ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Индивидуального предпринимателя
Пичхадзе Лия Лериевна
(ОГРНИП 309231228000154, ИНН 231212810807)
Дата вступления в силу: 10 августа 2025 года
1. Общие положения1.1. Настоящая Политика разработана в соответствии с законодательством Российской Федерации, включая Федеральный закон № 152-ФЗ «О персональных данных», Федеральный закон № 149-ФЗ «Об информации…», подзаконные акты и разъяснения уполномоченного органа. Политика определяет порядок и условия обработки персональных данных (далее — ПДн) и меры по их защите при деятельности онлайн-школы «Прознаю».
1.2. Оператор ПДн. Оператором ПДн является ИП Пичхадзе Лия Лериевна (ИНН 231212810807, ОГРНИП 309231228000154). Адрес регистрации: 350049, РФ, Краснодарский край, г. Краснодар, ул. Тургенева, д. 138/3, кв. 96.
Официальный e-mail для юридически значимых обращений по ПДн: owner@proznau.ru (для общих вопросов: info@proznau.ru). Оператор самостоятельно определяет цели и объём обработки ПДн, организует их обработку и обеспечивает безопасность ПДн.
1.3. Сфера действия. Политика распространяется на все ПДн физических лиц (далее — Субъекты ПДн), которые Оператор получает при использовании сайта https://proznau.ru (платформа Tilda) и образовательной платформы Impulse LMS (https://proznau.impulse-lms.com), а также через формы связи, платежные и коммуникационные сервисы. VK ID используется только при работе на LMS (при наличии такой опции) и на условиях, публикуемых в LMS.
1.4. Акцепт политики и согласие. Предоставляя ПДн (установка флажка согласия в формах сайта, регистрация в LMS, нажатие «Оплатить/Записаться» и иные конклюдентные действия), Пользователь подтверждает, что ознакомлен с Политикой.
— Когда обработка необходима для исполнения договора (акцепт оферты на платные образовательные услуги) или возложена законом, отдельное согласие не требуется.
— Для рекламных рассылок, публикации отзывов/кейсов и медиа-обработки (изображение/голос) Оператор запрашивает отдельные согласия.
1.5. Персональные данные. ПДн — любая информация о прямо или косвенно определяемом лице: ФИО, дата рождения/возраст, контакты, учётные данные LMS, сведения об обучении и успеваемости, отзывы, и т.п. Специальные категории ПДн (расовая/национальная принадлежность, политические взгляды, религиозные/философские убеждения, здоровье, интимная жизнь) и биометрические ПДн Оператор не обрабатывает, за исключением случаев, когда субъект добровольно предоставляет их и/или даёт прямое письменное согласие, если это требуется законом.
1.6. Обработка ПДн. Под обработкой понимаются любые операции с ПДн с использованием автоматизации и без неё: сбор, запись, систематизация, хранение, уточнение (обновление/изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Обработка ведётся в информационных системах Оператора и допустима на бумажных носителях в предусмотренных законом случаях.
1.7. Принципы обработки. Оператор соблюдает принципы законности, справедливости, ограничения обработкой целями, минимизации и недопущения избыточности, точности и актуальности данных, ограничения сроков хранения, обеспечения безопасности ПДн. Содержание и объём ПДн соответствуют заявленным целям; избыточные ПДн не запрашиваются и не обрабатываются.
1.8. Локализация и трансграничная передача. Базы данных, содержащие ПДн, размещаются на территории Российской Федерации. По общему правилу трансграничная передача ПДн не осуществляется. Если для оказания услуг или исполнения требований закона/договора потребуется трансграничная передача, Оператор заранее обеспечит соблюдение требований закона, включая уведомление Роскомнадзора и соблюдение условий такой передачи (адекватность защиты, договорные гарантии и др.), и отразит соответствующую информацию в Политике и/или согласиях.
1.9. Связь с договорами. Настоящая Политика является неотъемлемой частью пользовательских соглашений и публичной оферты на оказание услуг. Политика применяется совместно с Офертой, Политикой cookie, Правилами платформы (AUP) и иными локальными актами Оператора.
1.10. Актуализация Политики. Оператор вправе изменять Политику. Новая редакция действует с момента публикации на сайте (если не указано иное). Оператор уведомляет о существенных изменениях размещением уведомления в интерфейсах сайта/LMS и/или направлением сообщения на контактный e-mail. Рекомендуется регулярно проверять опубликованную редакцию.
1.11. Достоверность данных и третьи лица. Пользователь гарантирует предоставление достоверных и актуальных ПДн и обязуется своевременно их обновлять (в т.ч. через личный кабинет). При передаче Оператору ПДн третьих лиц (например, ребёнка-обучающегося) Пользователь подтверждает наличие надлежащего согласия такого лица/его законного представителя на передачу и обработку ПДн Оператором.
1.12. Уведомления уполномоченного органа. Оператор действует с учётом требований о подаче уведомления об обработке ПДн и, при необходимости, уведомления о трансграничной передаче, а также об актуализации сведений в реестре операторов ПДн в установленные сроки.
2. Категории персональных данных и способы их получения
2.1. Источники получения персональных данных. Оператор получает ПДн непосредственно от субъектов: путём добровольного ввода данных в формы на Сайте (Tilda), через интерфейсы Impulse LMS, а также при общении по иным каналам (телефон, e-mail, мессенджеры, социальные сети). Обработка начинается после самостоятельного предоставления данных субъектом (включая отправку веб-форм, регистрацию/авторизацию в LMS).
2.2. Данные, предоставляемые через формы на Сайте (Tilda).
2.2.1. Форма записи на курс. ФИО (при наличии — отчество), телефон, e-mail, иные сведения из комментариев/допполей (желаемая программа, удобное время связи) — для регистрации заявки и последующего заключения договора.
2.2.2. Форма обратной связи. Имя, e-mail и/или телефон, текст сообщения — для обратной связи, консультаций и предоставления информации о курсах.
2.2.3. Форма оплаты. ФИО плательщика, e-mail и телефон (для чеков и связи), реквизиты заказа (номер, сумма). Данные банковской карты (номер, срок, CVC/CVV) вводятся на защищённой платёжной странице провайдера (ЮKassa/YooMoney, СБП, банк и т. п.) и не обрабатываются и не хранятся на Сайте. Оператор получает от провайдера только статус платежа, идентификатор транзакции, сумму и, при наличии, обезличенные метаданные (например, последние 4 цифры карты).
2.2.4. Форма заказа звонка. Имя, телефон — для обратного звонка и консультации.
2.2.5. Форма предварительного бронирования. Имя, контакты (телефон/e-mail), сведения о курсе/дате — для резервирования места и последующей связи для подтверждения/оплаты.
2.2.6. Формы фиксации согласий. Отдельные чекбоксы/всплывающие окна для согласия на обработку ПДн, согласия на рекламные рассылки, согласия на распространение персональных данных (ст. 10.1 152-ФЗ), медиа-согласия (изображение/голос) и др. Фиксируются идентификаторы субъекта (ФИО, e-mail и т. п.) и отметка согласия.
2.2.7. Чат-виджет (онлайн-чат). Имя (если указано), контакт для ответа (e-mail/телефон, если запрошен), содержание сообщений — для консультирования, оперативного ответа и улучшения сервиса.
2.2.8. Форма подписки на рассылку. e-mail (иногда имя) — для информационных и рекламных писем при наличии отдельного согласия; отписка доступна в каждом письме.
2.2.9. Иные формы. Регистрация на вебинар, запрос методматериалов, опросы и т. п. — собирается минимально необходимый объём (как правило, имя, контакты, сведения по запросу), с указанием согласия с Политикой.
2.3. Персональные данные в Платформе LMS (Impulse).
2.3.1. Регистрация аккаунта. Имя, фамилия, e-mail, телефон (как логин/для связи), пароль. Пароли хранятся в хэшированном виде (не в открытом виде).
2.3.2. Авторизация через VK ID. Уникальный VK-ID, имя и фамилия, возможно e-mail и/или телефон (если предоставлены VK и подтверждены пользователем). Данные используются исключительно для упрощённой регистрации/входа и идентификации; доступ к аккаунту VK Оператор не получает.
2.3.3. Профиль обучающегося. Добровольно: год рождения/возраст, город, фото (аватар), сведения об образовании и др. — для персонализации обучения.
2.3.4. Данные об обучении и успеваемости. Освоенные уроки/модули, результаты заданий и тестов, оценки, комментарии преподавателей, посещаемость онлайн-занятий, активность в курсах, выданные сертификаты — для учёта успеваемости, мониторинга учебного плана, обратной связи и оформления документов.
2.3.5. Коммуникации в LMS. Сообщения в форумах/чатах/личных сообщениях — для учебного взаимодействия и поддержки студентов.
2.3.6. Файлы и проекты. Загружаемые задания/проекты/изображения/тексты (включая возможные ПДн в содержании/метаданных) — строго для образовательных целей (хранение, проверка, оценка, обратная связь). Права на материалы сохраняются за пользователем; распространение — только при отдельном согласии (в т. ч. согласии на распространение ПДн).
2.3.7. Данные законного представителя (для несовершеннолетних). ФИО, телефон, e-mail, при необходимости — документ, подтверждающий полномочия и согласие родителя/опекуна на обработку ПДн ребёнка и заключение договора.
2.4. Автоматически собираемые данные (cookie и техническая информация).
2.4.1. Cookie-файлы. Уникальные идентификаторы сессии/пользователя, предпочтения и действия на Сайте — для удобства (настройки, сохранение форм) и обезличенной статистики. При первом визите показывается баннер/инструмент управления согласием: строго необходимые cookie применяются без отдельного согласия; аналитические/функциональные/маркетинговые — при наличии согласия. Отключение cookie в браузере возможно, но может ограничить функциональность.
2.4.2. Логи сервера и аналитика. IP-адрес, дата/время, запрошенные страницы, тип/версия браузера, ОС, реферер, идентификатор устройства, иная техинформация — для поддержки работоспособности, информационной безопасности (в т. ч. выявление попыток несанкционированного доступа) и улучшения сервисов. Анализ — в обезличенном виде; увязка с конкретной личностью без необходимости не производится.
2.5. Данные из общедоступных источников. Обработка ПДн, самостоятельно размещённых субъектом для неограниченного круга лиц (например, публичный отзыв в соцсети), допускается с соблюдением прав субъекта. Распространение персональных данных (включая публикацию отзывов/кейсов на Сайте/в соцсетях) осуществляется только при наличии отдельного согласия на распространение ПДн с возможностью указания условий/запретов (см. п. 5.6).
2.6. Сводный перечень категорий персональных данных, обрабатываемых Оператором.
2.6.1. ФИО и дата рождения обучающегося.
2.6.2. ФИО законного представителя обучающегося.
2.6.3. Контакты законного представителя: телефон, e-mail.
