Редакция от [укажите дату публикации] г. Опубликована по адресу: aymaster.ru/policy.html
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») составлена в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и определяет порядок обработки персональных данных пользователей сервиса «АуМастер» и меры по обеспечению их безопасности.
1.2. Оператор персональных данных (далее — «Оператор»): [ФИО или наименование], ИНН [ИНН], ОГРН/ОГРНИП [номер, если есть], адрес: [адрес].
1.3. Сервис «АуМастер» (далее — «Сервис») — онлайн-площадка, которая связывает клиентов с мастерами по ремонту автомобилей и магазинами запчастей. Каналы Сервиса: сайт aymaster.ru, мобильное приложение, чат-боты в Telegram и MAX. Сервис не оказывает ремонтных услуг и не является стороной сделок между пользователями; все договорённости и расчёты происходят напрямую между сторонами.
1.4. Политика действует в отношении всех персональных данных, которые Оператор получает от пользователей Сервиса. Начиная использовать Сервис, пользователь подтверждает, что ознакомлен с Политикой.
В Политике используются понятия в значении, установленном ст. 3 152-ФЗ, в том числе:
персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн);
обработка ПДн — любое действие с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
предоставление ПДн — раскрытие ПДн определённому лицу или кругу лиц;
распространение ПДн — раскрытие ПДн неопределённому кругу лиц (например, публикация профиля мастера в открытом доступе).
3.1. Клиенты: имя; номер телефона; город/населённый пункт; данные автомобиля (марка, модель, год выпуска, VIN, государственный номер — если указаны); содержимое заявок (описание проблемы, фото/видео/аудио); история заявок и оценок; идентификаторы Telegram/MAX (при входе через чат-бот); дата регистрации.
3.2. Мастера: имя (ФИО); номер телефона; название автосервиса; адрес; специализации; фото профиля (если загружено); рейтинг и отзывы; идентификаторы Telegram/MAX; дата регистрации.
3.3. Представители магазинов запчастей: название магазина, контактный телефон, город, адрес (если указан).
3.4. Технические данные: служебные журналы доступа (IP-адрес, дата и время обращения) — обрабатываются в целях безопасности и диагностики сбоев.
3.5. Пароли хранятся исключительно в виде необратимого хеша (алгоритм bcrypt); пароль в открытом виде Оператору неизвестен и не хранится.
3.6. Специальные категории ПДн (о здоровье, расовой принадлежности и т. п.) и биометрические ПДн Оператором не запрашиваются и целенаправленно не обрабатываются. Пользователь не должен размещать такие данные в заявках.
3.7. Сервис предназначен для лиц, достигших 18 лет. ПДн несовершеннолетних сознательно не собираются; при выявлении такой учётной записи она удаляется.
регистрация и идентификация пользователей, ведение личного кабинета;
связь клиентов с мастерами и магазинами: создание, передача и обработка заявок;
предоставление контактных данных одной стороны другой стороне по выбору клиента;
отправка уведомлений о статусе заявок и работе Сервиса (транзакционные уведомления);
формирование рейтинга мастеров, публикация отзывов;
поддержка пользователей, рассмотрение обращений и претензий;
обеспечение безопасности и работоспособности Сервиса;
исполнение обязанностей, предусмотренных законодательством РФ.
заключение и исполнение Пользовательского соглашения, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6 152-ФЗ) — для основной обработки, необходимой для работы Сервиса;
согласие субъекта ПДн (п. 1 ч. 1 ст. 6 152-ФЗ) — для обработки, выходящей за рамки исполнения договора, в том числе отдельное согласие мастера на распространение его ПДн (ст. 10.1 152-ФЗ) и согласие на получение рекламных рассылок (если пользователь его дал);
исполнение обязанностей, возложенных на Оператора законодательством РФ.
6.1. Обработка осуществляется автоматизированным способом с передачей данных по сети Интернет. Источник данных — сам субъект ПДн.
6.2. С ПДн совершаются действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление, блокирование, удаление, уничтожение.
6.3. Сбор, запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществляются с использованием базы данных, находящейся на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ). Сервер размещён в дата-центре: [город, наименование хостинг-провайдера — уточнить у хостера].
