Политика обработки персональных данных в сервисе GLOSS

1. Общие положения

1. Политика регулирует обработку Оператором персональных данных физических лиц, взаимодействующих с сервисом GLOSS и сайтом detailing08.ru: посетителей лендинга, лидов, представителей студий-Лицензиатов, а также сотрудников этих студий (Авторизованных пользователей).
2. Использование сайта и сервиса означает согласие посетителя с настоящей Политикой и указанными в ней условиями обработки. В случае несогласия пользователь должен прекратить использование сайта и сервиса.
3. Действующая редакция Политики всегда доступна по адресу https://detailing08.ru/privacy.html.

2. Термины и определения

2.1. Персональные данные (ПДн)

Любая информация, прямо или косвенно относящаяся к определённому либо определяемому физическому лицу.

2.2. Обработка ПДн

Любое действие с ПДн, совершаемое с использованием средств автоматизации либо без таковых, включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

2.3. Оператор

Юридическое лицо, указанное в п. 3 настоящей Политики, самостоятельно либо совместно с другими лицами организующее и (или) осуществляющее обработку ПДн.

2.4. Субъект ПДн

Физическое лицо, к которому относятся персональные данные.

2.5. Сайт

Совокупность веб-страниц, расположенных в домене detailing08.ru и его поддоменах.

2.6. Сервис / GLOSS

Облачный программный продукт для автоматизации детейлинг-студий и автосервисов; условия его использования регулируются Лицензионным договором-офертой.

2.7. Лицензиат / Студия

Юридическое лицо, ИП либо физическое лицо, акцептовавшее Лицензионный договор-оферту и использующее сервис.

2.8. Авторизованный пользователь

Сотрудник Лицензиата (мастер, администратор, владелец студии), получивший учётные данные для доступа к Тенанту.

3. Оператор

4. Категории субъектов и состав обрабатываемых данных

4.1. Посетители сайта и лиды (заявки с CTA-формы)

• имя;
• контактные данные: телефон и (или) идентификатор Telegram;
• наименование студии и город (при добровольном указании);
• технические данные: IP-адрес, тип браузера и устройства, источник перехода, страницы посещения.

4.2. Лицензиаты (студии при регистрации)

• фамилия, имя, отчество представителя;
• наименование компании, должность;
• email, номер телефона;
• реквизиты для выставления счёта (для юридических лиц и ИП): ИНН, наименование, адрес;
• история платежей и операций с Учётной записью.

4.3. Авторизованные пользователи (сотрудники студий)

• ФИО, должность в студии;
• email и (или) номер телефона как логин;
• журналы действий в интерфейсе сервиса;
• технические данные сессии: IP, user-agent, временные метки.

Оператор не обрабатывает специальные категории ПДн (расовая принадлежность, политические взгляды, состояние здоровья и т. п.) и биометрические ПДн.

5. Цели обработки

1. Обработка заявок с сайта: связь с лидом для демонстрации продукта, согласования условий, ответа на вопросы.
2. Заключение и исполнение Лицензионного договора-оферты с Лицензиатом: регистрация Тенанта, выставление счетов, приём платежей, оказание технической поддержки.
3. Аутентификация и авторизация Авторизованных пользователей в интерфейсе сервиса.
4. Аудит безопасности: фиксация действий пользователей, расследование инцидентов, защита от неправомерного доступа.
5. Обеспечение работоспособности и улучшение сервиса: мониторинг производительности, выявление и устранение ошибок.
6. Информационная рассылка (только при наличии согласия субъекта): новости продукта, обновления, маркетинговые материалы. Согласие может быть отозвано в любой момент в соответствии с п. 12.
7. Исполнение требований законодательства: налоговая отчётность, ответ на законные запросы государственных органов.

6. Правовые основания обработки

1. Согласие субъекта ПДн, данное добровольно, свободно, конкретно, осознанно и информированно (отправка формы на сайте, регистрация в сервисе, проставление отметки в соответствующем чекбоксе).
2. Заключение и исполнение Лицензионного договора-оферты, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6 ФЗ-152).
3. Исполнение обязанностей, возложенных на Оператора федеральными законами (бухгалтерский, налоговый учёт и т. п.).

7. Способы и сроки обработки

1. Обработка ПДн осуществляется как с использованием средств автоматизации, так и без таковых.
2. Хранение ПДн осуществляется на серверах, расположенных на территории Российской Федерации.
3. Сроки хранения:
   1. данные лидов (CTA-форма) — до 3 лет с даты последнего контакта либо до отзыва согласия;
   2. данные Лицензиатов — в течение срока действия договора плюс 5 лет (требование о хранении бухгалтерской документации);
   3. данные Авторизованных пользователей — пока активна Учётная запись плюс 180 дней;
   4. журналы безопасности — до 1 года;
   5. данные для информационных рассылок — до отзыва согласия.
4. По истечении срока хранения ПДн уничтожаются или обезличиваются.