2.6.4. Контакты обучающегося: e-mail, телефон, регион/город.
2.6.5. Сведения о платежах: токенизированный номер карты/идентификатор средства оплаты (при наличии), способ, время, сумма, статус; реальные реквизиты карт не хранятся у Оператора.
2.6.6. Учётные данные LMS: внутренний ID, логин (e-mail/телефон), хэш пароля, результаты тестов, комментарии, загруженные файлы, история активности.
2.6.7. Данные устройств и сессий: IP-адрес, тип/версия браузера, ОС, разрешение экрана, cookie-файлы, web-storage (localStorage/sessionStorage), иное.
2.6.8. Обращения в поддержку: текст сообщений, вложения, при наличии — аудио/скриншоты/скринкасты.
2.6.9. Медиа-данные при участии в онлайн-занятиях (изображение/голос) — при наличии отдельного медиа-согласия и в объёме, необходимом для образовательного процесса.
2.7. Исключения (не обрабатываются по общему правилу). Специальные категории ПДн (раса, национальность, политические взгляды, религиозные/философские убеждения, здоровье, интимная жизнь) и биометрические ПДн не обрабатываются. Если такие данные окажутся у Оператора по инициативе субъекта, они обрабатываются только при наличии дополнительных законных оснований и/или прямого письменного согласия в случаях, предусмотренных законом.
2.1. Источники получения персональных данных. Оператор получает ПДн непосредственно от субъектов: путём добровольного ввода данных в формы на Сайте (Tilda), через интерфейсы Impulse LMS, а также при общении по иным каналам (телефон, e-mail, мессенджеры, социальные сети). Обработка начинается после самостоятельного предоставления данных субъектом (включая отправку веб-форм, регистрацию/авторизацию в LMS).
2.2. Данные, предоставляемые через формы на Сайте (Tilda).
2.2.1. Форма записи на курс. ФИО (при наличии — отчество), телефон, e-mail, иные сведения из комментариев/допполей (желаемая программа, удобное время связи) — для регистрации заявки и последующего заключения договора.
2.2.2. Форма обратной связи. Имя, e-mail и/или телефон, текст сообщения — для обратной связи, консультаций и предоставления информации о курсах.
2.2.3. Форма оплаты. ФИО плательщика, e-mail и телефон (для чеков и связи), реквизиты заказа (номер, сумма). Данные банковской карты (номер, срок, CVC/CVV) вводятся на защищённой платёжной странице провайдера (ЮKassa/YooMoney, СБП, банк и т. п.) и не обрабатываются и не хранятся на Сайте. Оператор получает от провайдера только статус платежа, идентификатор транзакции, сумму и, при наличии, обезличенные метаданные (например, последние 4 цифры карты).
2.2.4. Форма заказа звонка. Имя, телефон — для обратного звонка и консультации.
2.2.5. Форма предварительного бронирования. Имя, контакты (телефон/e-mail), сведения о курсе/дате — для резервирования места и последующей связи для подтверждения/оплаты.
2.2.6. Формы фиксации согласий. Отдельные чекбоксы/всплывающие окна для согласия на обработку ПДн, согласия на рекламные рассылки, согласия на распространение персональных данных (ст. 10.1 152-ФЗ), медиа-согласия (изображение/голос) и др. Фиксируются идентификаторы субъекта (ФИО, e-mail и т. п.) и отметка согласия.
2.2.7. Чат-виджет (онлайн-чат). Имя (если указано), контакт для ответа (e-mail/телефон, если запрошен), содержание сообщений — для консультирования, оперативного ответа и улучшения сервиса.
2.2.8. Форма подписки на рассылку. e-mail (иногда имя) — для информационных и рекламных писем при наличии отдельного согласия; отписка доступна в каждом письме.
2.2.9. Иные формы. Регистрация на вебинар, запрос методматериалов, опросы и т. п. — собирается минимально необходимый объём (как правило, имя, контакты, сведения по запросу), с указанием согласия с Политикой.
2.3. Персональные данные в Платформе LMS (Impulse).
2.3.1. Регистрация аккаунта. Имя, фамилия, e-mail, телефон (как логин/для связи), пароль. Пароли хранятся в хэшированном виде (не в открытом виде).
2.3.2. Авторизация через VK ID. Уникальный VK-ID, имя и фамилия, возможно e-mail и/или телефон (если предоставлены VK и подтверждены пользователем). Данные используются исключительно для упрощённой регистрации/входа и идентификации; доступ к аккаунту VK Оператор не получает.
2.3.3. Профиль обучающегося. Добровольно: год рождения/возраст, город, фото (аватар), сведения об образовании и др. — для персонализации обучения.
2.3.4. Данные об обучении и успеваемости. Освоенные уроки/модули, результаты заданий и тестов, оценки, комментарии преподавателей, посещаемость онлайн-занятий, активность в курсах, выданные сертификаты — для учёта успеваемости, мониторинга учебного плана, обратной связи и оформления документов.
2.3.5. Коммуникации в LMS. Сообщения в форумах/чатах/личных сообщениях — для учебного взаимодействия и поддержки студентов.
2.3.6. Файлы и проекты. Загружаемые задания/проекты/изображения/тексты (включая возможные ПДн в содержании/метаданных) — строго для образовательных целей (хранение, проверка, оценка, обратная связь). Права на материалы сохраняются за пользователем; распространение — только при отдельном согласии (в т. ч. согласии на распространение ПДн).
2.3.7. Данные законного представителя (для несовершеннолетних). ФИО, телефон, e-mail, при необходимости — документ, подтверждающий полномочия и согласие родителя/опекуна на обработку ПДн ребёнка и заключение договора.
2.4. Автоматически собираемые данные (cookie и техническая информация).
2.4.1. Cookie-файлы. Уникальные идентификаторы сессии/пользователя, предпочтения и действия на Сайте — для удобства (настройки, сохранение форм) и обезличенной статистики. При первом визите показывается баннер/инструмент управления согласием: строго необходимые cookie применяются без отдельного согласия; аналитические/функциональные/маркетинговые — при наличии согласия. Отключение cookie в браузере возможно, но может ограничить функциональность.
2.4.2. Логи сервера и аналитика. IP-адрес, дата/время, запрошенные страницы, тип/версия браузера, ОС, реферер, идентификатор устройства, иная техинформация — для поддержки работоспособности, информационной безопасности (в т. ч. выявление попыток несанкционированного доступа) и улучшения сервисов. Анализ — в обезличенном виде; увязка с конкретной личностью без необходимости не производится.
2.5. Данные из общедоступных источников. Обработка ПДн, самостоятельно размещённых субъектом для неограниченного круга лиц (например, публичный отзыв в соцсети), допускается с соблюдением прав субъекта. Распространение персональных данных (включая публикацию отзывов/кейсов на Сайте/в соцсетях) осуществляется только при наличии отдельного согласия на распространение ПДн с возможностью указания условий/запретов (см. п. 5.6).
2.6. Сводный перечень категорий персональных данных, обрабатываемых Оператором.
2.6.1. ФИО и дата рождения обучающегося.
2.6.2. ФИО законного представителя обучающегося.
2.6.3. Контакты законного представителя: телефон, e-mail.
2.6.4. Контакты обучающегося: e-mail, телефон, регион/город.
2.6.5. Сведения о платежах: токенизированный номер карты/идентификатор средства оплаты (при наличии), способ, время, сумма, статус; реальные реквизиты карт не хранятся у Оператора.
2.6.6. Учётные данные LMS: внутренний ID, логин (e-mail/телефон), хэш пароля, результаты тестов, комментарии, загруженные файлы, история активности.
2.6.7. Данные устройств и сессий: IP-адрес, тип/версия браузера, ОС, разрешение экрана, cookie-файлы, web-storage (localStorage/sessionStorage), иное.
2.6.8. Обращения в поддержку: текст сообщений, вложения, при наличии — аудио/скриншоты/скринкасты.
2.6.9. Медиа-данные при участии в онлайн-занятиях (изображение/голос) — при наличии отдельного медиа-согласия и в объёме, необходимом для образовательного процесса.
2.7. Исключения (не обрабатываются по общему правилу). Специальные категории ПДн (раса, национальность, политические взгляды, религиозные/философские убеждения, здоровье, интимная жизнь) и биометрические ПДн не обрабатываются. Если такие данные окажутся у Оператора по инициативе субъекта, они обрабатываются только при наличии дополнительных законных оснований и/или прямого письменного согласия в случаях, предусмотренных законом.
3. Цели обработки персональных данных
3.1. Оказание образовательных услуг (исполнение договора).
Обработка ПДн необходима для заключения и исполнения договора об оказании платных образовательных услуг: регистрация и создание учётной записи, зачисление на курс, предоставление доступа к материалам, ведение расписания и учёта посещаемости, контроль успеваемости, коммуникация с обучающимся (направление методических материалов, уведомлений о занятиях и результатах), оформление и выдача сертификатов/справок. Например, ФИО используется для оформления документов об обучении, контактные данные — для оперативной связи по вопросам курса, данные об успеваемости — для оценки освоения программы.
3.2. Обратная связь и поддержка.
ПДн, полученные через формы обратной связи, чат, по телефону или e-mail, используются для ответа на запросы, консультирования по вопросам обучения и технической поддержке, подтверждения заявок и уточнения деталей.
3.3. Заключение договоров и расчёты.
ПДн обрабатываются для оформления договорных отношений, выставления счетов, приёма оплаты, учёта поступивших средств, формирования бухгалтерских документов (чеки, акты) и выполнения иных обязанностей, связанных с платными услугами.
3.4. Работа Личного кабинета и доступ к LMS.
ПДн используются для аутентификации и авторизации (включая восстановление доступа), поддержания сессии, отображения имени/аватара в интерфейсе курса, направления технических уведомлений (подтверждение регистрации, сообщения в системе, сервисные напоминания) и обеспечения безопасности аккаунта.
3.5. Обратный звонок и консультации по запросу.
При оставлении номера телефона ПДн используются для предоставления персональной консультации: информация о курсах, расписании, условиях обучения и оплаты, помощь в выборе программы.
3.6. Информационные и маркетинговые рассылки (при отдельном согласии).
При наличии отдельного согласия субъекта Оператор направляет новости школы, сведения о новых курсах, акциях и спецпредложениях (e-mail, мессенджеры, SMS). Субъект вправе отказаться от рассылок в любой момент (отзыв согласия/ссылка «Отписаться»). Сервисные сообщения (по договору) не являются рекламой и направляются без дополнительного согласия.
3.7. Аналитика, улучшение сервиса и персонализация.
Обезличенные данные (в т.ч. cookie и технические логи) используются для анализа работы сайта/LMS, повышения удобства, оптимизации контента и навигации, а также для напоминаний об оставленных действиях (например, неоконченная регистрация) в рамках собственной аудитории. Применение аналитических/функциональных/маркетинговых cookie — только при получении согласия через баннер/настройки cookie (подробнее — в Политике cookie). Рассылки/показы рекламных материалов третьих лиц без согласия не осуществляются; профилирование, влекущее юридические последствия, не применяется без участия человека.
