Политика конфиденциальности и обработки персональных данных

1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее — Политика) определяет порядок сбора, хранения, обработки, использования, передачи и защиты персональных данных пользователей сервиса Подвыкуп.рф (далее — Сервис, Оператор).

1.2. Оператор персональных данных — организация, использующая Сервис для управления автопарком (далее — Парк). Каждый Парк, зарегистрированный в Сервисе, является самостоятельным оператором персональных данных в отношении данных своих водителей и сотрудников в соответствии со ст. 3 Федерального закона N 152-ФЗ.

1.3. Сервис Подвыкуп.рф выступает в качестве лица, осуществляющего обработку персональных данных по поручению Оператора (Парка) на основании договора об оказании услуг (ч. 3 ст. 6 ФЗ-152).

1.4. Субъекты персональных данных — водители, арендаторы транспортных средств, сотрудники Парков (далее — Субъект).

1.5. Настоящая Политика действует в отношении всех персональных данных, которые Оператор может получить от Субъекта в процессе использования Сервиса.

Обработка персональных данных осуществляется на следующих правовых основаниях (ст. 6 Федерального закона N 152-ФЗ):

• Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152) — при регистрации в Сервисе, при подписании согласия на обработку персональных данных, при предоставлении фотографий документов;
• Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152) — обработка данных, необходимых для заключения и исполнения договора аренды или аренды с правом выкупа транспортного средства;
• Требования законодательства (п. 2 ч. 1 ст. 6 ФЗ-152) — ведение бухгалтерского учёта, налогового учёта, исполнение требований контролирующих органов;
• Законные интересы оператора (п. 7 ч. 1 ст. 6 ФЗ-152) — обеспечение безопасности автопарка, предотвращение мошенничества, проверка благонадёжности водителей, при условии что это не нарушает права и свободы субъекта данных;
• Защита жизни и здоровья (п. 6 ч. 1 ст. 6 ФЗ-152) — хранение экстренных контактов водителя.

3.1. Идентификационные данные водителей:

• Фамилия, имя, отчество;
• Дата рождения;
• Номер телефона, адрес электронной почты;
• Адрес места жительства (регистрации);
• Паспортные данные (серия, номер, дата выдачи, кем выдан);
• Данные водительского удостоверения (серия, номер, категории, срок действия);
• Данные экстренного контактного лица (ФИО, телефон, степень родства).

3.2. Копии (фотографии) документов:

• Фотокопия паспорта (разворот с фотографией, страница регистрации);
• Фотокопия водительского удостоверения (лицевая и оборотная сторона);
• Фотокопия свидетельства о регистрации транспортного средства (СТС);
• Фотокопия паспорта транспортного средства (ПТС);
• Иные документы, предоставленные Субъектом добровольно.

Примечание: фотокопии документов не являются биометрическими персональными данными в смысле ст. 11 ФЗ-152, поскольку не используются Оператором для установления личности (Разъяснения Роскомнадзора от 30.08.2013 «О вопросах отнесения фото- и видеоизображений, дактилоскопических данных к биометрическим персональным данным»). Фотокопии обрабатываются исключительно для подтверждения подлинности документов и хранятся с согласия Субъекта.

3.3. Финансовые данные:

• Информация о платежах (суммы, даты, способы оплаты);
• Начисления по договору (аренда, штрафы, выкупные платежи);
• Состояние задолженности, история погашения;
• Депозитные операции;
• Фотокопии чеков и квитанций об оплате.

3.4. Данные сотрудников Парка:

• ФИО, адрес электронной почты, пароль (в хешированном виде);
• Роль в системе (владелец, администратор, менеджер, бухгалтер).

3.5. Данные лидов (потенциальных водителей):

• ФИО, номер телефона, дата рождения;
• Источник обращения, комментарии менеджера.

3.6. Служебные данные:

• Журнал аудита действий пользователей (IP-адрес, дата и время, выполненные действия);
• Результаты проверок по внешним базам данных (ФССП, ФНС, DaData).