6.4. Хранение данных осуществляется с привлечением хостинг-провайдера [наименование провайдера] на основании договора, отвечающего требованиям ч. 3 ст. 6 152-ФЗ (поручение обработки). Провайдер не получает права использовать данные в собственных целях.
6.5. При взаимодействии через чат-бот в Telegram сообщения пользователя проходят через инфраструктуру Telegram, серверы которой находятся за пределами РФ и которая обрабатывает данные согласно собственной политике конфиденциальности. [Выбрать после консультации: «Оператор направил в Роскомнадзор уведомление о трансграничной передаче ПДн» / убрать пункт, если позиция иная] Чат-бот в MAX обрабатывается на территории РФ.
6.6. Оператор обеспечивает конфиденциальность ПДн (ст. 7 152-ФЗ) и не раскрывает их третьим лицам без законного основания.
7.1. Контактные данные одной стороны (имя, телефон, адрес) передаются другой стороне сделки только после явного выбора клиентом мастера или магазина. Такая передача — часть функционирования Сервиса, предусмотренная Пользовательским соглашением и согласием на обработку ПДн.
7.2. Профиль мастера (имя, название сервиса, адрес, специализации, телефон, фото, рейтинг и отзывы) публикуется в открытом доступе на основании отдельного согласия мастера на распространение ПДн (ст. 10.1 152-ФЗ).
7.3. Иным третьим лицам ПДн не передаются и не продаются. Исключение — предоставление данных по законным запросам уполномоченных государственных органов.
8.1. ПДн обрабатываются до достижения целей обработки либо до удаления учётной записи / отзыва согласия — в зависимости от того, что наступит раньше.
8.2. При удалении учётной записи или отзыве согласия ПДн уничтожаются в срок, не превышающий 30 дней (ст. 21 152-ФЗ), за исключением данных, которые Оператор обязан хранить дольше в силу закона.
8.3. Факт уничтожения ПДн оформляется в соответствии с требованиями Роскомнадзора (акт об уничтожении / запись в журнале).
8.4. Обезличенные данные (агрегированная статистика без привязки к лицу) могут храниться без ограничения срока.
Пользователь вправе:
получать сведения об обработке своих ПДн (ст. 14 152-ФЗ);
требовать уточнения, блокирования или уничтожения ПДн, если они неполны, устарели, неточны или обрабатываются незаконно;
отозвать согласие на обработку ПДн в любой момент;
потребовать прекращения распространения своих ПДн (для мастеров — снятия профиля с публикации); Оператор прекращает распространение в течение 3 рабочих дней с момента получения требования (ст. 10.1 152-ФЗ);
обжаловать действия или бездействие Оператора в Роскомнадзор или в суд.
9.1. Порядок обращения: запрос направляется на e-mail [e-mail для обращений по ПДн] и должен содержать сведения, позволяющие идентифицировать заявителя (имя, номер телефона, использованный при регистрации, либо идентификатор аккаунта). Оператор отвечает в течение 10 рабочих дней с момента обращения; срок может быть продлён не более чем на 5 рабочих дней с уведомлением заявителя.
9.2. Отзыв согласия и удаление учётной записи: [через личный кабинет / функцию бота / запросом на e-mail — указать реализованный способ].
В соответствии со ст. 18.1 и 19 152-ФЗ Оператор принимает организационные и технические меры:
назначено лицо, ответственное за организацию обработки ПДн;
круг лиц, имеющих доступ к ПДн, ограничен и определён внутренними документами;
пароли хранятся в виде необратимого хеша (bcrypt);
соединения защищены протоколом HTTPS (TLS);
доступ к серверу — только по SSH-ключам; база данных недоступна из внешней сети; используются межсетевой экран и система fail2ban;
выполняется резервное копирование; определён уровень защищённости ПДн в соответствии с постановлением Правительства РФ № 1119.
Сайт использует только технически необходимые cookie (поддержание сессии). Сторонние системы веб-аналитики и рекламные трекеры не подключены. При их подключении Политика будет обновлена, а на сайте появится соответствующее уведомление.
12.1. Оператор вправе вносить изменения в Политику. Новая редакция публикуется по адресу aymaster.ru/policy.html с указанием даты и вступает в силу с момента публикации. Продолжение использования Сервиса означает ознакомление с действующей редакцией.
12.2. Контакты по вопросам обработки персональных данных: e-mail [e-mail], телефон [телефон, если используется].