3.8. Безопасность и предотвращение мошенничества.
ПДн обрабатываются для защиты учётных записей и инфраструктуры: подтверждение подлинности действий пользователя, анализ событий безопасности (IP-адреса входов, аномальная активность), ведение журналов (логов) обращений к системам, взаимодействие с платёжными провайдерами по антифрод-проверкам в рамках их политик.
3.9. Выполнение требований закона.
Обработка ПДн осуществляется для исполнения обязанностей Оператора, предусмотренных законодательством РФ (включая образование, бухгалтерский и налоговый учёт, хранение документов), а также для предоставления информации уполномоченным госорганам в случаях и порядке, установленных законом, и защиты прав Оператора при спорах.
3.10. Публикация отзывов, достижений и материалов пользователей (по отдельному согласию).
С предварительного отдельного согласия субъекта Оператор может размещать отзывы о курсах, демонстрировать результаты обучения (проекты/работы), публиковать имя и изображение в числе лучших студентов, показывать сертификаты об окончании и иные достижения на сайте и в соцсетях. Без согласия такие данные не обнародуются.
3.11. Иные цели — только с согласия.
Любая иная обработка ПДн, не совместимая с перечисленными целями, производится только при наличии дополнительного согласия субъекта ПДн, либо при наличии иного законного основания, указанного в разделе 4 «Правовые основания обработки». Перед расширением целей обработки Оператор предварительно запрашивает требуемые согласия и/или информирует субъектов в установленном порядке.
3.1. Оказание образовательных услуг (исполнение договора).
Обработка ПДн необходима для заключения и исполнения договора об оказании платных образовательных услуг: регистрация и создание учётной записи, зачисление на курс, предоставление доступа к материалам, ведение расписания и учёта посещаемости, контроль успеваемости, коммуникация с обучающимся (направление методических материалов, уведомлений о занятиях и результатах), оформление и выдача сертификатов/справок. Например, ФИО используется для оформления документов об обучении, контактные данные — для оперативной связи по вопросам курса, данные об успеваемости — для оценки освоения программы.
3.2. Обратная связь и поддержка.
ПДн, полученные через формы обратной связи, чат, по телефону или e-mail, используются для ответа на запросы, консультирования по вопросам обучения и технической поддержке, подтверждения заявок и уточнения деталей.
3.3. Заключение договоров и расчёты.
ПДн обрабатываются для оформления договорных отношений, выставления счетов, приёма оплаты, учёта поступивших средств, формирования бухгалтерских документов (чеки, акты) и выполнения иных обязанностей, связанных с платными услугами.
3.4. Работа Личного кабинета и доступ к LMS.
ПДн используются для аутентификации и авторизации (включая восстановление доступа), поддержания сессии, отображения имени/аватара в интерфейсе курса, направления технических уведомлений (подтверждение регистрации, сообщения в системе, сервисные напоминания) и обеспечения безопасности аккаунта.
3.5. Обратный звонок и консультации по запросу.
При оставлении номера телефона ПДн используются для предоставления персональной консультации: информация о курсах, расписании, условиях обучения и оплаты, помощь в выборе программы.
3.6. Информационные и маркетинговые рассылки (при отдельном согласии).
При наличии отдельного согласия субъекта Оператор направляет новости школы, сведения о новых курсах, акциях и спецпредложениях (e-mail, мессенджеры, SMS). Субъект вправе отказаться от рассылок в любой момент (отзыв согласия/ссылка «Отписаться»). Сервисные сообщения (по договору) не являются рекламой и направляются без дополнительного согласия.
3.7. Аналитика, улучшение сервиса и персонализация.
Обезличенные данные (в т.ч. cookie и технические логи) используются для анализа работы сайта/LMS, повышения удобства, оптимизации контента и навигации, а также для напоминаний об оставленных действиях (например, неоконченная регистрация) в рамках собственной аудитории. Применение аналитических/функциональных/маркетинговых cookie — только при получении согласия через баннер/настройки cookie (подробнее — в Политике cookie). Рассылки/показы рекламных материалов третьих лиц без согласия не осуществляются; профилирование, влекущее юридические последствия, не применяется без участия человека.
3.8. Безопасность и предотвращение мошенничества.
ПДн обрабатываются для защиты учётных записей и инфраструктуры: подтверждение подлинности действий пользователя, анализ событий безопасности (IP-адреса входов, аномальная активность), ведение журналов (логов) обращений к системам, взаимодействие с платёжными провайдерами по антифрод-проверкам в рамках их политик.
3.9. Выполнение требований закона.
Обработка ПДн осуществляется для исполнения обязанностей Оператора, предусмотренных законодательством РФ (включая образование, бухгалтерский и налоговый учёт, хранение документов), а также для предоставления информации уполномоченным госорганам в случаях и порядке, установленных законом, и защиты прав Оператора при спорах.
3.10. Публикация отзывов, достижений и материалов пользователей (по отдельному согласию).
С предварительного отдельного согласия субъекта Оператор может размещать отзывы о курсах, демонстрировать результаты обучения (проекты/работы), публиковать имя и изображение в числе лучших студентов, показывать сертификаты об окончании и иные достижения на сайте и в соцсетях. Без согласия такие данные не обнародуются.
3.11. Иные цели — только с согласия.
Любая иная обработка ПДн, не совместимая с перечисленными целями, производится только при наличии дополнительного согласия субъекта ПДн, либо при наличии иного законного основания, указанного в разделе 4 «Правовые основания обработки». Перед расширением целей обработки Оператор предварительно запрашивает требуемые согласия и/или информирует субъектов в установленном порядке.
4. Правовые основания обработки
4.1. Согласие субъекта персональных данных.
Обработка ПДн осуществляется на основании свободно выраженного, конкретного, информированного и сознательного согласия субъекта ПДн (ст. 9 Федерального закона № 152-ФЗ), если иное правовое основание не применяется. Согласие может быть выражено:
— в электронной форме (установка флажка под формой, нажатие кнопки «Отправить/Оплатить/Зарегистрироваться», иные конклюдентные действия);
— в письменной форме (когда это прямо требуется законом либо запросом Оператора).
Согласие охватывает действия с ПДн, предусмотренные Политикой, и может быть отозвано субъектом в любое время (последствия отзыва — по Разделу 8).
4.2. Заключение и исполнение договора с субъектом ПДн.
Обработка ПДн допускается, когда она необходима для заключения и/или исполнения договора, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6 № 152-ФЗ). К таким операциям относятся: регистрация и доступ к курсу, ведение учёта посещаемости и успеваемости, выставление счетов, направление сервисных уведомлений и пр. В этих целях обработка допустима без отдельного согласия, при условии что субъект добровольно предоставил соответствующие данные.
4.3. Выполнение требований законодательства.
Обработка ПДн осуществляется для исполнения обязанностей Оператора, установленных законом (п. 2 ч. 1 ст. 6 № 152-ФЗ): ведение бухгалтерского и налогового учёта, хранение первичных документов и кассовых чеков, предоставление сведений по законным запросам суда, правоохранительных и надзорных органов, соблюдение законодательства об образовании и о локализации ПДн и др. Такая обработка выполняется строго в пределах требований действующих нормативных актов.
4.4. Защита жизненно важных интересов субъекта.
В исключительных случаях Оператор вправе обрабатывать ПДн без согласия для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн или третьих лиц (п. 6 ч. 1 ст. 6 № 152-ФЗ).
4.5. Осуществление прав и законных интересов Оператора.
Обработка ПДн возможна в целях законных интересов Оператора или третьих лиц (п. 7 ч. 1 ст. 6 № 152-ФЗ), при условии баланса интересов и отсутствия нарушения прав и свобод субъекта ПДн. Примеры: хранение записей онлайн-занятий для защиты от необоснованных претензий, анализ событий безопасности, противодействие мошенничеству, ограниченная аналитика для улучшения сервиса. Для посетителей Сайта, не заключивших договор, законный интерес может включать предоставление информации об услугах и улучшение интерфейсов (в т.ч. с применением cookie — при соблюдении Политики cookie и настроек согласия).
4.6. Иные основания, предусмотренные законодательством.
В предусмотренных законом случаях ПДн могут обрабатываться без согласия субъекта, в том числе если:
— субъект ранее сделал свои ПДн общедоступными;
— обработка ведётся в статистических или научных целях при обязательном обезличивании;
— обработка осуществляется в журналистских целях с соблюдением прав субъекта;
— иные основания, прямо предусмотренные ст. 6, 10, 11 № 152-ФЗ и иными актами.
Такие виды обработки в деятельности онлайн-школы, как правило, не применяются; при возникновении необходимости Оператор действует строго в рамках закона.
4.7. Согласие законного представителя несовершеннолетнего.
Если субъект ПДн — несовершеннолетний (до 18 лет), Оператор запрашивает согласие законного представителя (родителя/опекуна) на обработку ПДн ребёнка и заключение договора об обучении; представитель предоставляет свои идентификационные и контактные данные. Без такого согласия целенаправленная обработка ПДн несовершеннолетних не осуществляется, за исключением случаев, прямо допускаемых законом (например, защита жизненно важных интересов).
4.8. Отдельное согласие на распространение персональных данных (ст. 10.1 № 152-ФЗ).
Для обнародования ПДн неопределённому кругу лиц (публикация отзыва/кейса, имени и изображения, сертификата на сайте/в соцсетях и т.п.) Оператор получает отдельное явное согласие субъекта в письменной или приравненной к письменной электронной форме (отдельный чекбокс/форма), с указанием: какие данные, для каких целей, где и кому раскрываются, срока и условий/запретов распространения. Субъект вправе установить ограничения (запрет на отдельные категории данных, ограничение кругов получателей, сроков, способов) — Оператор строго соблюдает такие условия. Распространение без указанного отдельного согласия не допускается.
4.1. Согласие субъекта персональных данных.
Обработка ПДн осуществляется на основании свободно выраженного, конкретного, информированного и сознательного согласия субъекта ПДн (ст. 9 Федерального закона № 152-ФЗ), если иное правовое основание не применяется. Согласие может быть выражено:
— в электронной форме (установка флажка под формой, нажатие кнопки «Отправить/Оплатить/Зарегистрироваться», иные конклюдентные действия);
— в письменной форме (когда это прямо требуется законом либо запросом Оператора).
Согласие охватывает действия с ПДн, предусмотренные Политикой, и может быть отозвано субъектом в любое время (последствия отзыва — по Разделу 8).
4.2. Заключение и исполнение договора с субъектом ПДн.