Персональные данные обрабатываются в следующих целях:

1. Заключение, исполнение и расторжение договоров аренды, аренды с правом выкупа транспортных средств;
2. Идентификация Субъекта и проверка подлинности предоставленных документов;
3. Проверка благонадёжности водителя (проверка по базам ФССП, ФНС, проверка паспорта);
4. Финансовый учёт: начисление арендной платы, учёт платежей, контроль задолженности, расчёт депозита, формирование финансовой отчётности;
5. Обеспечение связи с водителями: уведомления, напоминания об оплате;
6. Обеспечение безопасности автопарка и предотвращение мошенничества;
7. Формирование реестра недобросовестных водителей (при наличии отдельного согласия Субъекта) для защиты законных интересов участников рынка аренды транспортных средств;
8. Ведение бухгалтерского и налогового учёта;
9. Исполнение требований законодательства РФ и запросов уполномоченных государственных органов;
10. Размещение контактной информации лидов (потенциальных водителей) на внутренней бирже Сервиса для передачи другим Паркам — участникам Сервиса (Маркетплейс контактов);
11. Улучшение качества обслуживания и работы Сервиса;
12. Досудебное и судебное урегулирование споров: формирование и направление претензий, уведомлений, требований об оплате задолженности, расчётов задолженности, подготовка процессуальных документов для обращения в суд, контроль исполнительного производства. Правовые основания: исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152), законный интерес Оператора — защита имущественных прав (п. 7 ч. 1 ст. 6 ФЗ-152);
13. Мониторинг исполнительных производств в отношении должников через открытые данные ФССП России для контроля хода взыскания задолженности.

5.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без таковых, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

5.2. Обработка персональных данных начинается с момента получения согласия Субъекта или с момента заключения договора и продолжается до достижения целей обработки или до отзыва согласия.

5.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья, интимной жизни — не осуществляется.

5.4. Принятие решений, порождающих юридические последствия для Субъекта, на основании исключительно автоматизированной обработки персональных данных — не осуществляется. Все решения (одобрение/отказ водителю, расторжение договора) принимаются уполномоченными сотрудниками Парка.

5.5. Юридически значимые уведомления. Сервис вправе направлять Субъекту юридически значимые уведомления, включая досудебные претензии, требования об оплате задолженности, уведомления о расторжении договора, расчёты задолженности — через встроенные каналы связи Сервиса, а также на контактные данные Субъекта, указанные в договоре (номер телефона, мессенджеры Telegram/MAX, электронная почта, SMS). Субъект, подписывая договор с Оператором (Парком), признаёт такие уведомления надлежащими при условии их направления на контактные данные, указанные в договоре. Факт направления, доставки и прочтения уведомлений фиксируется Сервисом в автоматическом режиме и может быть использован в качестве доказательства соблюдения досудебного порядка урегулирования споров.

5.6. Автоматическая фиксация доказательств. Сервис ведёт журнал направленных уведомлений и претензий с фиксацией: даты и времени отправки, способа направления, содержания уведомления, статуса доставки (отправлено / доставлено / прочитано), даты получения ответа. Данные журнала хранятся в течение 5 лет после прекращения договора и могут быть предоставлены суду, ФССП или иным уполномоченным органам по запросу Оператора.

• Данные по действующим договорам — в течение всего срока действия договора;
• Данные по завершённым договорам — 5 (пять) лет с даты окончания договора (срок исковой давности по ст. 196 ГК РФ + требования бухгалтерского учёта по ФЗ-402);
• Бухгалтерские и финансовые документы— не менее 5 лет (ст. 29 Федерального закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учёте»);
• Фотокопии документов — в течение действия договора и 30 дней после его прекращения, если иное не предусмотрено законодательством или соглашением сторон;
• Данные о задолженности — до полного погашения задолженности, но не более 3 лет после окончания договора (срок исковой давности);
• Данные в реестре проверки водителей (межпарковая база) — не более 3 лет с момента внесения записи, после чего данные автоматически удаляются;
• Данные лидов — 1 год с момента последнего контакта;
• Журнал аудита — 1 год;
• Данные сотрудников Парка — в течение действия трудовых/гражданско-правовых отношений и 3 года после их прекращения.

По истечении указанных сроков персональные данные подлежат уничтожению или обезличиванию в порядке, установленном внутренними документами Оператора.

