Политика конфиденциальности
§ 1 Ответственное лицо
Ответственное лицо в соответствии с GDPR:
Jasser Seyam
Spracho – Dolmetscher Vermittlungsplattform
Индивидуальный предприниматель
Donnerschweer Str. 158
26123 Oldenburg, По всей Германии
Электронная почта support@spracho.de
Телефон: +49 172 8198349
В настоящее время ответственный за защиту данных не назначен, так как законные предпосылки (§ 38 BDSG) ещё не выполнены. По вопросам защиты данных обращайтесь, пожалуйста, по указанному выше адресу e-mail.
§ 2 Цели, правовые основания и законные интересы
| Цель обработки | Правовое основание | Законный интерес (если ст. 6 ч. 1 п. f) |
|---|---|---|
| Предоставление платформы, регистрация, управление аккаунтом | Ст. 6 ч. 1 п. b GDPR (исполнение договора / преддоговорные меры) | — |
| Посредничество в бронировании, управление встречами, передача контактных данных | Ст. 6 ч. 1 п. b GDPR | — |
| Обработка платежей (комиссия платформы, гонорар, транзакционные расходы) через Stripe | Ст. 6 ч. 1 п. b GDPR | — |
| Верификация номера телефона через SMS-OTP с использованием Twilio | Ст. 6 ч. 1 п. b GDPR | — |
| Зашифрованная внутренняя коммуникация (чат) | Ст. 6 ч. 1 п. b GDPR | — |
| Системные e-mail (подтверждения бронирования, напоминания, счета) | Ст. 6 ч. 1 п. b GDPR | — |
| Уведомления через Telegram (необязательно, по согласию) | Ст. 6 ч. 1 п. a GDPR (согласие); передача в третью страну: ст. 49 ч. 1 п. a GDPR | — |
| Отзывы и значки | Ст. 6 ч. 1 п. b/f GDPR | Обеспечение качества, формирование доверия |
| Безопасность, борьба со злоупотреблениями, предотвращение мошенничества, отслеживание неявок | Ст. 6 ч. 1 п. f GDPR | Защита платформы и пользователей от мошенничества и злоупотреблений |
| Выставление счетов, бухгалтерский учёт, налоговое хранение | Ст. 6 ч. 1 п. c GDPR (правовое обязательство: §§ 147 AO, 257 HGB, 14b UStG) | — |
| Обязанности по отчётности PStTG/DAC7 (налоговая прозрачность) | Ст. 6 ч. 1 п. c GDPR (правовое обязательство: PStTG) | — |
| Журналирование (IP-адреса, временные метки, серверные логи) | Ст. 6 ч. 1 п. f GDPR | IT-безопасность, анализ ошибок, защита от атак |
| Обработка особых категорий персональных данных (ст. 9) | Ст. 9 ч. 2 п. a GDPR (явное согласие) | — |
| Необязательные файлы cookie (статистика/маркетинг), если активированы | Ст. 6 ч. 1 п. a GDPR (согласие) | — |
§ 3 Категории данных и сроки хранения
| Категория данных | Примеры | Сохранить |
|---|---|---|
| Основные данные | Имя, e-mail, номер телефона, пароль (хеширован) | До удаления аккаунта; данные, относящиеся к налогообложению: 10 лет (§ 147 AO) |
| Найти переводчика | Фото, языки, доступность, почасовая ставка, город, дата рождения | До удаления аккаунта; метаданные фотографий удаляются сразу при загрузке |
| Отменить бронирование | Встреча, продолжительность, место встречи/адрес, тема/примечания, статус, данные счёта | 10 лет (налоговое хранение, §§ 147 AO, 14b UStG); деловая переписка: 6 лет (§ 257 HGB) |
| Шаг | Зашифрованные сообщения между клиентом и переводчиком | Автоматическое удаление через 2 дня после окончания встречи |
| Отменить бронирование | Идентификаторы транзакций Stripe, статус авторизации (номера карт в Spracho не хранятся) | 10 лет (налоговое хранение) |
| Данные верификации | SMS-OTP-коды, коды верификации e-mail | 5 или 15 минут действия; удаляются после использования или истечения срока |
| Отменить бронирование | Звёздочная оценка (1–5), комментарий, флаг анонимности | До удаления аккаунта или удаления отзыва |
| Данные Telegram | Telegram Chat-ID, токен привязки | До отмены привязки |
| Данные протоколирования | IP-адрес, браузер/User-Agent, временные метки, посещённые страницы | 90 дней (серверные логи); дольше — только при инцидентах безопасности |
| Данные согласия | Временные метки согласия с Условиями/Политикой конфиденциальности/ст. 9, анонимизированный IP, User-Agent | 3 года после удаления аккаунта (обязанность подтверждения ст. 7 ч. 1 GDPR) |
| Данные для отчётности PStTG | Налоговый ИД, адрес, дата рождения, банковские реквизиты, обороты | 10 лет (налоговое хранение) |
§ 4 Особые категории персональных данных (ст. 9 GDPR)
В силу характера переводческих услуг (напр., при визитах к врачу, в ведомства, на судебные заседания, терапевтические сеансы) в рамках использования платформы, в частности в заметках к бронированию и в зашифрованном чате, могут обрабатываться особые категории персональных данных в соответствии со ст. 9 ч. 1 GDPR. К ним относятся, в частности, данные о здоровье, данные о религиозных убеждениях, этнической принадлежности или политических мнениях.
