Политика конфиденциальности

1. Общие положения

Настоящая Политика конфиденциальности (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции с учётом изменений 2024-2025 годов, включая поправки об обязательном согласии в виде отдельного документа, вступившие в силу 1 сентября 2025 года, и оборотных штрафах за утечки от 30 мая 2025 года), Постановлением Правительства РФ от 01.11.2012 № 1119, Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» и иными нормативными правовыми актами Российской Федерации.

Оператор персональных данных и обладатель прав на сервис Drivli (далее — «Сервис»): Индивидуальный предприниматель Иванов Виталий Сергеевич, ИНН 471206734933, ОГРНИП 320784700012997, адрес для корреспонденции: support@drivli.ru (далее — «Оператор»). Оператор подал в Роскомнадзор уведомление об обработке персональных данных согласно ст. 22 152-ФЗ. Запись об операторе публикуется в Реестре операторов по адресу pd.rkn.gov.ru.

Использование Сервиса (регистрация, отправка формы, передача данных через виджет онлайн-записи) означает безусловное согласие Пользователя с настоящей Политикой. Согласие на обработку персональных данных как отдельное волеизъявление (требование ст. 9 152-ФЗ в редакции с 01.09.2025) оформляется через проставление галочки в чекбоксе при регистрации/отправке формы и регулируется отдельным документом — Согласием на обработку персональных данных. В случае несогласия Пользователь должен прекратить использование Сервиса.

2. Состав обрабатываемых данных

Оператор обрабатывает следующие категории ПДн:

• Идентификационные данные пользователя личного кабинета: ФИО, адрес электронной почты, номер телефона, пароль (в виде хеша), IP-адрес, идентификаторы сессии.
• Данные автошколы: наименование, ИНН, ОГРН/ОГРНИП, юридический адрес, номер лицензии, реквизиты, контактные данные руководителя.
• Данные сотрудников школы (инструкторы, менеджеры): ФИО, телефон, email, категории прав, ставка, медсправка (номер и срок действия), стаж — вносятся самой автошколой как оператором подобработки.
• Данные учеников школы: ФИО, телефон, email, дата рождения, паспортные данные (серия и номер), медицинская справка (номер и дата выдачи), категория ВУ, статус обучения — вносятся самой автошколой.
• Данные финансовых операций: сумма платежа, дата, реквизиты выставленного счёта и номер платёжного поручения Заказчика. Оплата принимается только безналом с расчётного счёта Заказчика; банковские карты и иные ЭСП не обрабатываются.
• Технические данные: логи запросов к API, cookies, идентификаторы Yandex.Метрики, информация об устройстве и браузере.

Оператор не запрашивает и не обрабатывает специальные категории ПДн (раса, политические взгляды, состояние здоровья за исключением номеров медсправок, биометрические данные).

3. Цели обработки

• Регистрация и аутентификация пользователей в Сервисе.
• Предоставление функциональности CRM для автошкол.
• Заключение договора-оферты и приём платежей за подписку.
• Информирование Пользователя о работе Сервиса (изменения тарифа, окончание триала, технические уведомления).
• Рассылка маркетинговых сообщений — только при наличии отдельного согласия Пользователя, которое можно отозвать в один клик.
• Соблюдение требований законодательства РФ (налоговый учёт, ответы на запросы государственных органов).
• Веб-аналитика и улучшение Сервиса (агрегированно, без привязки к личности).

4. Правовые основания обработки

• Согласие субъекта ПДн (п. 1 ч. 1 ст. 6 152-ФЗ) — даётся чекбоксом при регистрации/отправке заявки.
• Исполнение договора-оферты с Пользователем (п. 5 ч. 1 ст. 6).
• Выполнение требований законодательства РФ (п. 2 ч. 1 ст. 6).
• Защита законных интересов Оператора в случаях, не противоречащих закону (п. 7 ч. 1 ст. 6) — анти-спам, расследование инцидентов безопасности.

5. Способы обработки

Обработка ПДн осуществляется как с использованием средств автоматизации, так и без них. Включает: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

6. Сроки хранения

• Данные пользователей и автошкол — на протяжении срока действия договора-оферты + 3 года после расторжения (для выполнения требований налогового и бухгалтерского законодательства).
• Финансовые операции — 5 лет с момента совершения (402-ФЗ).
• Логи доступа и системные события — 12 месяцев.
• Cookies веб-аналитики — согласно настройкам провайдера (Yandex.Метрика — до 12 месяцев).

По истечении сроков ПДн уничтожаются или обезличиваются.

7. Передача третьим лицам

Оператор передаёт ПДн только следующим контрагентам:

• Хостинг: ООО «Селектел» (РФ, г. Санкт-Петербург) — дата-центр, на серверах которого размещён Сервис.
• Банк-расчётчик: АО «Альфа-Банк» — расчётный счёт Оператора, на который Заказчик переводит оплату подписки безналом со своего расчётного счёта. Эквайринг для приёма платы за подписку не используется (B2B-only).
• SMTP-провайдер: ООО «Селектел» (Selectel Cloud Mail) — для отправки уведомлений.
• Аналитика: ООО «Яндекс» (Yandex.Метрика) — агрегированная веб-аналитика, идентификаторы посетителей.
• Telegram-бот: Telegram FZ-LLC — при добровольном подключении школой Telegram-бота для авторизации и уведомлений учеников. Передаётся только chat_id и текст сообщения; иные ПДн не передаются.
• Государственные органы: по официальному запросу в соответствии с законодательством РФ.