8. Передача третьим лицам

1. Оператор не передаёт ПДн третьим лицам, за исключением следующих случаев:
   1. поставщикам инфраструктуры (хостинг, дата-центры, облачные провайдеры, расположенные на территории РФ) — в объёме, необходимом для функционирования сервиса;
   2. платёжным сервисам — для приёма платежей по Тарифным планам;
   3. сервисам отправки сообщений (Telegram, SMS-агрегаторам) — для доставки сервисных и маркетинговых уведомлений;
   4. государственным органам — на основании законных запросов в объёме, предусмотренном законом.
2. Со всеми поставщиками инфраструктуры заключаются соглашения, обеспечивающие конфиденциальность и безопасность ПДн.

9. Трансграничная передача

Оператор не осуществляет трансграничную передачу персональных данных. Вся инфраструктура хранения и обработки расположена на территории Российской Федерации.

10. Меры по защите данных

Оператор принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, копирования, распространения, а равно от иных неправомерных действий:

1. назначение ответственного за организацию обработки ПДн;
2. разграничение прав доступа к информационным системам по ролевой модели;
3. хранение паролей в виде криптографически стойких хешей;
4. шифрование канала передачи данных (TLS/HTTPS);
5. регулярное резервное копирование и тестирование процедур восстановления;
6. мониторинг попыток несанкционированного доступа;
7. обучение сотрудников требованиям информационной безопасности.

11. Cookies и веб-аналитика

1. Сайт использует файлы cookies для поддержания пользовательской сессии, запоминания настроек темы оформления и иных пользовательских предпочтений.
2. Сайт использует средства веб-аналитики Яндекс.Метрика (счётчик № 109431189). Метрика собирает обезличенные данные о посещениях (страна, регион, тип устройства, источник перехода, последовательность переходов по страницам, клики, скроллинг) и использует cookies для различения уникальных пользователей. Включён режим Вебвизора — запись действий пользователя на страницах сайта (движения мыши, клики, ввод в формы за исключением полей с атрибутом autocomplete и паролей). Данные используются исключительно для улучшения интерфейса и конверсии сайта. Условия обработки данных Яндекс.Метрикой описаны в Политике конфиденциальности Яндекса; отключить сбор можно установив блокировщик Яндекс.Метрики.
3. Пользователь вправе отключить использование cookies в настройках своего браузера, при этом часть функциональности сайта может стать недоступной.

12. Права субъекта персональных данных

Субъект ПДн вправе:

1. получать сведения об Операторе и обрабатываемых им ПДн данного субъекта;
2. требовать уточнения, блокирования либо уничтожения своих ПДн в случаях, предусмотренных законом;
3. отзывать согласие на обработку ПДн полностью либо в части (например, только в части маркетинговых рассылок);
4. обжаловать действия либо бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) либо в суд.

Для реализации указанных прав достаточно направить письменное обращение на адрес Оператора (см. п. 14). Срок рассмотрения обращения — до 30 календарных дней.

13. Данные клиентов студий-Лицензиатов

1. В отношении персональных данных клиентов Лицензиата (физических лиц, которым студия оказывает услуги детейлинга / автосервиса) Оператор не является самостоятельным оператором.
2. Лицензиат самостоятельно является оператором этих ПДн в значении ФЗ-152, обеспечивает получение согласий от своих клиентов, ведёт собственную Политику обработки ПДн и публикует её через интерфейс сервиса (раздел «Документы согласий» в административной зоне Лицензиата).
3. Оператор GLOSS осуществляет обработку этих ПДн по поручению Лицензиата в соответствии с ч. 3 ст. 6 ФЗ-152 на условиях Лицензионного договора-оферты.
4. Запросы от клиентов студии относительно их ПДн направляются непосредственно в студию-Лицензиат, контакты которой указываются в её документах согласий.

14. Контакты для обращений

По всем вопросам, связанным с обработкой персональных данных, реализацией прав субъекта, отзывом согласия:

15. Изменение Политики

1. Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке. Новая редакция вступает в силу с момента публикации на сайте, если иное не указано в самой редакции.
2. При существенном изменении условий обработки ПДн Оператор информирует субъектов через интерфейс сервиса и (или) по электронной почте.
3. Текущая редакция Политики всегда доступна по адресу https://detailing08.ru/privacy.html.

Поля, отмеченные курсивом и двойным подчёркиванием, подлежат заполнению перед публикацией Политики в коммерческой эксплуатации.