7.1. Оператор вправе передавать персональные данные третьим лицам в следующих случаях:

• С согласия Субъекта — в случаях, прямо предусмотренных согласием;
• По запросу уполномоченных органов (суд, прокуратура, ФССП, МВД, ФНС, Роскомнадзор) — в установленном законом порядке и объёме;
• Поставщику Сервиса (Подвыкуп.рф) — обработка по поручению Оператора (ч. 3 ст. 6 ФЗ-152) на основании договора об оказании услуг;
• Сервисам проверки — передача ограниченного набора данных (ФИО, дата рождения, серия и номер паспорта) в DaData, ФССП, ФНС исключительно для проверки подлинности документов и благонадёжности водителя;
• Сервисам автоматического распознавания платёжных документов (OCR) — обработчикам ПД по поручению Оператора: OpenRouter Inc. (модели Gemini, Claude) и AWstore (модели Qwen VL). Передаются: фотокопии чеков и квитанций, метаданные платежей (сумма, дата, идентификатор транзакции). Цель — извлечение реквизитов платежа для автоматической сверки. Переданные данные не используются для обучения моделей и удаляются после распознавания (ч. 3 ст. 6 ФЗ-152, поручение обработчику);
• Биржа лидов (Маркетплейс контактов) — при размещении контактных данных потенциального водителя (лида) на внутренней бирже Сервиса, доступной другим Паркам — участникам Сервиса. Передаются исключительно: ФИО, номер телефона, город, возраст, стаж вождения, цель аренды, наличие/отсутствие задолженностей, комментарий Парка. Паспортные данные, данные водительского удостоверения, фотокопии документов и финансовая информация НЕ передаются.Размещение на бирже осуществляется Парком на основании согласия лида на обработку ПД, полученного при первом обращении. Лид вправе потребовать удаление своих данных с биржи в любой момент (ст. 21 ФЗ-152).

7.2. Межпарковый обмен данными (реестр проверки водителей):

При наличии отдельного письменного согласия Субъекта Оператор вправе передавать ограниченный набор данных в общую базу проверки водителей, доступную другим Паркам — участникам Сервиса. Передаются исключительно:

• ФИО, дата рождения;
• Номер водительского удостоверения;
• Статус водителя (активен / заблокирован / должник);
• Факт и сумма непогашенной задолженности (без детализации платежей);
• Причина блокировки (если применимо).

Правовое основание: согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152) и законный интерес операторов (п. 7 ч. 1 ст. 6 ФЗ-152) — защита имущества и предотвращение мошенничества на рынке аренды транспортных средств.

Паспортные данные, адрес, фотографии документов, детализированная финансовая информация в межпарковую базу не передаются.

7.3. Трансграничная передача персональных данных не осуществляется.

В соответствии с ч. 5 ст. 18 Федерального закона N 152-ФЗ, при сборе персональных данных, в том числе посредством сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Серверы Сервиса и базы данных расположены в дата-центрах на территории Российской Федерации.

9.1. Фотокопии документов (паспорт, водительское удостоверение, СТС, ПТС) собираются и хранятся с целью подтверждения подлинности предоставленных данных и обеспечения безопасности сделок.

9.2. В соответствии с разъяснениями Роскомнадзора, фотографии документов не относятся к биометрическим персональным данным (ст. 11 ФЗ-152), поскольку Оператор не использует фотоизображения для идентификации личности. Идентификация осуществляется на основании реквизитов документов (серия, номер), а фотокопии служат для визуального подтверждения их подлинности сотрудником Парка.

9.3. Если в будущем будет внедрена автоматическая биометрическая идентификация (распознавание лица по фотографии документа), такая обработка будет осуществляться исключительно с письменного согласия Субъекта в соответствии со ст. 11 ФЗ-152 и Федеральным законом от 29.12.2022 N 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных».

9.4. Фотокопии документов хранятся в зашифрованном виде, доступ к ним имеют только уполномоченные сотрудники Парка в соответствии с ролевой моделью доступа (RBAC).

10.1. Субъект даёт согласие на обработку персональных данных свободно, своей волей и в своём интересе (ч. 1 ст. 9 ФЗ-152).

