На главную

Политика конфиденциальности — Tosvi

Версия 1.0 · Дата вступления в силу: 2026-06-20 · Последнее обновление: 2026-06-20

Эта политика конфиденциальности объясняет, какие персональные данные обрабатывает Tosvi, зачем и каким образом. Tosvi — это программный сервис для студий детейлинга для управления клиентами, автомобилями, расчётами, расписанием и предварительными осмотрами автомобилей.

В применимых случаях согласно Общему регламенту ЕС по защите данных (GDPR, если вы являетесь резидентом ЕС/ЕЭЗ), Закону Республики Молдова № 133/2011 о защите персональных данных или сопоставимым законам вашей юрисдикции Tosvi соблюдает изложенные ниже обязательства по защите данных.

Сфера применения и применимое право

Tosvi разработан в соответствии со стандартами GDPR. Сервис управляется из Республики Молдова и может использоваться студиями в Молдове, ЕС/ЕЭЗ и других регионах. Когда к деятельности по обработке применяется GDPR, Закон Молдовы № 133/2011 или сопоставимый закон, мы соблюдаем изложенные в этой политике обязательства, и между студией и нами действуют положения нашего Соглашения об обработке данных (DPA), касающиеся GDPR. Если того требует GDPR в отношении обработки данных резидентов ЕС/ЕЭЗ, мы внедряем предусмотренные им дополнительные меры, включая назначение представителя в ЕС согласно статье 27 GDPR, где это применимо.

Кто мы

Оператор сервиса Tosvi: Petru Virtos, Antreprenor Independent (независимый предприниматель) Фискальный код: 1026023032469 Кишинёв, Республика Молдова Контакт: [email protected]

Наша роль: для клиентских данных студии мы обработчик, а не контролёр

Это самое важное в том, как Tosvi обращается с данными.

  • В отношении персональных данных, которые студия вносит о **своих собственных

клиентах (имена клиентов, телефоны, e-mail, данные об автомобилях, фотографии осмотров, подписи), студия является контролёром данных — именно она решает, зачем и как эти данные используются. Tosvi является обработчиком данных** и действует только по инструкциям студии. Условия такой обработки изложены в нашем Соглашении об обработке данных (DPA), которое является частью договора каждой студии с нами.

  • В отношении самой учётной записи студии — данных для входа сотрудников, нужных

для работы сервиса (e-mail, имя, роль), а также данных безопасности и эксплуатации, описанных ниже, — контролёром является Tosvi.

Если вы являетесь _клиентом студии_ и хотите получить доступ к данным, которые студия хранит о вас, или удалить их, обратитесь напрямую в студию; она контролирует эти данные, а мы поможем ей ответить на ваш запрос.

Какие данные мы обрабатываем

Учётная запись и сотрудники студии (Tosvi — контролёр):

  • E-mail, имя и роль каждого пользователя-сотрудника — для аутентификации входа и

работы сервиса.

  • Предпочитаемый язык интерфейса — чтобы отправлять служебные письма (например, о

сбросе пароля) на вашем языке.

Клиентские данные студии (Tosvi — обработчик; студия — контролёр):

  • Клиенты: имя, телефон, e-mail и свободные заметки.
  • Автомобили: регистрационный номер, VIN, год, цвет и класс.
  • История работ: расчёты, услуги, заказы и сгенерированные PDF-документы.
  • Предварительные осмотры автомобилей: фотографии автомобиля (на которых могут

быть видны номера, иногда человек), изображение подписи клиента, отметки и заметки о повреждениях, имя утвердившего и время утверждения. Медиафайлы осмотров хранятся в частном хранилище в ЕС и предоставляются только через кратковременные подписанные ссылки — никогда по публичному URL.

Встраиваемый виджет-калькулятор цен (опционально, если студия его использует):

  • Заявки (лиды): если посетитель сайта отправляет контактную форму студии — имя и

телефон, которые он указывает, плюс снимок выбранных услуг/оценки. Это становится данными студии (Tosvi — обработчик).

  • IP-адрес посетителя: обрабатывается только как сигнал против

злоупотреблений / для ограничения частоты запросов. Он никогда не хранится в исходном виде — он усекается и необратимо хешируется с ежедневно сменяемым секретом, после чего становится кратковременным счётчиком. Ни исходный, ни хешированный IP не записывается в наш журнал аудита.

  • Агрегированная аналитика: ежедневные счётчики (просмотры, оценки, завершения)

без записей по отдельным посетителям — это статистические, а не персональные данные. Виджет не устанавливает cookie и не отслеживает отдельных посетителей.

Данные безопасности и эксплуатации (Tosvi — контролёр):

  • Журнал аудита (только добавление) действий внутри учётной записи (кто что сделал

и когда) для безопасности и подотчётности. Он не содержит персональных данных клиентов.

  • Стандартные серверные журналы (пути запросов, коды состояния, тайминги) для

отладки и предотвращения злоупотреблений. Персональные данные мы не логируем.

Что мы не обрабатываем

  • Мы не продаём персональные данные.
  • Мы не используем клиентские данные для рекламы и не строим маркетинговые профили.
  • Мы не используем персональные данные клиентов для обучения моделей ИИ.
  • Виджет не идентифицирует и не отслеживает отдельных посетителей сайта.

Зачем мы обрабатываем эти данные и правовое основание

Когда применяется GDPR или Закон Молдовы № 133/2011, мы опираемся на:

  • Исполнение договора — для предоставления сервиса, на который подписалась

студия (аутентификация, хранение и отображение записей студии, формирование документов расчётов и осмотров).

