Политика обработки персональных данных

Редакция 1.0.0 от 2026-04-19. Документ составлен в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» (ст. 18.1).

1. Общие положения и реквизиты оператора

Настоящая Политика определяет порядок обработки персональных данных пользователей сервиса Carmetric (далее — «Сервис», «carmetric.ru») и меры по обеспечению их безопасности. Оператор персональных данных:

Наименование: 【ТРЕБУЕТ ЗАПОЛНЕНИЯ: ФИО оператора】
ИНН: 【ТРЕБУЕТ ЗАПОЛНЕНИЯ: ИНН】
Адрес: 【ТРЕБУЕТ ЗАПОЛНЕНИЯ: юридический адрес】
Контакт по вопросам ПДн: privacy@carmetric.ru

Используя Сервис, ты соглашаешься с условиями настоящей Политики. Если не согласен — не используй Сервис.

2. Цели обработки персональных данных

Персональные данные обрабатываются в целях:

регистрации и идентификации пользователя в Сервисе;
предоставления функциональности (учёт расходов на автомобиль, регламент ТО, аналитика);
восстановления доступа к аккаунту (сброс пароля по email);
отправки эксплуатационных уведомлений (подтверждение регистрации, напоминания о ТО при наличии согласия);
соблюдения требований законодательства РФ (152-ФЗ, НК РФ, 54-ФЗ при приёме платежей);
улучшения работы Сервиса (анализ агрегированных данных об использовании).

3. Категории субъектов персональных данных

Оператор обрабатывает персональные данные следующих категорий субъектов:

физические лица — пользователи Сервиса (зарегистрированные или авторизованные).

4. Категории обрабатываемых персональных данных

Обрабатываются следующие персональные данные:

логин (имя пользователя) — обязательно;
адрес электронной почты — опционально, для восстановления доступа;
техническая информация: IP-адрес, сведения о браузере (User-Agent), дата и время действий в Сервисе;
сведения, добавленные пользователем: данные о транспортном средстве (марка, модель, год, пробег, регламент ТО), записи о расходах (дата, категория, сумма, заметки, артикулы запчастей);
данные об оплате подписки — только при подключении платного тарифа, обрабатываются платёжным партнёром (см. раздел 7), Оператор не хранит данные банковских карт.

Специальные и биометрические персональные данные Оператор не обрабатывает.

5. Правовое основание обработки

Обработка персональных данных осуществляется на следующих основаниях:

согласие субъекта, предоставленное при регистрации (ст. 6 ч. 1 п. 1 152-ФЗ);
исполнение договора-оферты, стороной которого является субъект (ст. 6 ч. 1 п. 5 152-ФЗ);
исполнение обязанностей, возложенных законодательством РФ (ст. 6 ч. 1 п. 2 152-ФЗ).

6. Порядок и условия обработки

Обработка осуществляется как автоматизированным способом (на серверах Оператора, расположенных на территории Российской Федерации), так и без использования средств автоматизации. Обеспечиваются:

разграничение доступа к данным на уровне аккаунта (каждый пользователь видит только свои записи);
защита транспортного уровня: весь трафик между браузером и сервером передаётся по HTTPS (TLS 1.2+);
хэширование паролей необратимым алгоритмом (bcrypt) — Оператор не хранит пароли в открытом виде;
защита от типовых атак: CSRF-токены, httpOnly/Secure куки сессии, SameSite=Lax;
регулярное резервное копирование базы данных.

Трансграничная передача персональных данных не осуществляется.

7. Передача данных третьим лицам (обработчикам)

Для выполнения отдельных функций Оператор привлекает обработчиков персональных данных, которым передаётся минимально необходимый объём данных:

ООО «НКО ЮМани» (ЮKassa) — приём платежей за подписку. Передаются: идентификатор пользователя, сумма и назначение платежа. Данные банковской карты передаются непосредственно ЮKassa, Оператор их не видит и не хранит.
ООО «Яндекс» (Yandex.Metrica) — аналитика посещаемости публичных страниц. Передаются: обезличенные сведения о браузере, странице, действиях в интерфейсе. Сбор отключается в настройках браузера (Do Not Track) или блокировщиками трекеров.

Перечень обработчиков может быть расширен. Актуальный состав — в текущей редакции настоящего документа.

8. Сроки обработки и хранения

Персональные данные хранятся в течение всего срока использования Сервиса субъектом и до момента одного из следующих событий:

удаления аккаунта по инициативе субъекта (через настройки аккаунта или обращением к Оператору);
отзыва согласия на обработку (см. раздел 9);
прекращения деятельности Сервиса с предварительным уведомлением пользователей.

После наступления любого из указанных событий персональные данные подлежат удалению в срок до 30 календарных дней, за исключением данных, которые необходимо хранить в силу закона (данные о платежах — 5 лет по НК РФ).

9. Права субъекта персональных данных

Субъект имеет право:

получить информацию об обработке своих данных;
уточнить, заблокировать или удалить свои персональные данные;
отозвать согласие на обработку персональных данных;
обжаловать действия Оператора в Роскомнадзор или в суд.

Для реализации указанных прав направь письменное обращение на privacy@carmetric.ru с темой «Персональные данные». Срок ответа — не более 30 дней.

10. Изменения Политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция — на этой странице; в нижнем колонтитуле указаны номер редакции (1.0.0) и дата публикации (2026-04-19).

При существенных изменениях (расширение состава обрабатываемых данных, новый обработчик, изменение сроков хранения) Оператор уведомляет пользователей по указанным при регистрации email-адресам либо через баннер в Сервисе и может запросить повторное согласие.