Обработка ПДн допускается, когда она необходима для заключения и/или исполнения договора, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6 № 152-ФЗ). К таким операциям относятся: регистрация и доступ к курсу, ведение учёта посещаемости и успеваемости, выставление счетов, направление сервисных уведомлений и пр. В этих целях обработка допустима без отдельного согласия, при условии что субъект добровольно предоставил соответствующие данные.
4.3. Выполнение требований законодательства.
Обработка ПДн осуществляется для исполнения обязанностей Оператора, установленных законом (п. 2 ч. 1 ст. 6 № 152-ФЗ): ведение бухгалтерского и налогового учёта, хранение первичных документов и кассовых чеков, предоставление сведений по законным запросам суда, правоохранительных и надзорных органов, соблюдение законодательства об образовании и о локализации ПДн и др. Такая обработка выполняется строго в пределах требований действующих нормативных актов.
4.4. Защита жизненно важных интересов субъекта.
В исключительных случаях Оператор вправе обрабатывать ПДн без согласия для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн или третьих лиц (п. 6 ч. 1 ст. 6 № 152-ФЗ).
4.5. Осуществление прав и законных интересов Оператора.
Обработка ПДн возможна в целях законных интересов Оператора или третьих лиц (п. 7 ч. 1 ст. 6 № 152-ФЗ), при условии баланса интересов и отсутствия нарушения прав и свобод субъекта ПДн. Примеры: хранение записей онлайн-занятий для защиты от необоснованных претензий, анализ событий безопасности, противодействие мошенничеству, ограниченная аналитика для улучшения сервиса. Для посетителей Сайта, не заключивших договор, законный интерес может включать предоставление информации об услугах и улучшение интерфейсов (в т.ч. с применением cookie — при соблюдении Политики cookie и настроек согласия).
4.6. Иные основания, предусмотренные законодательством.
В предусмотренных законом случаях ПДн могут обрабатываться без согласия субъекта, в том числе если:
— субъект ранее сделал свои ПДн общедоступными;
— обработка ведётся в статистических или научных целях при обязательном обезличивании;
— обработка осуществляется в журналистских целях с соблюдением прав субъекта;
— иные основания, прямо предусмотренные ст. 6, 10, 11 № 152-ФЗ и иными актами.
Такие виды обработки в деятельности онлайн-школы, как правило, не применяются; при возникновении необходимости Оператор действует строго в рамках закона.
4.7. Согласие законного представителя несовершеннолетнего.
Если субъект ПДн — несовершеннолетний (до 18 лет), Оператор запрашивает согласие законного представителя (родителя/опекуна) на обработку ПДн ребёнка и заключение договора об обучении; представитель предоставляет свои идентификационные и контактные данные. Без такого согласия целенаправленная обработка ПДн несовершеннолетних не осуществляется, за исключением случаев, прямо допускаемых законом (например, защита жизненно важных интересов).
4.8. Отдельное согласие на распространение персональных данных (ст. 10.1 № 152-ФЗ).
Для обнародования ПДн неопределённому кругу лиц (публикация отзыва/кейса, имени и изображения, сертификата на сайте/в соцсетях и т.п.) Оператор получает отдельное явное согласие субъекта в письменной или приравненной к письменной электронной форме (отдельный чекбокс/форма), с указанием: какие данные, для каких целей, где и кому раскрываются, срока и условий/запретов распространения. Субъект вправе установить ограничения (запрет на отдельные категории данных, ограничение кругов получателей, сроков, способов) — Оператор строго соблюдает такие условия. Распространение без указанного отдельного согласия не допускается.
5. Передача персональных данных третьим лицам
5.1. Общие правила передачи.
Оператор обеспечивает конфиденциальность персональных данных и не раскрывает их третьим лицам без законного основания. Передача осуществляется только:
— при наличии согласия субъекта персональных данных;
— либо на ином основании, предусмотренном законодательством РФ (например, по обязательному запросу госоргана).
При любой передаче соблюдается принцип минимизации: передаются лишь те данные и в том объёме, которые необходимы для достижения конкретной цели и только тем лицам, которым они действительно нужны.
5.2. Обработка по поручению Оператора (обработчики).
Оператор вправе поручать обработку персональных данных отдельным лицам по договору, оставаясь ответственным за их защиту. Такие лица действуют строго по поручению Оператора, обязаны соблюдать конфиденциальность и обеспечивать безопасность персональных данных. В договорах с обработчиками закрепляются: цель и состав обрабатываемых данных, перечень операций, требования к безопасности, запрет на передачу данных третьим лицам без согласия Оператора, порядок возврата/уничтожения данных после прекращения услуг, право Оператора на аудит/контроль.
5.2.1. Платформа Tilda Publishing (сайт proznau.ru).
Tilda предоставляет инфраструктуру для размещения страниц и форм Сайта; данные, введённые в формы, хранятся на серверах Tilda на территории РФ. Tilda действует по поручению Оператора в объёме, необходимом для функционирования Сайта и сопутствующих сервисов (включая резервное копирование). Реквизиты банковских карт на Сайте не обрабатываются и не хранятся.
5.2.2. Образовательная платформа Impulse LMS (proznau.impulse-lms.com).
Провайдер LMS действует как обработчик в части хранения учётных записей, результатов обучения, организации вебинаров, коммуникаций внутри LMS. Серверы размещены в РФ. Провайдер не вправе использовать данные в собственных целях и передавать их третьим лицам вне рамок поручения.
5.2.3. Иные обработчики.
По мере необходимости могут привлекаться: ИТ-подрядчики (поддержка Сайта/БД), сервисы рассылок (e-mail/SMS) — в части адресов и статусов доставки, облачные хранилища в пределах РФ, курьерские/почтовые службы (для доставки материалов: ФИО и адрес), сервисы колл-центров (исключительно для обратной связи). С каждым обработчиком заключён договор с обязательствами по защите персональных данных и запретом использования вне целей поручения.
5.3. Платёжные сервисы (приём оплаты).
Для приёма онлайн-платежей Оператор использует защищённые платёжные страницы и/или виджеты платёжных провайдеров.
— ЮKassa (ЮMoney), СБП, Тинькофф Банк (эквайринг) и аналогичные сервисы получают минимально необходимый объём данных (сумма, идентификатор заказа, ФИО/контакты плательщика для чека). Данные банковской карты (номер, срок, CVC/CVV) вводятся плательщиком на стороне провайдера, обрабатываются им как самостоятельным оператором и не поступают в информационные системы Оператора.
— Сервисы рассрочки («Яндекс Сплит», «Долями»/Тинькофф и др.) выступают самостоятельными операторами персональных данных в части скоринга и предоставления рассрочки; Оператор передаёт им только сведения о заказе (идентификатор, сумма). Оператор получает от таких сервисов только статусы операций и не обрабатывает дополнительные финансовые реквизиты.
— Во всех случаях платёжные партнёры обязуются соблюдать требования законодательства о персональных данных и финансовой безопасности; Оператор от них получает подтверждение операции и данные, необходимые для исполнения 54-ФЗ (электронный чек).
5.4. Интеграции с социальными сетями и авторизация.
— Авторизация через VK ID (в LMS). При использовании входа через VK ID Оператор получает от VK: уникальный идентификатор, имя/фамилию, при наличии — e-mail/телефон (при согласии пользователя на стороне VK). Эти данные используются исключительно для упрощённой регистрации/входа и идентификации, доступ к аккаунту VK не получается.
— Плагины/пиксели соцсетей. На Сайте могут использоваться элементы интеграции (кнопки «Поделиться», виджеты сообщества). На момент публикации Оператор не использует сторонние рекламные сети/пиксели, предполагающие передачу данных за пределы РФ. При будущем подключении таких инструментов Оператор предварительно обеспечит законные основания (в т.ч. отдельное согласие пользователя через баннер настроек cookie и соблюдение требований к трансграничной передаче), либо откажется от таких интеграций.
5.5. Передача по требованию закона.
Оператор предоставляет персональные данные уполномоченным государственным органам (суд, правоохранительные и надзорные органы, Роскомнадзор, налоговые органы и др.) в случаях, порядке и объёме, прямо предусмотренных законодательством РФ и подтверждённых надлежащим процессуальным документом.
5.6. Распространение персональных данных (публичное размещение).
Публичное раскрытие (на Сайте, в общедоступных разделах LMS, в соцсетях Оператора и т. п.) допускается только при наличии отдельного, явно выраженного согласия субъекта персональных данных на распространение (ст. 10.1 закона о персональных данных). В согласии указываются: какие именно данные публикуются (например, ФИО, город, фото/видео, отзыв, проект/работа, сертификат), где и в каких целях они размещаются, срок и условия/ограничения распространения. Субъект вправе:
— запретить распространение отдельных категорий данных;
— установить ограничения (по площадкам, срокам, форматам);
— отозвать согласие в любой момент.
Оператор прекращает дальнейшее обнародование и по возможности удаляет уже размещённые материалы (с учётом технических ограничений сети Интернет).
5.7. Трансграничная передача.
Как указано в Политике (раздел о локализации), Оператор по общему правилу не осуществляет трансграничную передачу персональных данных; хранение и обработка осуществляются на территории РФ. Если в исключительном случае потребуется передача в иностранное государство (например, по просьбе субъекта), Оператор заранее обеспечит соблюдение всех требований закона, включая:
— проверку условий адекватной защиты в стране-получателе и/или заключение договорных гарантий;
— получение письменного согласия субъекта на трансграничную передачу (если применимо);
— выполнение процедур уведомления/актуализации сведений в уполномоченном органе до начала такой передачи.
Без выполнения указанных условий трансграничная передача не осуществляется.
5.8. Запрет продажи и несанкционированного использования.
Оператор не продаёт персональные данные и не предоставляет их третьим лицам для самостоятельного маркетинга без согласия субъекта; свободное распространение (раскрытие неопределённому кругу лиц) не допускается без отдельного согласия или иного законного основания.
5.9. Документирование и контроль передач.
Оператор ведёт учёт случаев передачи персональных данных третьим лицам (включая правовое основание, объём, дату и получателя) и осуществляет регулярный контроль исполнителей по договорам поручения (аудит/опросники/тесты безопасности). По завершении поручения обработчик обязан вернуть Оператору или уничтожить полученные персональные данные с подтверждением выполнения.
5.1. Общие правила передачи.
Оператор обеспечивает конфиденциальность персональных данных и не раскрывает их третьим лицам без законного основания. Передача осуществляется только:
— при наличии согласия субъекта персональных данных;
— либо на ином основании, предусмотренном законодательством РФ (например, по обязательному запросу госоргана).
При любой передаче соблюдается принцип минимизации: передаются лишь те данные и в том объёме, которые необходимы для достижения конкретной цели и только тем лицам, которым они действительно нужны.
5.2. Обработка по поручению Оператора (обработчики).
