Политика обработки персональных данных

Настоящая Политика определяет порядок обработки персональных данных клиентов автосервиса «ООО "АвтоШиРООО"» при использовании сервиса онлайн-записи (далее — «Сервис»), а также принимаемые меры по обеспечению их безопасности. Политика разработана в соответствии с Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных».

Используя Сервис и направляя заявку на запись в автосервис, вы подтверждаете согласие с условиями настоящей Политики и даёте согласие на обработку своих персональных данных Оператором.

1Сведения об операторе

Оператором персональных данных, собираемых через Сервис онлайн-записи, является:

2Сведения о лице, осуществляющем обработку по поручению Оператора

Для технического обеспечения работы Сервиса онлайн-записи Оператор привлекает следующее лицо, осуществляющее обработку персональных данных по поручению Оператора (на основании ст. 6 ч. 3 Федерального закона № 152-ФЗ):

АвтоШиро обеспечивает только техническую защиту данных и не использует данные клиентов автосервиса для собственных целей. Ответственность за законность обработки несёт Оператор.

3Какие данные мы собираем

При записи на услуги автосервиса через Сервис собираются следующие данные, которые вы предоставляете добровольно:

• Имя — для обращения и идентификации записи
• Номер телефона — для подтверждения, напоминаний и связи в случае изменений
• Марка и модель автомобиля — для подготовки к выполнению работ
• Выбранная услуга, цех, дата и время записи
• Идентификатор пользователя ВКонтакте (VK ID) — если запись производится через мини-приложение ВКонтакте, для отправки уведомлений
• Дополнительные комментарии к записи (при наличии) — если вы их оставили

Также автоматически собираются технические данные:

• IP-адрес, тип и версия браузера, тип устройства и операционной системы
• Время посещения страниц и взаимодействия с виджетом
• Файлы cookies для обеспечения работы виджета

4Цели обработки

Ваши данные обрабатываются исключительно для следующих целей:

• Организация и подтверждение записи на услуги автосервиса
• Отправка уведомлений о статусе записи (подтверждение, отмена, напоминание за 24 часа и за 1 час до визита)
• Связь с вами по вопросам записи (изменение времени, уточнения, отмена)
• Ведение истории посещений и предоставление вам персонального обслуживания при повторных визитах
• Учёт оказанных услуг и расчётов в соответствии с требованиями налогового и бухгалтерского законодательства РФ
• Защита от спама и автоматизированных атак на Сервис

5Правовые основания обработки

Обработка персональных данных осуществляется на следующих основаниях:

• Согласие субъекта персональных данных на обработку — выражается путём проставления отметки в форме записи (п. 1 ч. 1 ст. 6 ФЗ-152)
• Исполнение договора возмездного оказания услуг, стороной которого является субъект персональных данных, — для оказания услуг автосервиса (п. 5 ч. 1 ст. 6 ФЗ-152)
• Требования действующего законодательства Российской Федерации

6Срок и условия хранения

Персональные данные хранятся не дольше, чем этого требуют цели обработки. Применяются следующие сроки:

• Записи активных клиентов — в течение срока, необходимого для целей обработки, и не менее сроков, установленных налоговым и бухгалтерским законодательством РФ для хранения данных о сделках
• Несостоявшиеся (отменённые) записи — не более 12 месяцев
• Архивные копии данных при удалении автосервиса из системы — не более 90 дней с даты удаления, после чего удаляются автоматически
• Системные журналы и логи — не более 30 дней
• Технические данные (cookies) — до 6 месяцев

Удаление выполняется автоматизированными задачами по расписанию. По истечении срока хранения, либо при отзыве согласия, либо при достижении цели обработки данные удаляются или обезличиваются.

7Хранение данных и трансграничная передача

Все персональные данные клиентов хранятся на серверах, расположенных на территории Российской Федерации, что соответствует требованиям ч. 5 ст. 18 Федерального закона № 152-ФЗ о локализации баз данных.

