Политика обработки персональных данных

1. Оператор персональных данных

Оператором персональных данных является ИП Колодкина Екатерина Денисовна, ИНН 623410734987. Адрес регистрации оператора: 390011, Рязанская обл., г. Рязань, ул. Халтурина, д. 2, кв. 31. Контакты для обращений по вопросам персональных данных: +7 (916) 407-60-99, sto1-krd@mail.ru.

Автосервис оказывает услуги по адресу: Российская Федерация, г. Краснодар, ул. Кирилла Россинского, д. 5.

2. Какие данные обрабатываются

Сайт и будущая серверная часть обрабатывают только данные, необходимые для записи, обслуживания клиента, истории заказов и связи с автосервисом:

• номер телефона, подтверждённый одноразовым SMS-кодом;
• имя клиента, если клиент указывает его в форме записи;
• данные автомобиля: марка, модель, год, государственный номер при указании клиентом;
• параметры записи: услуга, дата, время, комментарий, предпочтительный канал связи;
• VIN автомобиля, если клиент указывает его для автозаполнения данных автомобиля;
• история заказов, выполненные работы, суммы заказов, статусы открытых и закрытых заказов;
• бонусный баланс, история начисления и ручные действия сотрудников по заказам;
• отзывы по закрытым заказам, если клиент оставляет отзыв в личном кабинете;
• отдельное добровольное согласие на получение полезных сообщений, акций и важных новостей сервиса, если клиент поставил соответствующую галочку;
• технические данные безопасности: дата и время действий, IP-адрес, user agent, события аудита.

3. Цели обработки

• подтверждение номера телефона и вход в личный кабинет;
• создание и обработка онлайн-записи на сервис;
• ведение истории ремонта, открытых и закрытых заказов;
• начисление бонусов и применение правил программы лояльности;
• связь с клиентом по записи, ремонту, смете и качеству работ;
• отправка полезных сообщений, напоминаний, акций и важных новостей сервиса только при отдельном добровольном согласии клиента;
• передача заявки в CRM, SMS-провайдеру и платёжному провайдеру после подключения соответствующих интеграций;
• обеспечение безопасности сайта, предотвращение злоупотреблений, ведение audit log;
• исполнение требований законодательства Российской Федерации.

4. Правовое основание

Обработка выполняется на основании Федерального закона №152-ФЗ «О персональных данных», согласия субъекта персональных данных, действий клиента по записи на услуги автосервиса и необходимости исполнения обязательств перед клиентом.

Согласие оформляется отдельно на странице «Согласие на обработку персональных данных» и подтверждается клиентом в формах сайта.

5. Передача данных третьим лицам

Данные могут передаваться только тем сервисам, которые нужны для работы сайта и обслуживания клиента:

• SMS-провайдеру — для отправки одноразового кода;
• учётной системе 1С (после интеграции) — для ведения сделок, заказ-нарядов, оплат и истории клиента;
• PayKeeper и онлайн-кассе — для оплаты и фискализации после подключения платежей;
• хостинг-провайдеру и техническим подрядчикам — для эксплуатации сайта и backend.

Секреты интеграций, SMS-ключи, токены учётных систем и платёжные ключи должны храниться только на серверной стороне и не размещаются в HTML, CSS или JavaScript сайта.

6. Локализация и хранение

При сборе персональных данных через сайт запись, систематизация, накопление, хранение, уточнение и извлечение данных должны выполняться с использованием баз данных, находящихся на территории Российской Федерации.

Срок хранения определяется целями обработки: данные кабинета и заказов хранятся пока они нужны для обслуживания клиента, гарантийной истории, бухгалтерского и правового учёта; технические журналы хранятся ограниченный срок, необходимый для безопасности и расследования инцидентов.

7. Отзывы клиентов

Отзыв в личном кабинете можно оставить только по закрытому заказу. По умолчанию отзыв используется внутри сервиса для контроля качества и не публикуется публично на сайте без отдельного согласия клиента на распространение персональных данных.

8. Информационные сообщения, акции и новости

Согласие на получение полезных сообщений СТО №1, акций и важных новостей сервиса является отдельным и добровольным. Отказ от такого согласия не влияет на возможность записаться на сервис, получить услугу, войти в личный кабинет или использовать историю заказов.

Если клиент поставил соответствующую галочку, оператор может направлять сообщения по SMS или выбранному клиентом каналу связи. Клиент может отказаться от таких сообщений в любой момент: в личном кабинете через блок «Уведомления», по телефону +7 (916) 407-60-99 или на email sto1-krd@mail.ru.

9. Права клиента

Клиент имеет право запросить информацию об обработке своих персональных данных, уточнить данные, потребовать прекращения обработки или отозвать согласие, если дальнейшая обработка не требуется по закону или договорным обязательствам.

Обращение можно направить по телефону +7 (916) 407-60-99, на email sto1-krd@mail.ru или письменно по адресу регистрации оператора: 390011, Рязанская обл., г. Рязань, ул. Халтурина, д. 2, кв. 31.

10. Меры защиты

• серверная валидация входных данных;
• защита OTP от перебора: TTL, лимиты отправки и лимиты попыток ввода;
• хранение OTP только в виде HMAC-хэша;
• HMAC-подписанные клиентские и админские сессии;
• ограничение доступа сотрудников по ролям на production-этапе;
• журналирование действий сотрудников и клиентов по заказам;
• использование HTTPS, security headers и резервного копирования на production.

11. Изменение политики

Политика может обновляться при изменении состава данных, подключении SMS, CRM, PayKeeper, онлайн-кассы, мобильного приложения или иных сервисов. Актуальная редакция размещается на сайте.