Оператор вправе поручать обработку персональных данных отдельным лицам по договору, оставаясь ответственным за их защиту. Такие лица действуют строго по поручению Оператора, обязаны соблюдать конфиденциальность и обеспечивать безопасность персональных данных. В договорах с обработчиками закрепляются: цель и состав обрабатываемых данных, перечень операций, требования к безопасности, запрет на передачу данных третьим лицам без согласия Оператора, порядок возврата/уничтожения данных после прекращения услуг, право Оператора на аудит/контроль.
5.2.1. Платформа Tilda Publishing (сайт proznau.ru).
Tilda предоставляет инфраструктуру для размещения страниц и форм Сайта; данные, введённые в формы, хранятся на серверах Tilda на территории РФ. Tilda действует по поручению Оператора в объёме, необходимом для функционирования Сайта и сопутствующих сервисов (включая резервное копирование). Реквизиты банковских карт на Сайте не обрабатываются и не хранятся.
5.2.2. Образовательная платформа Impulse LMS (proznau.impulse-lms.com).
Провайдер LMS действует как обработчик в части хранения учётных записей, результатов обучения, организации вебинаров, коммуникаций внутри LMS. Серверы размещены в РФ. Провайдер не вправе использовать данные в собственных целях и передавать их третьим лицам вне рамок поручения.
5.2.3. Иные обработчики.
По мере необходимости могут привлекаться: ИТ-подрядчики (поддержка Сайта/БД), сервисы рассылок (e-mail/SMS) — в части адресов и статусов доставки, облачные хранилища в пределах РФ, курьерские/почтовые службы (для доставки материалов: ФИО и адрес), сервисы колл-центров (исключительно для обратной связи). С каждым обработчиком заключён договор с обязательствами по защите персональных данных и запретом использования вне целей поручения.
5.3. Платёжные сервисы (приём оплаты).
Для приёма онлайн-платежей Оператор использует защищённые платёжные страницы и/или виджеты платёжных провайдеров.
— ЮKassa (ЮMoney), СБП, Тинькофф Банк (эквайринг) и аналогичные сервисы получают минимально необходимый объём данных (сумма, идентификатор заказа, ФИО/контакты плательщика для чека). Данные банковской карты (номер, срок, CVC/CVV) вводятся плательщиком на стороне провайдера, обрабатываются им как самостоятельным оператором и не поступают в информационные системы Оператора.
— Сервисы рассрочки («Яндекс Сплит», «Долями»/Тинькофф и др.) выступают самостоятельными операторами персональных данных в части скоринга и предоставления рассрочки; Оператор передаёт им только сведения о заказе (идентификатор, сумма). Оператор получает от таких сервисов только статусы операций и не обрабатывает дополнительные финансовые реквизиты.
— Во всех случаях платёжные партнёры обязуются соблюдать требования законодательства о персональных данных и финансовой безопасности; Оператор от них получает подтверждение операции и данные, необходимые для исполнения 54-ФЗ (электронный чек).
5.4. Интеграции с социальными сетями и авторизация.
— Авторизация через VK ID (в LMS). При использовании входа через VK ID Оператор получает от VK: уникальный идентификатор, имя/фамилию, при наличии — e-mail/телефон (при согласии пользователя на стороне VK). Эти данные используются исключительно для упрощённой регистрации/входа и идентификации, доступ к аккаунту VK не получается.
— Плагины/пиксели соцсетей. На Сайте могут использоваться элементы интеграции (кнопки «Поделиться», виджеты сообщества). На момент публикации Оператор не использует сторонние рекламные сети/пиксели, предполагающие передачу данных за пределы РФ. При будущем подключении таких инструментов Оператор предварительно обеспечит законные основания (в т.ч. отдельное согласие пользователя через баннер настроек cookie и соблюдение требований к трансграничной передаче), либо откажется от таких интеграций.
5.5. Передача по требованию закона.
Оператор предоставляет персональные данные уполномоченным государственным органам (суд, правоохранительные и надзорные органы, Роскомнадзор, налоговые органы и др.) в случаях, порядке и объёме, прямо предусмотренных законодательством РФ и подтверждённых надлежащим процессуальным документом.
5.6. Распространение персональных данных (публичное размещение).
Публичное раскрытие (на Сайте, в общедоступных разделах LMS, в соцсетях Оператора и т. п.) допускается только при наличии отдельного, явно выраженного согласия субъекта персональных данных на распространение (ст. 10.1 закона о персональных данных). В согласии указываются: какие именно данные публикуются (например, ФИО, город, фото/видео, отзыв, проект/работа, сертификат), где и в каких целях они размещаются, срок и условия/ограничения распространения. Субъект вправе:
— запретить распространение отдельных категорий данных;
— установить ограничения (по площадкам, срокам, форматам);
— отозвать согласие в любой момент.
Оператор прекращает дальнейшее обнародование и по возможности удаляет уже размещённые материалы (с учётом технических ограничений сети Интернет).
5.7. Трансграничная передача.
Как указано в Политике (раздел о локализации), Оператор по общему правилу не осуществляет трансграничную передачу персональных данных; хранение и обработка осуществляются на территории РФ. Если в исключительном случае потребуется передача в иностранное государство (например, по просьбе субъекта), Оператор заранее обеспечит соблюдение всех требований закона, включая:
— проверку условий адекватной защиты в стране-получателе и/или заключение договорных гарантий;
— получение письменного согласия субъекта на трансграничную передачу (если применимо);
— выполнение процедур уведомления/актуализации сведений в уполномоченном органе до начала такой передачи.
Без выполнения указанных условий трансграничная передача не осуществляется.
5.8. Запрет продажи и несанкционированного использования.
Оператор не продаёт персональные данные и не предоставляет их третьим лицам для самостоятельного маркетинга без согласия субъекта; свободное распространение (раскрытие неопределённому кругу лиц) не допускается без отдельного согласия или иного законного основания.
5.9. Документирование и контроль передач.
Оператор ведёт учёт случаев передачи персональных данных третьим лицам (включая правовое основание, объём, дату и получателя) и осуществляет регулярный контроль исполнителей по договорам поручения (аудит/опросники/тесты безопасности). По завершении поручения обработчик обязан вернуть Оператору или уничтожить полученные персональные данные с подтверждением выполнения.
6. Сроки обработки и хранения персональных данных
6.1. Общий принцип.
Оператор обрабатывает и хранит персональные данные не дольше, чем этого требуют цели обработки по настоящей Политике либо сроки, прямо установленные законодательством РФ. По достижении цели обработки либо по истечении обязательных сроков хранения данные уничтожаются или обезличиваются (см. п. 6.8).
6.2. Данные аккаунта и обучения (LMS).
6.2.1. Персональные данные, связанные с регистрацией в Impulse LMS и прохождением обучения (учётная запись, прогресс/результаты, сообщения в системе), хранятся в период использования услуг и активности Пользователя в Личном кабинете.
6.2.2. При отсутствии активности 3 (трёх) года подряд после завершения обучения Оператор вправе удалить или обезличить такие данные, если иное не требуется законом. Если Пользователь возобновляет обучение до истечения указанного срока, срок исчисляется заново с даты последнего значимого действия.
6.3. Договорные и платёжные данные.
6.3.1. Персональные данные в договорах, счетах, актах, кассовых чеках и иной первичной документации хранятся не менее 5 лет после отчётного года, к которому они относятся, во исполнение требований законодательства о бухгалтерском и налоговом учёте (в т.ч. 402-ФЗ, НК РФ, 54-ФЗ).
6.3.2. Срок может быть продлён на период проверок/разбирательств или при увеличенном сроке исковой давности. По окончании обязательного срока хранения такие данные уничтожаются или обезличиваются.
6.4. Маркетинговые данные (рассылки).
Контактные данные для рассылок обрабатываются до отзыва согласия либо достижения цели обработки. При отписке/отзыве Оператор незамедлительно прекращает рассылку; факт ранее данного согласия и факт отписки фиксируются в журнале для отчётности. При отсутствии активности более 3 лет контакты могут быть удалены как неактивные.
6.5. Логи и технические данные, cookie.
6.5.1. Сырые логи веб-сервера и системные журналы хранятся как правило, не более 1 года (если иное не установлено внутренними политиками безопасности или законом). Обезличенная агрегированная статистика может храниться дольше (несколько лет) для анализа динамики сервиса.
6.5.2. Cookie-файлы хранятся на устройстве Пользователя в сроки, заданные их параметрами, либо до ручного удаления пользователем/очистки браузера (типичные сроки — от сессии до 1–2 лет).
6.6. Правила исчисления сроков.
Срок хранения отсчитывается с даты получения данных либо с момента их последнего обновления/использования. Каждое значимое действие Пользователя (обновление профиля, запись на новый курс, подтверждение согласия и т. п.) продлевает срок хранения соответствующих данных в пределах, установленных настоящей Политикой и законом.
6.7. Хранение при спорах и по закону.
Независимо от общих сроков Оператор вправе сохранить данные дольше, если это необходимо для урегулирования спора, осуществления правосудия, защиты прав и законных интересов, либо если прямо предписано законом. Например, при поданной претензии данные, относящиеся к предмету спора, хранятся до окончательного разрешения ситуации.
6.8. Уничтожение и обезличивание.
6.8.1. По достижении целей обработки, истечении сроков хранения или при отзыве согласия (при отсутствии иных законных оснований обработки) ПДн подлежат уничтожению либо обезличиванию.
6.8.2. Уничтожение — полное стирание/физическое удаление записей из ИС и носителей; обезличивание — изменение данных так, что субъект не может быть идентифицирован без использования дополнительной информации.
6.8.3. Оператор оформляет акт об уничтожении/обезличивании (если это предусмотрено внутренними регламентами или по запросу субъекта) и учитывает технологические особенности ротации резервных копий: удалённые данные могут сохраняться в бэкапах до завершения цикла ротации, после чего безвозвратно стираются.
6.9. Периодическая ревизия и актуализация.
Не реже 1 раза в год Оператор проводит ревизию наборов ПДн, уточняет актуальность и уничтожает данные, дальнейшая обработка которых не соответствует ни одной законной цели. Факт истечения срока хранения сам по себе не означает немедленного удаления, если существует действующее согласие субъекта или иное законное основание для продолжения обработки.
6.1. Общий принцип.
Оператор обрабатывает и хранит персональные данные не дольше, чем этого требуют цели обработки по настоящей Политике либо сроки, прямо установленные законодательством РФ. По достижении цели обработки либо по истечении обязательных сроков хранения данные уничтожаются или обезличиваются (см. п. 6.8).
6.2. Данные аккаунта и обучения (LMS).
6.2.1. Персональные данные, связанные с регистрацией в Impulse LMS и прохождением обучения (учётная запись, прогресс/результаты, сообщения в системе), хранятся в период использования услуг и активности Пользователя в Личном кабинете.
6.2.2. При отсутствии активности 3 (трёх) года подряд после завершения обучения Оператор вправе удалить или обезличить такие данные, если иное не требуется законом. Если Пользователь возобновляет обучение до истечения указанного срока, срок исчисляется заново с даты последнего значимого действия.