Правовое основание: Обработка осуществляется на основании вашего явного согласия согласно ст. 9 ч. 2 п. a GDPR, которое вы даёте при регистрации путём активной отметки отдельного флажка.
Отзыв: Вы можете отозвать это согласие в любое время с действием на будущее, связавшись с нами по адресу support@spracho.de. Отзыв не влияет на правомерность обработки, осуществлённой до отзыва. Поскольку обработка таких данных при переводческих услугах не может быть системно исключена, отзыв приведёт к невозможности дальнейшего использования платформы.
Меры защиты: Заметки к бронированию видны только участвующим сторонам. Сообщения чата хранятся в Fernet-зашифрованном виде и автоматически и безвозвратно удаляются через 2 дня после окончания встречи. Переводчики подлежат договорной обязанности конфиденциальности (§ 13 Условий).
§ 5 Внутренний чат (шифрование и автоматическое удаление)
Платформа предоставляет после принятия бронирования функцию зашифрованного чата между клиентом и переводчиком.
- Шифрование: Все сообщения чата перед сохранением шифруются симметричным Fernet-шифрованием (на основе AES-128-CBC с HMAC-SHA256). Spracho не имеет доступа к открытому тексту сохранённых сообщений.
- Передача: Коммуникация между вашим браузером и нашим сервером осуществляется через HTTPS/TLS.
- Автоматическое удаление: В целях минимизации данных (ст. 5 ч. 1 п. c GDPR) все сообщения чата автоматически и безвозвратно удаляются через 2 дня после окончания забронированной встречи. Восстановление невозможно.
- Правовое основание: Ст. 6 ч. 1 п. b GDPR (исполнение договора, координация переводческой встречи).
§ 6 Передача данных между клиентом и переводчиком
Для выполнения бронирования мы передаём необходимые данные поэтапно (многоуровневая модель видимости):
| Фаза | Для переводчиков | Видимо для клиента |
|---|---|---|
| Результаты поиска | — | Имя + инициал (напр., «Анна М.»), языки, город, почасовая ставка, фото |
| Мои заявки | Детали встречи (дата, город, учреждение, тема); имя клиента скрыто («Скрыто») | Для переводчиков |
| Принятое бронирование | Имя + инициал, e-mail, телефон, точный адрес | Имя + инициал, e-mail, телефон, точный адрес |
Это поэтапное раскрытие служит минимизации данных. Без передачи данных при принятом бронировании исполнение договора невозможно (ст. 6 ч. 1 п. b GDPR).
§ 7 Получатели, обработчики данных и сторонние поставщики
Мы передаём персональные данные только в той мере, в которой это необходимо для указанных целей. Со всеми обработчиками данных мы заключили договоры на обработку данных (AVV) в соответствии со ст. 28 GDPR.
