Политика обработки персональных данных

Приложение: «Экспорт email из CRM» (внутреннее наименование: b24-email-export-marketplace)
Версия документа: 1.0 от 29 мая 2026 г.
Оператор персональных данных: ООО «Веб Оптимайз», ОГРН 1087154011570, ИНН 7107506650

1. Общие положения

1.1. Настоящая Политика применяется к любой информации, относящейся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), которую ООО «Веб Оптимайз» (далее — Оператор) обрабатывает в связи с предоставлением Приложения.

1.2. Использование Приложения означает безоговорочное согласие пользователя (Лицензиата) с настоящей Политикой и указанными в ней условиями обработки его персональных данных и персональных данных лиц, чьи данные содержатся на портале Битрикс24, на котором установлено Приложение.

1.3. В случае несогласия с условиями Политики пользователь обязан удалить Приложение со своего портала Битрикс24.

2. Термины и определения

• Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
• Обработка ПД — любое действие (операция) с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.
• Оператор — ООО «Веб Оптимайз».
• Лицензиат — юридическое или физическое лицо, установившее Приложение на свой портал Битрикс24.
• Портал — экземпляр сервиса «Битрикс24» (облачная либо коробочная версия), на котором установлено Приложение.
• Битрикс24 — сервис ООО «1С-Битрикс».

3. Категории обрабатываемых персональных данных

Приложение обрабатывает следующие категории данных:

Какие данные Оператор НЕ обрабатывает:

• содержимое CRM-сделок, задач, чатов, документов Битрикс24;
• персональные данные специальных категорий (расовая, национальная принадлежность, политические взгляды, состояние здоровья и т. п.);
• биометрические персональные данные;
• платёжные данные (банковские карты, реквизиты счетов).

4. Цели обработки персональных данных

Оператор обрабатывает персональные данные исключительно в следующих целях:

• предоставление функциональности Приложения по выгрузке email-адресов из CRM Портала в файл Excel;
• аутентификация пользователей Портала и разграничение прав доступа к Приложению;
• обновление токенов доступа OAuth для поддержания работоспособности Приложения;
• обеспечение технической поддержки Лицензиатов и диагностика сбоев работы Приложения;
• предотвращение неправомерного использования Приложения (например, превышения лимитов обращений к Битрикс24 REST API);
• соблюдение требований законодательства Российской Федерации, в частности — требования модерации каталога Битрикс24 Marketplace о хранении журналов обращений к REST API не менее 3 (трёх) суток;
• опциональная валидация email-адресов через сервис smtp.bz (только при условии самостоятельного подключения администратором Портала своего API-ключа smtp.bz; на момент публикации данной версии Политики функция валидации находится в разработке).

5. Правовые основания обработки

5.1. Обработка персональных данных, выгружаемых из CRM Лицензиата, осуществляется Оператором как обработчиком по поручению Лицензиата (статья 6 152-ФЗ, часть 3). Лицензиат самостоятельно отвечает за наличие у него правовых оснований обработки персональных данных контактов и сотрудников, включая получение необходимых согласий субъектов персональных данных.

5.2. Обработка данных пользователей Портала, имеющих доступ к Приложению, осуществляется на основании согласия, выраженного Лицензиатом (администратором Портала) путём добавления пользователя в список «Кто может запускать экспорт» во вкладке «Настройки» Приложения.

5.3. Обработка технических данных (журналы REST-запросов, идентификаторы сессий) осуществляется на основании законных интересов Оператора (статья 6 152-ФЗ, часть 7) — обеспечение работоспособности и безопасности Приложения, выполнение требований модерации Битрикс24 Marketplace.

6. Способы обработки и место хранения

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации.

6.2. Хранение персональных данных осуществляется на серверах, расположенных на территории Российской Федерации (хостинг-провайдер — Timeweb Cloud). Это соответствует требованию части 5 статьи 18 152-ФЗ о локализации персональных данных граждан Российской Федерации.

6.3. Резервные копии данных хранятся в зашифрованном виде в том же центре обработки данных.

6.4. Применяются следующие меры защиты данных:

• API-ключи сервиса smtp.bz хранятся в зашифрованном виде (алгоритм AES-256-GCM с уникальным криптографическим ключом, со связкой по идентификатору Портала);
• токены OAuth Битрикс24 хранятся в БД с разграничением доступа на уровне приложения и операционной системы;
• передача данных между пользователем и сервером, а также между сервером Приложения и сервисами Битрикс24 / smtp.bz, осуществляется по протоколу HTTPS (TLS);
• cookie-сессии помечены флагами HttpOnly и Secure, передаются только по защищённому каналу;
• доступ к данным одного Портала строго изолирован от данных других Порталов на уровне базы данных (multi-tenant изоляция по идентификатору member_id);
• журналы обращений к REST API не содержат значений авторизационных токенов.