6.3. Договорные и платёжные данные.
6.3.1. Персональные данные в договорах, счетах, актах, кассовых чеках и иной первичной документации хранятся не менее 5 лет после отчётного года, к которому они относятся, во исполнение требований законодательства о бухгалтерском и налоговом учёте (в т.ч. 402-ФЗ, НК РФ, 54-ФЗ).
6.3.2. Срок может быть продлён на период проверок/разбирательств или при увеличенном сроке исковой давности. По окончании обязательного срока хранения такие данные уничтожаются или обезличиваются.
6.4. Маркетинговые данные (рассылки).
Контактные данные для рассылок обрабатываются до отзыва согласия либо достижения цели обработки. При отписке/отзыве Оператор незамедлительно прекращает рассылку; факт ранее данного согласия и факт отписки фиксируются в журнале для отчётности. При отсутствии активности более 3 лет контакты могут быть удалены как неактивные.
6.5. Логи и технические данные, cookie.
6.5.1. Сырые логи веб-сервера и системные журналы хранятся как правило, не более 1 года (если иное не установлено внутренними политиками безопасности или законом). Обезличенная агрегированная статистика может храниться дольше (несколько лет) для анализа динамики сервиса.
6.5.2. Cookie-файлы хранятся на устройстве Пользователя в сроки, заданные их параметрами, либо до ручного удаления пользователем/очистки браузера (типичные сроки — от сессии до 1–2 лет).
6.6. Правила исчисления сроков.
Срок хранения отсчитывается с даты получения данных либо с момента их последнего обновления/использования. Каждое значимое действие Пользователя (обновление профиля, запись на новый курс, подтверждение согласия и т. п.) продлевает срок хранения соответствующих данных в пределах, установленных настоящей Политикой и законом.
6.7. Хранение при спорах и по закону.
Независимо от общих сроков Оператор вправе сохранить данные дольше, если это необходимо для урегулирования спора, осуществления правосудия, защиты прав и законных интересов, либо если прямо предписано законом. Например, при поданной претензии данные, относящиеся к предмету спора, хранятся до окончательного разрешения ситуации.
6.8. Уничтожение и обезличивание.
6.8.1. По достижении целей обработки, истечении сроков хранения или при отзыве согласия (при отсутствии иных законных оснований обработки) ПДн подлежат уничтожению либо обезличиванию.
6.8.2. Уничтожение — полное стирание/физическое удаление записей из ИС и носителей; обезличивание — изменение данных так, что субъект не может быть идентифицирован без использования дополнительной информации.
6.8.3. Оператор оформляет акт об уничтожении/обезличивании (если это предусмотрено внутренними регламентами или по запросу субъекта) и учитывает технологические особенности ротации резервных копий: удалённые данные могут сохраняться в бэкапах до завершения цикла ротации, после чего безвозвратно стираются.
6.9. Периодическая ревизия и актуализация.
Не реже 1 раза в год Оператор проводит ревизию наборов ПДн, уточняет актуальность и уничтожает данные, дальнейшая обработка которых не соответствует ни одной законной цели. Факт истечения срока хранения сам по себе не означает немедленного удаления, если существует действующее согласие субъекта или иное законное основание для продолжения обработки.
7. Порядок отзыва согласия и удаление персональных данных
7.1. Право на отзыв согласия.
Субъект персональных данных вправе в любой момент отозвать ранее данное согласие полностью или частично. Отзыв не влияет на законность обработки, выполненной до момента отзыва. После получения отзыва Оператор прекращает дальнейшую обработку тех данных, которые обрабатывались исключительно на основании согласия, при отсутствии иных правовых оснований (договор, закон и т. п.).
7.2. Способы отзыва согласия.
Отзыв может быть подан одним из способов:
7.2.1. Через Личный кабинет на Сайте/LMS (при наличии функции): удаление учётной записи, отключение соответствующих чекбоксов согласия. Система фиксирует отзыв в журнале с отметкой времени.
7.2.2. Письменно по почтовому адресу Оператора (см. п. 1.2): указать ФИО, идентификаторы (e-mail/телефон, использованные при регистрации), объём отзыва (все или часть согласий), поставить подпись.
7.2.3. По e-mail Оператора (см. п. 1.2) с темой «Отзыв согласия на обработку ПДн»: письмо должно содержать идентифицирующую информацию и чёткое волеизъявление. Оператор вправе запросить подтверждение (ответным письмом/кодом) для верификации отправителя.
7.2.4. По телефону, указанному на Сайте, — с последующим письменным подтверждением (e-mail или бумажное заявление).
7.3. Действия Оператора при отзыве.
7.3.1. Оператор прекращает обработку соответствующих данных и, при отсутствии иных законных оснований хранения/обработки, уничтожает их в разумный срок, как правило, не более 30 календарных дней с момента получения отзыва.
7.3.2. Для рассылок/звонков прекращение коммуникаций осуществляется оперативно (в день обработки запроса или ближайшие сутки).
7.3.3. Если согласие было единственным основанием обработки (Пользователь не является клиентом и хранение не требуется по закону), Оператор удаляет учётную запись и связанные с ней данные, за исключением сведений, которые обязан сохранить для отчётности/по закону. По запросу субъекта направляется подтверждение об исполнении.
7.4. Отзыв согласия на распространение персональных данных.
Субъект вправе в любой момент отозвать отдельное согласие на распространение ПДн (см. п. 5.6). Оператор:
7.4.1. прекращает дальнейшее обнародование ПДн;
7.4.2. удаляет/скрывает ранее опубликованные данные на Сайте и в контролируемых каналах;
7.4.3. обращается к администраторам внешних площадок с требованием удаления (если публикация вне контроля Оператора);
7.4.4. уведомляет известных получателей данных о запрете их дальнейшего использования. Субъекту разъясняется, что полное удаление копий из сети Интернет может быть объективно затруднено, однако Оператор предпринимает все разумные меры для удаления.
7.5. Удаление учётной записи.
Субъект вправе потребовать удаления профиля в LMS и данных, связанных с обучением. Удаление профиля влечёт невозможность продолжать обучение/восстановить сертификаты. Оператор удаляет данные, за исключением информации, которую обязан хранить по закону (бухгалтерские документы, журналы согласий и т. п.). Запрос на удаление профиля трактуется как запрос на прекращение обработки данных, предоставленных через данный профиль, в части, не противоречащей закону и договору.
7.6. Ограничение обработки (блокирование).
Вместо удаления субъект может потребовать временного ограничения обработки (например, при оспаривании законности обработки или точности данных). Оператор приостанавливает операции (кроме хранения) и проводит проверку. По результатам — данные удаляются/исправляются либо обработка возобновляется, если основания подтверждены.
7.7. Отказ от маркетинговой рассылки.
Каждое e-mail-письмо содержит рабочую ссылку для отписки; для SMS/мессенджеров принимаются команды вида «СТОП». Такие отписки не требуют отдельного письменного отзыва согласия и обрабатываются оперативно. Отказ от маркетинга не влияет на сервисные сообщения по договору.
7.8. Последствия отзыва согласия.
Если отзыв касается данных, необходимых для оказания услуг (например, ФИО и контакты обучающегося), Оператор может быть объективно лишён возможности продолжать исполнение договора и вправе прекратить обслуживание (расторгнуть договор) с уведомлением субъекта. Отзыв маркетинговых согласий не влияет на предоставление основной услуги.
7.9. Документирование согласий и их отзывов.
Оператор ведёт учёт выданных согласий и их отзывов: фиксируются дата/время и способ получения согласия (чекбокс при отправке формы, акцепт оферты с IP-адресом, письменное заявление и т. п.), а также дата/время и канал отзыва, принятые меры (удаление, блокирование). Журналы хранятся в целях отчётности и защиты прав Оператора/субъектов.
Пояснения к срокам удаления.
Фактическое удаление из всех технических сред может учитывать цикл ротации резервных копий: записи удаляются из рабочих систем незамедлительно, а из бэкапов — после завершения стандартной ротации, без возможности восстановления и без какого-либо использования в период хранения резервных копий.
7.1. Право на отзыв согласия.
Субъект персональных данных вправе в любой момент отозвать ранее данное согласие полностью или частично. Отзыв не влияет на законность обработки, выполненной до момента отзыва. После получения отзыва Оператор прекращает дальнейшую обработку тех данных, которые обрабатывались исключительно на основании согласия, при отсутствии иных правовых оснований (договор, закон и т. п.).
7.2. Способы отзыва согласия.
Отзыв может быть подан одним из способов:
7.2.1. Через Личный кабинет на Сайте/LMS (при наличии функции): удаление учётной записи, отключение соответствующих чекбоксов согласия. Система фиксирует отзыв в журнале с отметкой времени.
7.2.2. Письменно по почтовому адресу Оператора (см. п. 1.2): указать ФИО, идентификаторы (e-mail/телефон, использованные при регистрации), объём отзыва (все или часть согласий), поставить подпись.
7.2.3. По e-mail Оператора (см. п. 1.2) с темой «Отзыв согласия на обработку ПДн»: письмо должно содержать идентифицирующую информацию и чёткое волеизъявление. Оператор вправе запросить подтверждение (ответным письмом/кодом) для верификации отправителя.
7.2.4. По телефону, указанному на Сайте, — с последующим письменным подтверждением (e-mail или бумажное заявление).
7.3. Действия Оператора при отзыве.
7.3.1. Оператор прекращает обработку соответствующих данных и, при отсутствии иных законных оснований хранения/обработки, уничтожает их в разумный срок, как правило, не более 30 календарных дней с момента получения отзыва.
7.3.2. Для рассылок/звонков прекращение коммуникаций осуществляется оперативно (в день обработки запроса или ближайшие сутки).
7.3.3. Если согласие было единственным основанием обработки (Пользователь не является клиентом и хранение не требуется по закону), Оператор удаляет учётную запись и связанные с ней данные, за исключением сведений, которые обязан сохранить для отчётности/по закону. По запросу субъекта направляется подтверждение об исполнении.
7.4. Отзыв согласия на распространение персональных данных.
Субъект вправе в любой момент отозвать отдельное согласие на распространение ПДн (см. п. 5.6). Оператор:
7.4.1. прекращает дальнейшее обнародование ПДн;
7.4.2. удаляет/скрывает ранее опубликованные данные на Сайте и в контролируемых каналах;
7.4.3. обращается к администраторам внешних площадок с требованием удаления (если публикация вне контроля Оператора);
7.4.4. уведомляет известных получателей данных о запрете их дальнейшего использования. Субъекту разъясняется, что полное удаление копий из сети Интернет может быть объективно затруднено, однако Оператор предпринимает все разумные меры для удаления.
7.5. Удаление учётной записи.