| Служба | Поставщик | Местонахождение / сервер | Цель | Передаваемые данные | Защита при передаче в третью страну |
|---|---|---|---|---|---|
| Stripe | Stripe, Inc. | США; обработка частично в ЕС (Stripe Payments Europe, Ltd., Ирландия) | Обработка платежей (Auth & Hold, Capture, Refund) | Имя, e-mail, платёжная информация, сумма бронирования, IP-адрес | EU-US Data Privacy Framework (DPF); AVV со Stripe |
| Twilio | Twilio, Inc. | США | Верификация номера телефона через SMS-OTP | Номер телефона, код верификации, статус доставки SMS | EU-US Data Privacy Framework (DPF); стандартные договорные условия (SCC); AVV с Twilio |
| Telegram | Telegram FZ-LLC | Дубай, ОАЭ (нет решения о соответствии) | Необязательные уведомления о бронировании и принятие/отклонение | Telegram Chat-ID, детали бронирования (дата, время, место, статус) | Явное согласие согласно ст. 49 ч. 1 п. a GDPR; добровольно |
| Отправка e-mail (SMTP) | Strato AG | Германия (местонахождение сервера: DE) | Системные e-mail (подтверждения, напоминания, счета) | Адрес e-mail, имя, детали бронирования | Без передачи в третью страну; AVV со Strato AG |
| Веб-хостинг | Хостинг-провайдер | ЕС / ЕЭП | Серверная инфраструктура, хостинг базы данных, резервное копирование | Все данные, обрабатываемые на платформе | AVV с хостинг-провайдером; сервер в ЕС |
Кроме того, данные могут быть переданы следующим получателям, если это требуется по закону:
- Финансовое управление / Федеральное центральное налоговое управление (отчётность PStTG, налоговые проверки)
- Правоохранительные органы (при наличии законного обязательства)
- Налоговый консультант (для бухгалтерского учёта, под профессиональной тайной)
§ 8 Передача в третьи страны (ст. 44–49 GDPR)
Передача персональных данных в страны за пределами Европейской экономической зоны (ЕЭП) осуществляется только при соблюдении условий, указанных в ст. 44–49 GDPR:
| По всей Германии | Затронутая служба | Гарантия защиты |
|---|---|---|
| США | Stripe, Twilio | Решение о соответствии для компаний, сертифицированных по EU-US Data Privacy Framework (DPF) (ст. 45 GDPR); дополнительно стандартные договорные условия (SCC, ст. 46 ч. 2 п. c GDPR) |
| ОАЭ (Дубай) | Telegram | Нет решения о соответствии. Передача исключительно на основании вашего явного согласия согласно ст. 49 ч. 1 п. a GDPR. Риск: в ОАЭ отсутствует уровень защиты данных, сопоставимый с законодательством ЕС. Права субъектов данных, возможно, не могут быть реализованы в том же объёме. Привязка является добровольной и может быть отозвана в любое время в настройках профиля. |
§ 9 Меры безопасности (ст. 32 GDPR)
Мы принимаем надлежащие технические и организационные меры (TOM) для защиты ваших данных, в частности:
- HTTPS/TLS-шифрование для всех передач данных и принудительное использование безопасных соединений (HSTS);
- Fernet-шифрование (AES-128-CBC + HMAC-SHA256) для сообщений чата в состоянии покоя;
- PBKDF2-хеширование для паролей (без хранения в открытом виде);
- Защита CSRF для всех форм;
- Ограничение частоты отправки SMS (макс. 3 на номер/час, макс. 5 на IP/час) для предотвращения SMS-pumping;
- Данные обратного вызова Telegram, подписанные HMAC-SHA256, для предотвращения манипулирования;
- Проверка подписи вебхуков Stripe;
- Автоматическое удаление EXIF-метаданных из фотографий профиля;
- Ограничение доступа и ролевые разрешения;
- Автоматическое удаление сообщений чата через 2 дня (минимизация данных);
- Автоматическое удаление/аннулирование кодов верификации по истечении срока;
- Анонимизация IP-адресов при хранении подтверждений согласия.
§ 10 Файлы cookie и аналогичные технологии
Мы используем технически необходимые файлы cookie. Необязательные файлы cookie (напр., для статистики или маркетинга) устанавливаются только с вашего явного согласия. Без согласия необязательные файлы cookie не размещаются. Необязательные скрипты загружаются только после вашего согласия (блокировка скриптов).
10.1 Технически необходимые файлы cookie
| Имя | Цель | Поставщик | Сохранить | Категория |
|---|---|---|---|---|
| sessionid | Управление сеансами (авторизация, статус) | Spracho | Сеанс (макс. ок. 2 недель) | Обязательно |
| csrftoken | Защита CSRF для форм | Spracho | до 1 года | Обязательно |
| django_language | Сохраняет выбранный язык | Spracho | до 1 года | Обязательно |
| cookie_consent | Настройки файлов cookie | Spracho | 6 месяцев | Обязательно |
Примечание о Stripe.js: На странице оплаты загружается скрипт платёжного провайдера Stripe (js.stripe.com). Это технически необходимо для безопасной обработки платежей (соответствие PCI-DSS) и встраивается исключительно на странице оплаты, не на других страницах платформы.
