Политика в отношении обработки персональных данных в сервисе «ЭВИ-Х CRM»

Редакция от 11 мая 2026 года.

Документ разработан в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и подзаконных актов Российской Федерации. Все персональные данные обрабатываются и хранятся на серверах в Российской Федерации.

1. Общие положения

1.1. Настоящая Политика определяет порядок обработки и обеспечения безопасности персональных данных (далее — «ПДн»), осуществляемой в сервисе «ЭВИ-Х CRM» (далее — «Сервис»). Оператор персональных данных — Индивидуальный предприниматель Краснова Оксана Евгеньевна (бренд X2 Marketing Group), ИНН 583511040518 (далее — «Оператор»).

1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативными правовыми актами.

2. Категории субъектов и обрабатываемых ПДн

Оператор обрабатывает ПДн следующих категорий субъектов:

2.1. Пользователи Сервиса (сотрудники Лицензиатов)

фамилия, имя, отчество;
контактный телефон;
адрес электронной почты;
должность и роль в Сервисе;
хешированные пароли, токены авторизации, сведения о входах в систему;
IP-адреса и технические идентификаторы устройств.

2.2. Клиенты и контрагенты Лицензиата

фамилия, имя, отчество (при наличии);
контактный телефон, адрес электронной почты (при наличии);
адреса подачи и доставки в рамках заказа;
сведения о транспортном средстве клиента;
сумма заказа, способ и факт оплаты.

2.3. Водители и наёмный персонал Лицензиата

фамилия, имя, отчество, дата рождения;
контактный телефон;
сведения о водительском удостоверении, паспорте, СНИЛС, ИНН — в объёме, который Лицензиат добровольно вносит в Сервис;
сведения о трудовой деятельности и расчётах по заработной плате;
фотографии и сканы документов, прикреплённые в карточке.

3. Цели обработки ПДн

идентификация пользователей и предоставление доступа к Сервису;
обеспечение исполнения заказов и расчётов между Лицензиатом, его клиентами и водителями;
учёт водителей, транспортных средств, расходов и доходов Лицензиата;
формирование и направление уведомлений (системных, технических, информационных) пользователям;
оказание технической поддержки;
исполнение обязанностей Оператора по налоговому и бухгалтерскому учёту;
защита прав и законных интересов Оператора и Лицензиата.

4. Правовые основания обработки

согласие субъекта персональных данных, выраженное при регистрации в Сервисе или при внесении сведений Лицензиатом;
заключённый на условиях публичной оферты лицензионный договор;
договоры, заключаемые Лицензиатом со своими клиентами и работниками, в рамках которых данные передаются в Сервис;
требования законодательства Российской Федерации.

5. Способы и сроки обработки

5.1. Обработка ПДн осуществляется как с использованием средств автоматизации, так и без таковых. Действия с ПДн включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

5.2. Сроки хранения ПДн определяются целями обработки и сроками, установленными законодательством. По достижении целей обработки и истечении установленных сроков ПДн подлежат уничтожению или обезличиванию.

6. Локализация и трансграничная передача

6.1. Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан Российской Федерации осуществляются с использованием баз данных, расположенных на территории Российской Федерации.

6.2. Трансграничная передача ПДн Оператором не осуществляется.

7. Меры по обеспечению безопасности ПДн

Оператор принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий:

назначение лица, ответственного за организацию обработки ПДн;
издание внутренних документов, регулирующих обработку и защиту ПДн;
применение средств защиты информации, прошедших оценку соответствия;
передача данных по защищённому каналу TLS 1.2/1.3;
хранение паролей пользователей в виде криптостойких хешей (Argon2id);
разграничение прав доступа сотрудников и пользователей по ролям;
ведение аудит-журнала действий пользователей и регистрация инцидентов;
ежедневное резервное копирование баз данных и хранение копий в защищённом контуре;
ограничение и контроль физического и логического доступа к серверам;
обучение и инструктирование сотрудников Оператора по вопросам защиты ПДн;
заключение соглашений о неразглашении (NDA) с подрядчиками и сотрудниками.

8. Передача ПДн

8.1. Оператор не передаёт ПДн третьим лицам без согласия субъекта, за исключением случаев, предусмотренных законом.

8.2. Оператор вправе привлекать к обработке ПДн подрядчиков (хостинг, отправка уведомлений, эквайринг) на основании заключённых с ними соглашений о конфиденциальности и обеспечении безопасности ПДн.

8.3. Лицензиат самостоятельно несёт ответственность за получение согласий своих клиентов и работников на передачу их ПДн в Сервис, а также за объём и достоверность таких сведений.

9. Права субъекта ПДн

Субъект персональных данных имеет право:

получать сведения о факте обработки своих ПДн, цели, сроках и условиях обработки;
требовать уточнения, блокирования или уничтожения ПДн в случае их неполноты, неточности или незаконного получения;
отозвать согласие на обработку ПДн в любое время путём направления письменного запроса Оператору;
обжаловать действия или бездействие Оператора в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке.

10. Действия субъекта при отзыве согласия

Отзыв согласия на обработку ПДн направляется Оператору по адресу электронной почты, указанному в разделе 12. После получения отзыва Оператор прекращает обработку ПДн в течение 30 (тридцати) дней, за исключением случаев, когда обработка необходима для исполнения требований закона или защиты прав и законных интересов Оператора.

11. Реакция на инциденты безопасности

В случае выявления факта неправомерного доступа к ПДн Оператор принимает меры по устранению нарушения, уведомляет уполномоченный орган в порядке и сроки, установленные ст. 21 Федерального закона № 152-ФЗ, и при необходимости — субъектов ПДн, чьи данные затронуты инцидентом.

12. Контакты ответственного за обработку ПДн

Оператор: ИП Краснова Оксана Евгеньевна (бренд X2 Marketing Group), ИНН 583511040518.

Все обращения по вопросам обработки персональных данных направляются на адрес электронной почты, указанный в разделе «Контакты» Сервиса, либо через форму обратной связи в Сервисе.