Субъект вправе потребовать удаления профиля в LMS и данных, связанных с обучением. Удаление профиля влечёт невозможность продолжать обучение/восстановить сертификаты. Оператор удаляет данные, за исключением информации, которую обязан хранить по закону (бухгалтерские документы, журналы согласий и т. п.). Запрос на удаление профиля трактуется как запрос на прекращение обработки данных, предоставленных через данный профиль, в части, не противоречащей закону и договору.
7.6. Ограничение обработки (блокирование).
Вместо удаления субъект может потребовать временного ограничения обработки (например, при оспаривании законности обработки или точности данных). Оператор приостанавливает операции (кроме хранения) и проводит проверку. По результатам — данные удаляются/исправляются либо обработка возобновляется, если основания подтверждены.
7.7. Отказ от маркетинговой рассылки.
Каждое e-mail-письмо содержит рабочую ссылку для отписки; для SMS/мессенджеров принимаются команды вида «СТОП». Такие отписки не требуют отдельного письменного отзыва согласия и обрабатываются оперативно. Отказ от маркетинга не влияет на сервисные сообщения по договору.
7.8. Последствия отзыва согласия.
Если отзыв касается данных, необходимых для оказания услуг (например, ФИО и контакты обучающегося), Оператор может быть объективно лишён возможности продолжать исполнение договора и вправе прекратить обслуживание (расторгнуть договор) с уведомлением субъекта. Отзыв маркетинговых согласий не влияет на предоставление основной услуги.
7.9. Документирование согласий и их отзывов.
Оператор ведёт учёт выданных согласий и их отзывов: фиксируются дата/время и способ получения согласия (чекбокс при отправке формы, акцепт оферты с IP-адресом, письменное заявление и т. п.), а также дата/время и канал отзыва, принятые меры (удаление, блокирование). Журналы хранятся в целях отчётности и защиты прав Оператора/субъектов.
Пояснения к срокам удаления.
Фактическое удаление из всех технических сред может учитывать цикл ротации резервных копий: записи удаляются из рабочих систем незамедлительно, а из бэкапов — после завершения стандартной ротации, без возможности восстановления и без какого-либо использования в период хранения резервных копий.
8. Права субъекта персональных данных
8.1. Право на информацию об обработке персональных данных.
8.1.1. Пользователь вправе запросить у Оператора сведения, касающиеся обработки его персональных данных: подтверждение факта обработки; перечень обрабатываемых данных; источник их получения (если данные получены не от субъекта); правовые основания и цели; применяемые способы обработки; сроки обработки и хранения; наименование и адрес Оператора; сведения о передаче третьим лицам (кому, на каком основании и в каком объёме) и иные сведения, предусмотренные ч. 7 ст. 14 Закона № 152-ФЗ.
8.1.2. Оператор предоставляет информацию в доступной форме в течение 30 дней с даты получения обращения либо направляет мотивированный отказ в случаях, предусмотренных законом. Предоставление информации осуществляется безвозмездно; расходы могут быть возложены на заявителя только в случаях повторных либо явно необоснованных запросов в пределах, допускаемых законом.
8.2. Право требовать уточнения, блокирования или уничтожения персональных данных.
8.2.1. Если персональные данные субъекта неточны, неполны, устарели либо обрабатываются с нарушением законодательства, Пользователь вправе направить требование об их уточнении, обновлении, исправлении, блокировании или уничтожении.
8.2.2. Оператор, получив требование и подтвердив его обоснованность, в течение 7 рабочих дней вносит необходимые изменения и/или уничтожает данные; при спорности требований Оператор временно блокирует обработку спорных данных (кроме хранения) и проводит проверку. По итогам проверки субъекту направляется уведомление о принятых мерах либо мотивированный отказ с разъяснением порядка обжалования.
8.3. Право на отзыв согласия.
Пользователь вправе в любой момент отозвать ранее данное согласие на обработку персональных данных, полностью или частично. Отзыв не влияет на законность обработки, осуществлённой до момента отзыва; после получения отзыва Оператор прекращает обработку данных, обрабатывавшихся только на основании согласия, если отсутствуют иные правовые основания (договор, закон и т. п.). Порядок и способы отзыва — в разделе 7 настоящей Политики.
8.4. Право возражать против обработки в целях маркетинга.
Пользователь вправе в любой момент возразить против использования его персональных данных для прямого маркетинга (рекламные рассылки, рекламные звонки). Получив возражение или отписку, Оператор незамедлительно прекращает такую обработку. Это не затрагивает обработку, необходимую для исполнения договора и (или) по иным законным основаниям.
8.5. Право не подлежать решению, основанному исключительно на автоматизированной обработке.
В деятельности Оператора не применяются решения, порождающие юридические последствия для Пользователя или иным образом существенно затрагивающие его права и интересы, если такие решения основаны исключительно на автоматизированной обработке. При изменении практики Пользователь будет обладать правом потребовать разъяснения логики принятия решения, оспорить его и добиваться вмешательства человека.
8.6. Право на обращение в уполномоченные органы и судебную защиту.
Пользователь вправе обратиться с жалобой в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор, rkn.gov.ru, горячая линия +7 (495) 983-33-30) и (или) защитить свои права в судебном порядке. Рекомендуется предварительно направить обращение Оператору для досудебного урегулирования, что, однако, не ограничивает права субъекта на прямое обращение в органы власти.
8.7. Иные права субъекта персональных данных.
Пользователь обладает иными правами, предусмотренными ст. 18–21 Закона № 152-ФЗ, включая право требовать от Оператора уведомить всех третьих лиц, которым ранее были переданы неверные или незаконно обрабатываемые данные, о произведённых исправлениях/уничтожении (если это возможно либо не требует несоразмерных усилий), а также право обжаловать действия/бездействие Оператора, нарушающие требования законодательства о персональных данных.
8.8. Реализация прав субъекта (порядок обращения).
8.8.1. Для реализации прав Пользователь направляет Оператору запрос способами, указанными в разделе 7 либо в контактах п. 1.2.
8.8.2. Запрос должен содержать сведения, позволяющие идентифицировать заявителя: фамилию, имя, отчество; реквизиты основного документа, удостоверяющего личность (серия, номер, дата и орган выдачи) или иные идентификаторы (e-mail/телефон, используемые при регистрации), а также суть требования.
8.8.3. Если запрос подаётся представителем субъекта, прилагается документ, подтверждающий полномочия (нотариальная доверенность или иной предусмотренный законом документ).
8.8.4. В целях исключения несанкционированного доступа к персональным данным Оператор вправе запросить дополнительные сведения для верификации личности заявителя/представителя.
8.8.5. Оператор рассматривает обращение и отвечает в сроки, установленные законом (как правило, до 30 календарных дней), указывая принятые меры либо законные основания отказа/частичного удовлетворения.
8.9. Законные ограничения прав.
Права субъекта персональных данных могут быть ограничены в случаях, предусмотренных законодательством РФ (ч. 8 ст. 14 Закона № 152-ФЗ), в том числе если:
8.9.1. обработка осуществляется в рамках противодействия терроризму, оперативно-розыскной деятельности, обеспечения обороны и безопасности государства;
8.9.2. запрос касается сведений, составляющих государственную, банковскую, служебную или иную охраняемую законом тайну;
8.9.3. предоставление сведений может нарушить права и законные интересы третьих лиц;
8.9.4. субъект ранее предоставил заведомо ложные сведения о себе/ином лице;
8.9.5. имеются иные основания отказа, прямо предусмотренные законом.
В случаях ограничения прав Оператор направляет заявителю мотивированный ответ с указанием правовых оснований отказа и порядка обжалования.
8.1. Право на информацию об обработке персональных данных.
8.1.1. Пользователь вправе запросить у Оператора сведения, касающиеся обработки его персональных данных: подтверждение факта обработки; перечень обрабатываемых данных; источник их получения (если данные получены не от субъекта); правовые основания и цели; применяемые способы обработки; сроки обработки и хранения; наименование и адрес Оператора; сведения о передаче третьим лицам (кому, на каком основании и в каком объёме) и иные сведения, предусмотренные ч. 7 ст. 14 Закона № 152-ФЗ.
8.1.2. Оператор предоставляет информацию в доступной форме в течение 30 дней с даты получения обращения либо направляет мотивированный отказ в случаях, предусмотренных законом. Предоставление информации осуществляется безвозмездно; расходы могут быть возложены на заявителя только в случаях повторных либо явно необоснованных запросов в пределах, допускаемых законом.
8.2. Право требовать уточнения, блокирования или уничтожения персональных данных.
8.2.1. Если персональные данные субъекта неточны, неполны, устарели либо обрабатываются с нарушением законодательства, Пользователь вправе направить требование об их уточнении, обновлении, исправлении, блокировании или уничтожении.
8.2.2. Оператор, получив требование и подтвердив его обоснованность, в течение 7 рабочих дней вносит необходимые изменения и/или уничтожает данные; при спорности требований Оператор временно блокирует обработку спорных данных (кроме хранения) и проводит проверку. По итогам проверки субъекту направляется уведомление о принятых мерах либо мотивированный отказ с разъяснением порядка обжалования.
8.3. Право на отзыв согласия.
Пользователь вправе в любой момент отозвать ранее данное согласие на обработку персональных данных, полностью или частично. Отзыв не влияет на законность обработки, осуществлённой до момента отзыва; после получения отзыва Оператор прекращает обработку данных, обрабатывавшихся только на основании согласия, если отсутствуют иные правовые основания (договор, закон и т. п.). Порядок и способы отзыва — в разделе 7 настоящей Политики.
8.4. Право возражать против обработки в целях маркетинга.
Пользователь вправе в любой момент возразить против использования его персональных данных для прямого маркетинга (рекламные рассылки, рекламные звонки). Получив возражение или отписку, Оператор незамедлительно прекращает такую обработку. Это не затрагивает обработку, необходимую для исполнения договора и (или) по иным законным основаниям.
8.5. Право не подлежать решению, основанному исключительно на автоматизированной обработке.
В деятельности Оператора не применяются решения, порождающие юридические последствия для Пользователя или иным образом существенно затрагивающие его права и интересы, если такие решения основаны исключительно на автоматизированной обработке. При изменении практики Пользователь будет обладать правом потребовать разъяснения логики принятия решения, оспорить его и добиваться вмешательства человека.
8.6. Право на обращение в уполномоченные органы и судебную защиту.
Пользователь вправе обратиться с жалобой в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор, rkn.gov.ru, горячая линия +7 (495) 983-33-30) и (или) защитить свои права в судебном порядке. Рекомендуется предварительно направить обращение Оператору для досудебного урегулирования, что, однако, не ограничивает права субъекта на прямое обращение в органы власти.
8.7. Иные права субъекта персональных данных.