Настройки файлов cookie
При первом посещении мы показываем уведомление о файлах cookie. Там вы можете принять или отклонить необязательные файлы cookie. Свой выбор вы можете изменить в любое время по ссылке «Настройки файлов cookie» в подвале страницы.
§ 11 Ваши права (ст. 15–22 GDPR)
Вы обладаете следующими правами в отношении ваших персональных данных по отношению к ответственному лицу:
| Право | Место встречи (адрес) | Правовое основание |
|---|---|---|
| Информация | Вы можете запросить информацию о данных, обрабатываемых нами. | Art. 15 DSGVO |
| Исправление | Вы можете потребовать исправления неточных или дополнения неполных данных. | Art. 16 DSGVO |
| Удаление | Вы можете потребовать удаления ваших данных, если этому не препятствуют законные обязательства по хранению. | Art. 17 DSGVO |
| Ограничение | Вы можете потребовать ограничения обработки ваших данных. | Art. 18 DSGVO |
| Переносимость данных | Вы можете потребовать предоставления ваших данных в структурированном, общепринятом, машиночитаемом формате (JSON). | Art. 20 DSGVO |
| Возражение | Вы можете возразить против обработки на основании законных интересов (ст. 6 ч. 1 п. f). | Art. 21 DSGVO |
| Отзыв согласия | Вы можете отозвать данные согласия в любое время с действием на будущее. | Art. 7 Abs. 3 DSGVO |
Для реализации ваших прав свяжитесь с нами по адресу support@spracho.de. Мы ответим в течение 30 дней (ст. 12 ч. 3 GDPR).
Право на жалобу в надзорный орган:
Вы имеете право обратиться с жалобой в надзорный орган по защите данных (ст. 77 GDPR). Компетентный для нас надзорный орган:
Уполномоченный по защите данных земли Нижняя Саксония (LfD Niedersachsen)
Prinzenstr. 5, 30159 Hannover
Телефон: +49 511 120-4500
Электронная почта poststelle@lfd.niedersachsen.de
Веб: www.lfd.niedersachsen.de
§ 12 Автоматизированное принятие решений и профилирование (ст. 22 GDPR)
Исключительно автоматизированного принятия решений (включая профилирование), имеющего для вас юридическую силу или аналогичным образом существенно вас затрагивающего, не осуществляется. Присвоение значков переводчикам основано на объективных критериях (напр., количество выполненных заказов, специализация) и не оказывает неблагоприятного воздействия на ваши права.
§ 13 Удаление аккаунта
Вы можете в любое время инициировать удаление вашего аккаунта по e-mail на support@spracho.de. После удаления ваши данные незамедлительно удаляются, если этому не препятствуют законные обязательства по хранению (в частности, налоговые обязательства согласно §§ 147 AO, 257 HGB, срок хранения до 10 лет). Данные, затронутые обязательствами по хранению, блокируются и окончательно удаляются по истечении срока.
§ 14 Обязанности оператора платформы (DAC7/PStTG)
Мы обязаны в соответствии с Законом о налоговой прозрачности платформ (PStTG) собирать определённые данные о переводчиках, предлагающих услуги на платформе (напр., имя, адрес, налоговый идентификационный номер, дата рождения, банковские реквизиты, обороты), и ежегодно передавать их в Федеральное центральное налоговое управление (BZSt). Правовое основание: ст. 6 ч. 1 п. c GDPR в сочетании с PStTG. Подробности и объём данных вы найдёте в процессе регистрации.
§ 15 Оценка воздействия на защиту данных (ст. 35 GDPR)
В связи с обработкой особых категорий персональных данных (ст. 9 GDPR) и обработкой данных лиц, нуждающихся в защите, Spracho проводит оценку воздействия на защиту данных (DSFA) в соответствии со ст. 35 GDPR. DSFA регулярно проверяется и обновляется при существенных изменениях деятельности по обработке. Результаты документируются внутренне и предоставляются надзорному органу по запросу.
Политика конфиденциальности
Мы обновляем настоящую Политику конфиденциальности при появлении новых функций, изменении деятельности по обработке или правовых изменениях. Действительной является опубликованная здесь версия. О существенных изменениях мы информируем надлежащим образом (напр., по e-mail или уведомлением на платформе).