента и подписки из Stripe (stripeCustomerId, stripeSubscriptionId).

2.6 Персональные данные третьих лиц (клиенты и поставщики пользователя)

• Имя / коммерческое наименование, IČO, DIČ, сведения о статусе плательщика НДС
• Адрес, e-mail, телефон, заметки
• Банковские реквизиты и данные фактурации (номера счетов, суммы)
• Отсканированные документы, в которых встречаются эти данные

За законное основание для внесения этих данных и за информирование затронутых лиц отвечаете как контролёр вы (см. ст. 7 и ст. 13).

2.7 Данные ИИ-ассистента (чат)

Если вы используете ИИ-ассистента, мы обрабатываем:

• Историю беседы (ваши запросы и ответы ассистента), которую мы храним в вашем аккаунте до тех пор, пока вы не завершите беседу или не удалите аккаунт
• Контекст для ответа на запрос, который передаётся языковой модели: ваше имя, IČO, DIČ, налоговый статус и сводные финансовые данные (доходы, расходы, налоговая база, НДС за период) и — если это необходимо для запроса — список ваших счетов, расходов и клиентов. Подробности об обработке моделью см. в ст. 9.

2.8 Данные автоматического сопоставления платежей (опционально)

Если вы активируете сопоставление платежей из e-mail-уведомлений банка, мы обрабатываем содержимое этих пересланных e-mail и машинно (ИИ) извлекаем из них платёжные данные:

• Сумма, валюта, переменный символ (variabilní symbol), дата и описание платежа
• Имя, номер счёта и IBAN плательщика (персональные данные третьего лица — плательщика, в отношении которого вы являетесь контролёром)
• Приложения уведомления (банковские выписки) и адрес отправителя e-mail

3. Цель обработки персональных данных

Цель	Правовое основание
Работа аккаунта и аутентификация пользователя	Исполнение договора (ст. 6 п. 1 подп. b GDPR)
Выставление счетов и учёт расходов	Исполнение договора
Распознавание документов с помощью ИИ (OCR)	Исполнение договора
ИИ-ассистент (чат) и его история	Исполнение договора
Автоматическое сопоставление платежей из e-mail-уведомлений	Исполнение договора, законный интерес
Отслеживание доставки и открытия отправленных счетов	Законный интерес (ст. 6 п. 1 подп. f) — контролёром является пользователь, см. ст. 4.4
Экспорт XML для EPO (Налоговая инспекция)	Исполнение правовой обязанности (ст. 6 п. 1 подп. c)
Обработка платежей за подписку	Исполнение договора
Безопасность аккаунта и защита от злоупотреблений (IP, логи)	Законный интерес (ст. 6 п. 1 подп. f)
Техническая поддержка и решение проблем	Законный интерес (ст. 6 п. 1 подп. f)
Аналитика и улучшение сервиса	Согласие (аналитические cookies) — см. ст. 8
Маркетинговая коммуникация (рассылка)	Согласие пользователя (ст. 6 п. 1 подп. a)

4. Кому мы передаём ваши данные

Мы НЕ ПРОДАЁМ ваши персональные данные третьим лицам. Мы делимся ими только с надёжными партнёрами, необходимыми для работы сервиса:

4.1 Субобработчики (технологические партнёры)

Для работы сервиса мы используем перечисленных ниже субобработчиков. По каждому мы указываем цель, место обработки и гарантию для возможной передачи за пределы ЕС (подробности о передаче в США см. в ст. 10):

• Railway (Railway Corp., США) — хостинг приложения, база данных (PostgreSQL) и файловое хранилище отсканированных документов и счетов. Данные хранятся и обрабатываются в дата-регионе Европейского союза (edge в городе Амстердам, ЕС).
• Google — Gemini API (Google Ireland Limited / Google LLC) — распознавание документов с помощью ИИ (OCR), ИИ-ассистент и машинное извлечение данных из платёжных уведомлений. Мы используем исключительно платный интерфейс («Paid Services»), в отношении которого Google, согласно своим условиям и дополнению об обработке данных (Data Processing Addendum), не использует входные и выходные данные для обучения своих моделей. См. ст. 9.
• Resend (Resend, Inc., США) — отправка системных e-mail, верификационных e-mail, счетов получателям и рассылки, а также приём e-mail-уведомлений банка для сопоставления платежей.
• Stripe (Stripe Payments Europe, Ltd. / Stripe, Inc.) — обработка платежей за подписку; сертификация PCI DSS Level 1. Не распространяется на данные фактурации ваших клиентов.

Мы НЕ ПРОДАЁМ ваши персональные данные и данные ваших клиентов и не передаём их третьим лицам для их собственных маркетинговых целей. Субобработчики обрабатывают их исключительно по нашим указаниям и для вышеуказанных целей.

4.2 Аналитические инструменты

• Google Analytics 4 (Google) — анонимизированная статистика посещаемости сайта (включена анонимизация IP). Активируется только с вашего согласия через cookie-баннер (Google Consent Mode v2 — по умолчанию аналитическое хранилище запрещено).