10.2. Согласие оформляется в письменной форме (на бумажном носителе или в электронной форме) и содержит сведения, предусмотренные ч. 4 ст. 9 ФЗ-152:

• фамилия, имя, отчество, адрес субъекта, номер документа, удостоверяющего личность;
• наименование и адрес Оператора;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых даётся согласие;
• перечень действий с персональными данными;
• срок действия согласия и способ его отзыва;
• подпись субъекта.

10.3. Включение минимальных данных в межпарковый реестр проверки водителей (раздел 7.2) осуществляется на основании согласия, предоставляемого при регистрации в Сервисе, а также на основании законного интереса Оператора и третьих лиц (п. 7 ч. 1 ст. 6 ФЗ-152) — предотвращение мошенничества, защита имущества, обеспечение безопасности арендных отношений. Субъект вправе возражать против такой обработки (ч. 2 ст. 14 ФЗ-152).

10.4. Субъект вправе отозвать согласие на обработку персональных данных, направив письменное заявление Оператору. Отзыв согласия не влияет на законность обработки, основанной на согласии до момента его отзыва (ч. 2 ст. 9 ФЗ-152). Оператор вправе продолжить обработку данных при наличии иных правовых оснований (п. 2-11 ч. 1 ст. 6 ФЗ-152).

Субъект персональных данных имеет право (ст. 14, 15, 16, 17 ФЗ-152):

1. Право на информацию — получить сведения об обработке своих персональных данных (какие данные обрабатываются, с какой целью, кому передаются, сроки хранения);
2. Право на доступ — получить копию обрабатываемых персональных данных;
3. Право на уточнение — потребовать исправления неточных или неполных данных;
4. Право на блокирование — потребовать блокирования данных на период проверки;
5. Право на удаление — потребовать уничтожения данных, если они обрабатываются незаконно или более не нужны для заявленных целей;
6. Право на отзыв согласия — в любой момент отозвать ранее данное согласие;
7. Право на обжалование — обжаловать действия (бездействие) Оператора в Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) или в суд.

Для реализации указанных прав Субъект направляет запрос Оператору (Парку) через раздел «Настройки» в приложении или в письменной форме по адресу Оператора. Ответ на запрос предоставляется в течение 10 рабочих дней (ч. 4 ст. 14 ФЗ-152).

Ограничение: Оператор вправе отказать в удалении данных, если их обработка необходима для исполнения действующего договора, соблюдения требований законодательства (бухгалтерский учёт) или защиты законных интересов Оператора (взыскание задолженности).

Оператор принимает организационные и технические меры для защиты персональных данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения (ст. 19 ФЗ-152, Постановление Правительства РФ от 01.11.2012 N 1119):

Технические меры:

• Шифрование данных при передаче (HTTPS/TLS);
• Шифрование фотокопий документов при хранении;
• Хеширование паролей (bcrypt);
• Ролевая модель доступа (RBAC) с разграничением прав;
• Журналирование всех действий с персональными данными (аудит-лог);
• Регулярное резервное копирование с шифрованием;
• Серверы расположены в сертифицированных дата-центрах на территории РФ.

Организационные меры:

• Назначение ответственного за организацию обработки персональных данных;
• Утверждение внутренних документов, регулирующих обработку персональных данных;
• Ознакомление сотрудников, имеющих доступ к персональным данным, с требованиями законодательства и внутренними документами;
• Контроль доступа: минимально необходимые привилегии для каждой роли;
• Регулярная проверка актуальности и обоснованности хранимых данных.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор обязан (ч. 3.1 ст. 21 ФЗ-152):

1. В течение 24 часов уведомить Роскомнадзор о произошедшем инциденте с указанием предполагаемых причин, состава данных и мер по минимизации последствий;
2. В течение 72 часов уведомить Роскомнадзор о результатах внутреннего расследования, выявленных виновных лицах и принятых мерах;
3. Незамедлительно принять меры по устранению последствий инцидента и минимизации вреда субъектам персональных данных;
4. Уведомить пострадавших субъектов о факте инцидента и рекомендуемых мерах защиты.

Оператор (Парк) обязан до начала обработки персональных данных направить уведомление в Роскомнадзор о намерении осуществлять обработку персональных данных (ч. 1 ст. 22 ФЗ-152), за исключением случаев, предусмотренных ч. 2 ст. 22 ФЗ-152.