Все персональные данные обрабатываются и хранятся исключительно на территории Российской Федерации. Трансграничная передача персональных данных в иностранные государства не осуществляется.

Примечание: при использовании оператором функции Web Push-уведомлений для своих сотрудников может задействоваться сервис доставки push-сообщений браузера (предоставляемый разработчиком браузера). В этом случае передаётся только техническое тело уведомления (например, «Новая запись на 15:00») без ФИО, телефона и иных идентифицирующих данных клиента.

8Передача третьим лицам

Оператор не передаёт ваши персональные данные третьим лицам, за исключением случаев:

• Передача сервису АвтоШиро (Карпов С.А., ИНН 744517988420) для технического обеспечения работы онлайн-записи
• Передача хостинг-провайдеру ООО «ТАЙМВЭБ.КЛАУД» — для размещения и хранения данных на серверах в РФ
• Передача ВКонтакте (ООО «В Контакте», ОГРН 1027739850962) — для функций мини-приложения ВКонтакте и отправки уведомлений (имя клиента, телефон, услуга, время — в тексте сообщения операторам автосервиса)
• Передача через сервис доставки Web Push-уведомлений браузера (для уведомлений сотрудникам автосервиса) — передаётся только тело уведомления без идентифицирующих данных клиента
• Передача в налоговые органы РФ при выставлении чеков и формировании отчётности
• Когда передача требуется по обязательному требованию государственных органов РФ
• С вашего отдельного согласия

9Меры защиты

Для защиты персональных данных применяются следующие технические и организационные меры:

• Шифрование канала передачи — протокол HTTPS с TLS 1.2 и выше, обязательный редирект с HTTP на HTTPS, заголовок HSTS
• Хеширование паролей — пароли пользователей хранятся исключительно в виде криптографических хешей (bcrypt). Восстановление исходного пароля по хешу невозможно
• Маскирование персональных данных в системных журналах — номера телефонов отображаются в виде «***4567», IP-адреса — с заменой младших октетов
• Разграничение прав доступа по ролям: владелец автосервиса, оператор цеха
• Изоляция данных — каждый автосервис имеет собственную базу данных. Технически невозможно получить данные одного автосервиса через интерфейс другого
• Защита от спама и брутфорса — настраиваемые лимиты по IP-адресу, идентификатору ВКонтакте и номеру телефона
• Журналирование действий с персональными данными
• Резервное копирование баз данных
• Ограничение физического доступа к оборудованию обеспечивается дата-центром

9.1Журналирование согласия

В целях обеспечения доказуемости согласия (ст. 9 ФЗ-152) при каждой записи фиксируются:

• Точная дата и время проставления отметки согласия
• Версия текста согласия, действовавшая на момент его получения
• IP-адрес устройства, с которого было дано согласие

Эти данные хранятся вместе с записью и используются исключительно для подтверждения факта получения согласия.

10Ваши права

В отношении ваших персональных данных вы имеете право:

• Получить информацию о наличии и составе обрабатываемых данных
• Требовать уточнения, блокирования или уничтожения данных
• Отозвать своё согласие на обработку в любой момент
• Обратиться с жалобой в Роскомнадзор
• Защищать свои права в судебном порядке

Срок рассмотрения обращений — не более 10 рабочих дней со дня получения. Срок может быть продлён не более чем на 5 рабочих дней по мотивированному уведомлению.

11Cookies

Сервис использует файлы cookie для запоминания настроек, обеспечения работы виджета записи и сбора обезличенной статистики посещений. Отключить cookies можно в настройках вашего браузера, однако часть функций виджета может работать некорректно.

12Контакты для обращений

По всем вопросам, связанным с обработкой персональных данных, отзывом согласия или реализацией ваших прав, обращайтесь к Оператору:

13Изменения в Политике

Оператор вправе обновлять настоящую Политику. Актуальная редакция всегда размещена по адресу публикации с указанием даты последнего обновления. При существенных изменениях Оператор уведомит клиентов через Сервис или по предоставленным контактным данным.