4.3 Официальная коммуникация

Мы можем предоставить персональные данные:

• Налоговой инспекции на основании правового требования
• Судам и органам, осуществляющим уголовное производство (если этого требует закон)

4.4 Отслеживание доставки отправленных счетов

Если вы отправите счёт получателю по e-mail через приложение, мы фиксируем, был ли e-mail доставлен, открыт или доставка не удалась (и причину недоставки). Эта функция помогает вам узнать, что счёт дошёл. В отношении ваших получателей контролёром являетесь вы и используете эту функцию на основании своего законного интереса; мы обеспечиваем лишь техническую реализацию через субобработчика Resend.

5. Как мы защищаем ваши данные

5.1 Технические меры безопасности

• Шифрованная передача (TLS/HTTPS): Вся коммуникация между браузером и сервером зашифрована
• Шифрование данных в покое (at-rest): База данных и файловое хранилище шифруются на уровне инфраструктуры поставщика (Railway)
• Пароли: При входе по e-mail пароли хранятся исключительно в виде односторонних криптографических отпечатков (bcrypt), никогда в читаемом виде. В качестве альтернативы можно использовать вход через Google (OAuth 2.0)
• Управление сессиями: Краткосрочные токены доступа (JWT) и ротируемые токены входа (refresh), хранимые в виде отпечатков; защищённые cookies (HttpOnly, Secure)
• Ограничение частоты запросов (rate-limiting): Защита API от чрезмерной и автоматизированной нагрузки
• Регулярное резервное копирование: Автоматические ежедневные резервные копии базы данных (хранятся 30 дней; служат для восстановления сервиса после аварии, а не для восстановления отдельно удалённых данных)

5.2 Организационные меры

• Доступ к продакшен-базе данных и инфраструктуре имеет только оператор как единственное уполномоченное лицо, связанное обязательством конфиденциальности
• Многофакторная аутентификация (MFA) на административных аккаунтах, через которые управляется сервис (поставщик инфраструктуры, Google, платёжный шлюз)
• Регулярные ревизии безопасности исходного кода
• Постоянный мониторинг работы и ошибочных состояний приложения

Ни одна техническая мера не даёт абсолютной гарантии безопасности; принятые меры соответствуют характеру обработки, объёму сервиса и актуальному уровню техники в смысле ст. 32 GDPR.

6. Как долго мы храним ваши данные

Тип данных	Максимальный срок хранения в системе Taxorio
Бухгалтерские документы (счета, расходы)	Макс. 10 лет, если аккаунт активен — установленную законом архивацию обеспечивает пользователь сам
Налоговые документы (экспорты XML)	Макс. 10 лет, если аккаунт активен — установленную законом архивацию обеспечивает пользователь сам
Аккаунт пользователя (активный)	На срок действия договора
Аккаунт пользователя (неактивный)	Неактивный аккаунт мы можем закрыть не ранее чем через 3 года с момента последнего входа; об удалении можно попросить и раньше
История ИИ-ассистента (чат)	До завершения беседы пользователем или до удаления аккаунта
Записи о сопоставлении платежей	На срок существования аккаунта или до удаления пользователем
Эксплуатационные записи об использовании ИИ (количество токенов, задержка — без содержания документов)	Для статистики и контроля расходов; не содержат персональных данных из документов
Токены входа (refresh), включая IP и тип браузера	До истечения токена, как правило 30 дней
Технические логи и логи безопасности	90 дней
Резервные копии базы данных	30 дней (аварийное восстановление сервиса)
Загруженные файлы (PDF, отсканированные документы)	На срок существования аккаунта или до удаления пользователем

7. Ваши права согласно GDPR

В отношении ваших персональных данных вы имеете следующие права:

7.1 Право на доступ

Вы можете запросить копию всех персональных данных, которые мы о вас обрабатываем. Экспорт ваших данных можно выполнить непосредственно в приложении (Настройки → Мои данные → Подготовить экспорт).

7.2 Право на исправление

Вы можете исправить неправильные или неполные персональные данные непосредственно в настройках аккаунта или связаться с нами по e-mail.

7.3 Право на удаление («право быть забытым»)

Вы можете запросить удаление вашего аккаунта и всех связанных данных, отправив запрос на info@taxorio.cz с e-mail, на который вы зарегистрированы. После удаления удаляются все счета, расходы, клиенты, документы и загруженные файлы. Обращаем внимание, что установленную законом обязанность архивировать бухгалтерские документы в течение 5–10 лет несёт исключительно пользователь — после удаления аккаунта данные не подлежат восстановлению (см. раздел 6).

7.4 Право на ограничение обработки

При определённых обстоятельствах вы можете запросить приостановку обработки ваших данных.

7.5 Право на переносимость данных

Вы имеете право получить свои данные в структурированном, общеупотребительном и машиночитаемом формате (JSON, CSV, XML). Экспорт доступен в настройках аккаунта.