Уведомление подаётся через портал персональных данных Роскомнадзора (pd.rkn.gov.ru) и должно содержать сведения, указанные в ч. 3 ст. 22 ФЗ-152.

Сервис Подвыкуп.рф содействует Оператору в подготовке необходимых сведений для уведомления.

За нарушение требований законодательства о персональных данных предусмотрена ответственность:

• Административная (ст. 13.11 КоАП РФ): штрафы для юридических лиц от 60 000 до 18 000 000 рублей в зависимости от характера нарушения; за повторные нарушения — до 500 000 рублей на должностных лиц, до 18 000 000 рублей на юридических лиц;
• Уголовная (ст. 137 УК РФ): за незаконное собирание или распространение сведений о частной жизни — штраф до 200 000 рублей или лишение свободы до 2 лет;
• Гражданско-правовая: компенсация морального вреда субъекту персональных данных.

С 01.09.2025 вступили в силу повышенные штрафы за утечки персональных данных (Федеральный закон от 30.11.2024 N 420-ФЗ): до 15 000 000 рублей за первичную утечку и до 3% годовой выручки (но не менее 20 000 000 рублей) за повторную утечку.

16.1. Сервис предоставляет возможность формирования общего реестра проверки водителей (далее — Реестр), доступного Паркам — участникам Сервиса.

16.2. Правовые основания:

• Согласие при регистрации (п. 1 ч. 1 ст. 6 ФЗ-152): при создании учётной записи в Сервисе водитель принимает настоящую Политику, включая условия участия в Реестре;
• Законный интерес операторов (п. 7 ч. 1 ст. 6 ФЗ-152): защита собственности, предотвращение мошенничества, обеспечение безопасности при передаче транспортных средств стоимостью от 500 000 руб. в пользование третьим лицам;
• Договорные основания: раздел «Персональные данные» договоров аренды/выкупа, заключаемых между Парком и водителем, предусматривает обработку данных обработчиком (Сервисом), в т.ч. для целей проверки благонадёжности;
• Обработка не нарушает права и свободы Субъекта, поскольку передаются исключительно минимальные данные, а Субъект сохраняет право на возражение (ч. 2 ст. 14 ФЗ-152).

16.3. Ограничения Реестра:

• В Реестр передаётся минимально необходимый набор данных: ФИО, дата рождения, номер ВУ, статус, наличие/сумма задолженности;
• Паспортные данные, адрес, фотографии документов, контактный телефон в Реестр не передаются;
• Каждый Парк видит только факт наличия записи и общий статус, но не видит данные, позволяющие идентифицировать другой Парк, внёсший запись;
• Данные в Реестре хранятся не более 3 лет с момента внесения;
• Субъект имеет право в любой момент отозвать согласие на передачу данных в Реестр, после чего его данные удаляются из Реестра в течение 10 рабочих дней;
• Данные Реестра используются исключительно для информационных целей и не могут служить единственным основанием для отказа в заключении договора.

Сервис использует сессионные файлы cookie, необходимые для аутентификации и обеспечения работоспособности приложения. Рекламные и аналитические cookies третьих сторон не используются.

18.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на сайте Сервиса.

18.2. При внесении существенных изменений Оператор уведомляет Субъектов через приложение или иным доступным способом.

18.3. Действующая редакция Политики постоянно доступна по адресу: подвыкуп.рф/privacy

В соответствии с требованиями ФЗ-152 Оператор (Парк) обязан разработать и утвердить:

1. Настоящую Политику конфиденциальности и обработки персональных данных;
2. Положение об обработке персональных данных;
3. Приказ о назначении ответственного за организацию обработки персональных данных;
4. Формы согласий на обработку персональных данных;
5. Перечень лиц, допущенных к обработке персональных данных;
6. Модель угроз безопасности персональных данных;
7. Порядок реагирования на инциденты безопасности;
8. Акт оценки вреда, который может быть причинён субъектам персональных данных.

По вопросам обработки персональных данных, реализации прав субъектов данных, а также для направления обращений и запросов обращайтесь:

• К администратору вашего Парка — через раздел «Настройки» в приложении;
• К ответственному за организацию обработки персональных данных — по контактным данным, указанным в уведомлении в Роскомнадзор;
• Контролирующий орган: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — rkn.gov.ru