7. Сроки хранения и уничтожение данных

7.1. Персональные данные хранятся в течение всего времени, пока Приложение установлено на Портале Лицензиата.

7.2. При удалении (деинсталляции) Приложения с Портала Оператор автоматически и безвозвратно удаляет все связанные с этим Порталом данные:

• OAuth-токены доступа;
• список пользователей, имевших доступ к Приложению;
• сессионные идентификаторы;
• API-ключ smtp.bz (если был подключён);
• задачи на экспорт и сгенерированные файлы Excel;
• журналы обращений к REST API за исключением случаев, когда законодательство Российской Федерации требует более длительного хранения.

7.3. Журналы обращений к Битрикс24 REST API хранятся не менее 3 (трёх) суток в соответствии с требованиями модерации Битрикс24 Marketplace и автоматически удаляются по истечении 30 (тридцати) суток.

7.4. Сгенерированные файлы Excel хранятся на сервере не более 30 (тридцати) суток с момента создания и затем автоматически удаляются.

7.5. Удаление данных производится способом, исключающим возможность их восстановления.

8. Передача персональных данных третьим лицам

8.1. Оператор не передаёт персональные данные третьим лицам, за исключением случаев, прямо предусмотренных настоящей Политикой либо требованием действующего законодательства.

8.2. Приложение взаимодействует со следующими внешними сервисами:

• Битрикс24 REST API — Оператор получает данные из CRM Лицензиата по защищённому каналу. Битрикс24 является источником данных, а не получателем; передача данных в Битрикс24 со стороны Приложения не производится.
• smtp.bz — только при условии самостоятельного подключения администратором Портала своего API-ключа smtp.bz. В этом случае email-адреса передаются сервису smtp.bz для проверки доставляемости. Условия обработки данных сервисом smtp.bz определяются его правообладателем; рекомендуем ознакомиться с политикой конфиденциальности smtp.bz перед подключением. На момент публикации данной версии Политики функция валидации находится в разработке.

8.3. Передача данных в государственные органы осуществляется только по обоснованному и оформленному в установленном порядке запросу.

8.4. Трансграничная передача персональных данных не осуществляется.

9. Права субъектов персональных данных

9.1. В соответствии со статьями 14, 20, 21 152-ФЗ субъект персональных данных вправе:

• получать информацию, касающуюся обработки его персональных данных Оператором;
• требовать уточнения своих персональных данных, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки;
• отозвать своё согласие на обработку персональных данных;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

9.2. Для реализации указанных прав субъект персональных данных направляет письменный запрос на электронную почту info@weboptimize.ru с указанием в теме «Запрос ПД». В запросе необходимо указать:

• фамилию, имя, отчество;
• сведения, подтверждающие участие субъекта в отношениях с Оператором (доменное имя портала Битрикс24, email-адрес, на который поступал запрос и т. п.);
• конкретное требование (например, удалить данные, предоставить информацию об обработке);
• дата и подпись (для письменного обращения).

9.3. Оператор рассматривает запрос и направляет ответ в течение 30 (тридцати) дней с даты получения запроса.

9.4. Полное удаление данных, относящихся к Порталу, может быть произведено путём деинсталляции Приложения с Портала через стандартный интерфейс Битрикс24. Удаление производится автоматически в момент деинсталляции.

10. Cookie и аналогичные технологии

10.1. Для поддержания пользовательской сессии Приложение использует один технический cookie с именем b24_session, содержащий случайный 32-байтный идентификатор сессии.

10.2. Cookie помечен флагами HttpOnly, Secure и SameSite=None (последний флаг обязателен, поскольку Приложение работает во встроенном фрейме на домене Битрикс24). Cookie передаётся только по защищённому каналу HTTPS.

10.3. Cookie не содержит персональных данных в открытом виде и не передаётся третьим лицам.

10.4. Срок действия cookie — 8 часов с момента последнего открытия Приложения, после чего сессия требует повторной аутентификации через Битрикс24.

10.5. Иных трекинговых cookie или внешних аналитических систем Приложение не использует.

11. Изменения Политики

11.1. Оператор вправе вносить изменения в настоящую Политику. При внесении существенных изменений Оператор уведомляет Лицензиатов посредством размещения новой редакции по постоянному адресу публикации Политики не менее чем за 7 (семь) календарных дней до даты вступления изменений в силу.

11.2. Актуальная версия Политики всегда доступна по постоянному адресу публикации, указанному в карточке Приложения в каталоге Битрикс24 Marketplace.