7.6 Право на возражение

Вы можете возразить против обработки данных, основанной на законном интересе (например, маркетинговая коммуникация).

7.7 Право отозвать согласие

Если вы дали согласие на маркетинговую коммуникацию (рассылку), вы можете отозвать его в любой момент, нажав на ссылку «Отписаться» в e-mail или в настройках аккаунта.

8. Cookies и технологии отслеживания

8.1 Необходимые cookies

Мы используем только необходимые cookies для функционирования приложения:

• Session cookie: Поддерживает ваш вход в систему (удаляется после закрытия браузера)
• Auth token: Токен безопасности для аутентификации (HttpOnly, Secure)

8.2 Аналитические cookies (опционально)

С вашего согласия мы используем:

• Google Analytics 4: Анонимизированная статистика посещаемости (анонимизация IP включена)

Аналитические cookies вы можете в любой момент отклонить в настройках браузера или через cookie-баннер на сайте.

9. ИИ-функции (распознавание документов и ассистент)

Как мы обрабатываем данные в ИИ-функциях:

• Отсканированные документы (фотографии, PDF), запросы в ИИ-ассистенте и содержимое e-mail-уведомлений о платежах мы отправляем на машинную обработку в сервис Google Gemini API
• Мы используем исключительно платный интерфейс Gemini («Paid Services»). Согласно условиям Google и дополнению об обработке данных (Data Processing Addendum), Google не использует входные и выходные данные для обучения своих моделей; данные обрабатываются лишь в течение времени, необходимого для выполнения запроса. (Для полноты: бесплатный интерфейс Gemini позволил бы Google использовать данные для улучшения моделей — именно поэтому мы его не используем.)
• Изображение документа после распознавания хранится в вашем аккаунте в файловом хранилище в ЕС (Railway); вы можете удалить его в любой момент в приложении
• При работе с ИИ-ассистентом модели передаётся контекст из вашего аккаунта, описанный в ст. 2.7
• Рекомендуем: Всегда проверять распознанные и сгенерированные данные путём сравнения с оригинальным документом или источником

9.1 Прозрачность результатов ИИ согласно EU AI Act

В соответствии со ст. 50 Регламента Европейского парламента и Совета (ЕС) 2024/1689 об искусственном интеллекте (EU AI Act), которая обязывает операторов систем ИИ прозрачно обозначать результаты, сгенерированные или обработанные искусственным интеллектом, Taxorio обеспечивает, чтобы пользователь в пользовательском интерфейсе был чётко проинформирован о том, что результаты функции распознавания документов с помощью ИИ имеют вероятностный характер — это не гарантированная машинная транскрипция, а статистическая оценка модели.

Эта информация сообщается пользователю при первом взаимодействии с функцией распознавания ИИ. Результаты ИИ не являются обязательными или точными — пользователь обязан всегда проверять их и вручную подтверждать перед сохранением в учёт.

9.2 Особые категории персональных данных

10. Передача данных за пределы ЕС

Ваши данные в состоянии покоя (at-rest) хранятся на серверах в Европейском союзе.

• База данных и файловое хранилище: Railway — дата-регион Европейского союза (edge Амстердам)

Однако некоторые наши субобработчики являются компаниями с местонахождением в Соединённых Штатах (Google / Gemini API и Google Analytics, Resend, Stripe), и часть обработки (в частности, машинная обработка в ИИ и отправка e-mail) может происходить на их инфраструктуре за пределами ЕС. Для этих передач применяются надлежащие гарантии согласно главе V GDPR:

• EU-US Data Privacy Framework (DPF) — у субобработчиков, сертифицированных в рамках этого механизма
• Стандартные договорные положения (SCC) Европейской комиссии в качестве дополнительной или альтернативной гарантии

Эти гарантии являются частью договоров об обработке данных (DPA), заключённых с отдельными субобработчиками.

11. Изменения политики защиты персональных данных

Мы можем время от времени обновлять эту политику. О существенных изменениях мы будем вас информировать:

• По e-mail (если у вас активный аккаунт)
• Уведомлением в приложении
• Обновлением даты «Последнее обновление» в шапке этого документа

12. Контакты и жалобы

12.1 Право подать жалобу

Если вы считаете, что мы обрабатываем ваши персональные данные в нарушение GDPR, вы имеете право подать жалобу в надзорный орган:

13. Инциденты безопасности

В случае нарушения безопасности персональных данных Taxorio как обработчик действует следующим образом:

• Информирует пользователя (контролёра) без неоправданной задержки после того, как ему стало известно о нарушении безопасности (ст. 33 п. 2 GDPR), чтобы пользователь успел выполнить свой собственный 72-часовой срок уведомления в адрес ÚOOÚ
• Предоставляет пользователю доступную информацию, необходимую для оценки характера и масштаба инцидента
• Принимает незамедлительные технические меры для защиты системы и предотвращения дальнейшей утечки

14. Ограничение ответственности

← Назад на главную страницу