  • Законный интерес — для безопасности, предотвращения злоупотреблений,

ограничения частоты запросов и эксплуатационного логирования. Эти журналы не являются чувствительными, а доступ к ним ограничен оператором; мы определили, что этот интерес не перевешивает ваши права.

  • Юридическую обязанность — для ответа на законные запросы и выполнения наших

обязанностей по защите данных.

В отношении клиентских данных студии цель и правовое основание определяет студия (обычно договор или законный интерес для собственных клиентских записей); Tosvi обрабатывает такие данные только по документированным инструкциям студии.

Где хранятся данные

Tosvi хранит данные в Европейском союзе (Supabase, регион Франкфурт — Германия). Некоторые субобработчики расположены за пределами ЕС/ЕЭЗ; при передаче персональных данных за пределы ЕС/ЕЭЗ или Молдовы такие передачи опираются на Стандартные договорные положения (SCC) или эквивалентные гарантии.

Субобработчики

Tosvi использует следующие сторонние сервисы. Каждый из них является субобработчиком; передаются только данные, необходимые для соответствующего сервиса.

  • Supabase (база данных, аутентификация и файловое хранилище; регион

ЕС/Франкфурт) — хранит данные учётных записей и студий. https://supabase.com/privacy

  • Cloudflare, Inc. (США) — DNS, доставка контента, хостинг сайта,

маршрутизация почты и защита от ботов Turnstile при входе и в публичном виджете. https://www.cloudflare.com/privacypolicy/

  • MailerSend, Inc. (доставка транзакционных писем; дата-центры в ЕС, ISO 27001,

сертификация по EU-U.S. Data Privacy Framework) — отправляет служебные письма: подтверждение регистрации, сброс пароля, уведомления безопасности. https://www.mailersend.com/legal/privacy-policy

Изменения списка субобработчиков. При добавлении нового субобработчика мы уведомим студии по e-mail не менее чем за 30 дней до вступления изменения в силу. Студия может возразить, написав на [email protected] в этот срок; если разумное возражение не удаётся разрешить, студия может расторгнуть сервис без штрафа.

Хранение и удаление

  • Пока учётная запись активна: мы храним данные студии для предоставления

сервиса.

  • Экспорт/удаление по запросу субъекта данных: приложение предоставляет

экспорт и удаление данных по учётной записи и по отдельному клиенту. Удаление клиента удаляет его записи, включая осмотры, а связанные медиафайлы осмотров удаляются из хранилища (а не только разрываются ссылки на них).

  • При закрытии учётной записи / по запросу: мы удаляем данные студии по

запросу.

  • Журнал аудита: хранится для безопасности и подотчётности, пока учётная

запись активна; не содержит персональных данных клиентов.

  • Серверные журналы: хранятся ограниченное время для отладки и предотвращения

злоупотреблений, затем удаляются.

Ваши права

Если вы находитесь в ЕС/ЕЭЗ, Молдове или другой юрисдикции с сопоставимыми законами, у вас есть права на доступ, исправление, удаление, переносимость, возражение и ограничение обработки.

  • Владельцы учётных записей студий: реализуйте их в приложении (экспорт данных,

редактирование записей) или написав на [email protected].

  • Клиенты студии: обратитесь в студию (контролёра ваших данных); мы поможем

студии ответить.

  • Подать жалобу: в Молдове — Национальный центр по защите персональных данных

(CNPDCP), https://datepersonale.md. В ЕС — в национальный надзорный орган.

Cookie и отслеживание

Приложение Tosvi использует только необходимые cookie/локальное хранилище, нужные для поддержания вашего сеанса входа и запоминания настроек интерфейса. Мы не используем аналитические, рекламные или отслеживающие cookie. Встраиваемый виджет работает без cookie.

Безопасность

  • Весь трафик шифруется при передаче (TLS); данные в покое шифруются нашим

хостинг-провайдером.

  • Строгая изоляция арендаторов: защита на уровне строк базы данных (RLS)

гарантирует, что одна студия не может получить доступ к данным другой.

  • Медиафайлы осмотров хранятся в частном хранилище и предоставляются только через

кратковременные подписанные ссылки.

  • Защита от ботов (Cloudflare Turnstile) и проверка скомпрометированных паролей при

аутентификации.

  • Все входящие данные проверяются перед записью; секреты субобработчиков хранятся

как переменные окружения, а не в исходном коде; доступ к продакшену ограничен оператором.

Уведомление о нарушении. Узнав о нарушении в отношении персональных данных, мы уведомим затронутые студии без неоправданной задержки и, где этого требует GDPR, не позднее чем через 72 часа после того, как нам стало известно. Мы опишем характер нарушения, затронутые данные, вероятные последствия и принятые меры и будем сотрудничать с компетентным надзорным органом, где это требуется.

Дети

Tosvi — инструмент для бизнеса (B2B), не предназначенный для детей. Мы сознательно не собираем данные детей. Если нам сообщат, что несовершеннолетний получил доступ к сервису, мы удалим связанные записи по получении достоверного сообщения.

Изменения в этой политике

Если мы существенно изменим обработку данных, мы обновим эту политику и уведомим студии по e-mail не менее чем за 30 дней до вступления изменений в силу. Незначительные уточнения будут отражены здесь с обновлённой датой «Последнее обновление».

Контакт

По вопросам конфиденциальности или для реализации ваших прав пишите на [email protected].