Основные персональные данные (личный кабинет, данные школ, сотрудников, учеников и финансовые операции) обрабатываются и хранятся исключительно на серверах на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ); их трансграничная передача не осуществляется. Единственное исключение — передача ограниченного набора данных (chat_id и текст уведомления) в Telegram при добровольном подключении школой Telegram-бота; такая передача производится на основании согласия субъекта и может быть прекращена отключением бота.

Drivli не передаёт и не продаёт ПДн третьим лицам в рекламных целях.

8. Меры защиты

Оператор обеспечивает безопасность ПДн при их обработке согласно ст. 18.1 и ст. 19 152-ФЗ. Меры включают:

• Шифрование канала передачи (TLS 1.3, HSTS).
• Хеширование паролей по алгоритму bcrypt с солью.
• Изоляция данных школ на уровне отдельных Postgres-схем.
• Двухфакторная аутентификация (опционально для директора).
• Ежедневное резервное копирование с тестированием восстановления.
• Журналирование действий пользователей (Audit Log), включая фиксацию факта дачи согласия на обработку персональных данных с указанием IP-адреса, даты, времени и версии документа согласия.
• Регулярное обновление программного обеспечения.
• Защита от перебора и DDoS — rate-limit на публичных эндпоинтах.
• Соблюдение «Третьего уровня защищённости» персональных данных согласно Постановлению Правительства РФ от 01.11.2012 № 1119.
• Хранение всех ПДн граждан РФ исключительно на серверах, расположенных в Российской Федерации (требование ч. 5 ст. 18 152-ФЗ, обязательное для всех операторов с 01.07.2025).

В случае выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов ПДн, Оператор:

• в течение 24 часов с момента выявления инцидента направляет в Роскомнадзор уведомление о произошедшем, предполагаемых причинах, предполагаемом вреде и принятых мерах (ч. 3.1 ст. 21 152-ФЗ);
• в течение 72 часов направляет результаты внутреннего расследования и сведения о лицах, действия которых стали причиной инцидента;
• уведомляет затронутых субъектов ПДн способами связи, указанными ими при предоставлении согласия.

9. Права субъекта ПДн

Согласно статьям 14–22 152-ФЗ, субъект имеет право:

• Получать информацию об обработке его ПДн.
• Требовать уточнения, блокирования или уничтожения ПДн в случае их неполноты, неактуальности или незаконной обработки.
• Отозвать согласие на обработку — в любой момент письменно на support@drivli.ru или через настройки личного кабинета. Отзыв согласия влечёт прекращение использования Сервиса.
• Обжаловать действия Оператора в Роскомнадзор (rkn.gov.ru) или суд.

Срок ответа Оператора на обращения субъекта ПДн — до 10 рабочих дней с момента получения запроса.

10. Cookies и веб-аналитика

Сайт drivli.ru и приложение app.drivli.ru используют cookies двух категорий:

• Технически необходимые — аутентификация, сохранение настроек пользователя (например, выбранного филиала), защита от автоматизированных атак. Без них Сервис не функционирует; они устанавливаются на основании исполнения договора и не требуют отдельного согласия.
• Аналитические — Yandex.Метрика, включая Webvisor. Устанавливаются только после того, как посетитель дал согласие нажатием «Принять» в cookie-баннере. До получения согласия аналитические скрипты не загружаются, cookies и идентификаторы не записываются.

Согласие на аналитические cookies можно отозвать в любой момент, очистив cookies и локальное хранилище браузера для сайта drivli.ru — после этого баннер появится снова, и аналитика останется отключённой до нового согласия. Технически необходимые cookies можно отключить в настройках браузера, но тогда вход в личный кабинет станет невозможен.

11. Школа как оператор подобработки

Когда автошкола (Пользователь Сервиса) вносит ПДн своих сотрудников и учеников в Drivli, она выступает самостоятельным оператором в отношении этих данных, а Drivli — оператором подобработки в смысле ч. 3 ст. 6 152-ФЗ.

Автошкола обязана получить согласия своих учеников и сотрудников на обработку ПДн, обеспечить хранение этих согласий и нести ответственность за законность их сбора. Drivli обеспечивает технические меры защиты данных в Сервисе. Подробности — в Правилах обработки персональных данных.

12. Изменение Политики

Оператор вправе вносить изменения в Политику без предварительного уведомления. Актуальная редакция всегда доступна по адресу drivli.ru/legal/privacy с указанием даты редакции. Существенные изменения (расширение состава данных, новые цели обработки) дополнительно анонсируются в личном кабинете пользователя за 14 дней до вступления в силу.

13. Контакты

По всем вопросам, связанным с обработкой персональных данных, обращайтесь:

• Email: support@drivli.ru
• Поддержка: support@drivli.ru

Уполномоченный орган по защите прав субъектов ПДн в РФ: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — rkn.gov.ru.