Пользователь обладает иными правами, предусмотренными ст. 18–21 Закона № 152-ФЗ, включая право требовать от Оператора уведомить всех третьих лиц, которым ранее были переданы неверные или незаконно обрабатываемые данные, о произведённых исправлениях/уничтожении (если это возможно либо не требует несоразмерных усилий), а также право обжаловать действия/бездействие Оператора, нарушающие требования законодательства о персональных данных.
8.8. Реализация прав субъекта (порядок обращения).
8.8.1. Для реализации прав Пользователь направляет Оператору запрос способами, указанными в разделе 7 либо в контактах п. 1.2.
8.8.2. Запрос должен содержать сведения, позволяющие идентифицировать заявителя: фамилию, имя, отчество; реквизиты основного документа, удостоверяющего личность (серия, номер, дата и орган выдачи) или иные идентификаторы (e-mail/телефон, используемые при регистрации), а также суть требования.
8.8.3. Если запрос подаётся представителем субъекта, прилагается документ, подтверждающий полномочия (нотариальная доверенность или иной предусмотренный законом документ).
8.8.4. В целях исключения несанкционированного доступа к персональным данным Оператор вправе запросить дополнительные сведения для верификации личности заявителя/представителя.
8.8.5. Оператор рассматривает обращение и отвечает в сроки, установленные законом (как правило, до 30 календарных дней), указывая принятые меры либо законные основания отказа/частичного удовлетворения.
8.9. Законные ограничения прав.
Права субъекта персональных данных могут быть ограничены в случаях, предусмотренных законодательством РФ (ч. 8 ст. 14 Закона № 152-ФЗ), в том числе если:
8.9.1. обработка осуществляется в рамках противодействия терроризму, оперативно-розыскной деятельности, обеспечения обороны и безопасности государства;
8.9.2. запрос касается сведений, составляющих государственную, банковскую, служебную или иную охраняемую законом тайну;
8.9.3. предоставление сведений может нарушить права и законные интересы третьих лиц;
8.9.4. субъект ранее предоставил заведомо ложные сведения о себе/ином лице;
8.9.5. имеются иные основания отказа, прямо предусмотренные законом.
В случаях ограничения прав Оператор направляет заявителю мотивированный ответ с указанием правовых оснований отказа и порядка обжалования.
9. Меры по обеспечению безопасности персональных данных
9.1. Общие требования.
Оператор принимает правовые, организационные и технические меры для защиты персональных данных (ПДн) от несанкционированного/случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий. Меры реализуются в соответствии со ст. 19 Закона № 152-ФЗ и Требованиями к защите ПДн при обработке в ИСПДн (Постановление Правительства РФ № 1119).
9.2. Организационные меры.
9.2.1. Назначено ответственное лицо за организацию обработки ПДн и контроль соблюдения законодательства и настоящей Политики.
9.2.2. Действуют локальные акты по ПДн (Политика, регламенты ИБ, порядки реагирования на инциденты, инструкции по доступу и учёту носителей).
9.2.3. С допущенными сотрудниками заключены NDA, проводится вводный и периодический инструктаж, фиксация ответственности за нарушения.
9.2.4. Реализован принцип минимально необходимого доступа (need-to-know): каждому сотруднику предоставляются только те права, которые нужны для его функций; права регулярно ревизуются, доступ увольняющихся немедленно блокируется.
9.2.5. Ведётся учёт носителей ПДн и их перемещений; физические носители хранятся в запираемых шкафах/сейфах.
9.3. Технические меры.
9.3.1. Шифрование трафика. Передача ПДн осуществляется по защищённым каналам HTTPS (TLS).
9.3.2. Инфраструктура и резервирование. Серверы с базами ПДн размещены в защищённых дата-центрах на территории РФ, обеспечены контролем доступа, видеонаблюдением, резервным питанием и средствами пожаротушения; выполняется регулярное резервное копирование с соблюдением конфиденциальности.
9.3.3. Средства защиты. Используются актуальные антивирусные средства, межсетевые экраны (FW), IDS/IPS, сегментация сети, ограничение административного доступа. Криптографическая защита применяется по необходимости; пользовательские пароли хранятся в виде криптостойких хеш-сумм.
9.3.4. Аутентификация и MFA. Аутентификация в LMS и административных системах выполняется по защищённому каналу; для административных учётных записей используется двухфакторная аутентификация; для пользовательских — доступна настройка MFA.
9.3.5. Логирование и мониторинг. Ведутся журналы доступа к ПДн (кто и когда обращался); применяются средства мониторинга аномалий (подбор паролей, подозрительная активность), с автоматическим блокированием скомпрометированных сессий/адресов.
9.3.6. Соответствие базовым требованиям. Состав и содержание организационно-технических мер соответствуют Приказу ФСТЭК № 21; при использовании СКЗИ — требованиям Приказа ФСБ № 378.
9.4. Передача ПДн обработчикам.
До передачи ПДн по договору поручения Оператор оценивает способность обработчика обеспечить конфиденциальность и безопасность (due diligence). Договор закрепляет: цели и состав ПДн, перечень операций, место обработки/хранения в РФ, меры защиты, порядок уведомления об инцидентах, запрет на ре-передачу без согласия, порядок возврата/уничтожения ПДн, право Оператора на контроль/аудит.
9.5. Актуальность и точность ПДн.
Оператор поддерживает ПДн в актуальном состоянии: информирует пользователей о необходимости обновлять данные, предоставляет возможность самостоятельного изменения профиля в LMS, оперативно исправляет неточности.
9.6. Контроль условий хранения и админ-доступа.
Бумажные документы (если создаются) хранятся в сейфе/закрываемом шкафу с ограниченным доступом. Административный доступ к электронным базам осуществляется через VPN; копирование БД на внешние носители без разрешения запрещено техническими средствами.
9.7. Реагирование на инциденты и уведомления.
При выявлении несанкционированного доступа/утечки Оператор незамедлительно инициирует внутреннее расследование, ограничивает последствия, определяет объём затронутых данных. Уведомление Роскомнадзора — в течение 24 часов с момента обнаружения инцидента; итоговый отчёт — в течение 72 часов. При затрагивании прав субъектов осуществляется персональное уведомление (при технической возможности) с рекомендациями по снижению рисков.
9.8. Периодические проверки и аудит.
Не реже одного раза в год проводится оценка эффективности мер защиты ПДн, тестирование на уязвимости и аудит журналов. При значимых изменениях инфраструктуры (новые сервисы, расширение LMS) выполняется внеочередной аудит. Требования базового регулирования (ПП РФ № 1119, приказы ФСТЭК/ФСБ) учитываются при планировании и внедрении изменений.
9.9. Режим конфиденциальности.
ПДн пользователей являются конфиденциальной информацией. Сотрудникам и подрядчикам запрещено раскрывать ПДн третьим лицам без согласия субъекта или иного законного основания; обязательство сохраняется после прекращения трудовых/договорных отношений. Не является нарушением предоставление данных госорганам по закону и обезличивание данных.
9.10. Публичность Политики.
Актуальная редакция Политики размещена в открытом доступе на Сайте по постоянной ссылке. По запросу пользователя Политика предоставляется в электронном или бумажном виде.
9.1. Общие требования.
Оператор принимает правовые, организационные и технические меры для защиты персональных данных (ПДн) от несанкционированного/случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий. Меры реализуются в соответствии со ст. 19 Закона № 152-ФЗ и Требованиями к защите ПДн при обработке в ИСПДн (Постановление Правительства РФ № 1119).
9.2. Организационные меры.
9.2.1. Назначено ответственное лицо за организацию обработки ПДн и контроль соблюдения законодательства и настоящей Политики.
9.2.2. Действуют локальные акты по ПДн (Политика, регламенты ИБ, порядки реагирования на инциденты, инструкции по доступу и учёту носителей).
9.2.3. С допущенными сотрудниками заключены NDA, проводится вводный и периодический инструктаж, фиксация ответственности за нарушения.
9.2.4. Реализован принцип минимально необходимого доступа (need-to-know): каждому сотруднику предоставляются только те права, которые нужны для его функций; права регулярно ревизуются, доступ увольняющихся немедленно блокируется.
9.2.5. Ведётся учёт носителей ПДн и их перемещений; физические носители хранятся в запираемых шкафах/сейфах.
9.3. Технические меры.
9.3.1. Шифрование трафика. Передача ПДн осуществляется по защищённым каналам HTTPS (TLS).
9.3.2. Инфраструктура и резервирование. Серверы с базами ПДн размещены в защищённых дата-центрах на территории РФ, обеспечены контролем доступа, видеонаблюдением, резервным питанием и средствами пожаротушения; выполняется регулярное резервное копирование с соблюдением конфиденциальности.
9.3.3. Средства защиты. Используются актуальные антивирусные средства, межсетевые экраны (FW), IDS/IPS, сегментация сети, ограничение административного доступа. Криптографическая защита применяется по необходимости; пользовательские пароли хранятся в виде криптостойких хеш-сумм.
9.3.4. Аутентификация и MFA. Аутентификация в LMS и административных системах выполняется по защищённому каналу; для административных учётных записей используется двухфакторная аутентификация; для пользовательских — доступна настройка MFA.
9.3.5. Логирование и мониторинг. Ведутся журналы доступа к ПДн (кто и когда обращался); применяются средства мониторинга аномалий (подбор паролей, подозрительная активность), с автоматическим блокированием скомпрометированных сессий/адресов.
9.3.6. Соответствие базовым требованиям. Состав и содержание организационно-технических мер соответствуют Приказу ФСТЭК № 21; при использовании СКЗИ — требованиям Приказа ФСБ № 378.
9.4. Передача ПДн обработчикам.
До передачи ПДн по договору поручения Оператор оценивает способность обработчика обеспечить конфиденциальность и безопасность (due diligence). Договор закрепляет: цели и состав ПДн, перечень операций, место обработки/хранения в РФ, меры защиты, порядок уведомления об инцидентах, запрет на ре-передачу без согласия, порядок возврата/уничтожения ПДн, право Оператора на контроль/аудит.
9.5. Актуальность и точность ПДн.
Оператор поддерживает ПДн в актуальном состоянии: информирует пользователей о необходимости обновлять данные, предоставляет возможность самостоятельного изменения профиля в LMS, оперативно исправляет неточности.
9.6. Контроль условий хранения и админ-доступа.
Бумажные документы (если создаются) хранятся в сейфе/закрываемом шкафу с ограниченным доступом. Административный доступ к электронным базам осуществляется через VPN; копирование БД на внешние носители без разрешения запрещено техническими средствами.
9.7. Реагирование на инциденты и уведомления.
При выявлении несанкционированного доступа/утечки Оператор незамедлительно инициирует внутреннее расследование, ограничивает последствия, определяет объём затронутых данных. Уведомление Роскомнадзора — в течение 24 часов с момента обнаружения инцидента; итоговый отчёт — в течение 72 часов. При затрагивании прав субъектов осуществляется персональное уведомление (при технической возможности) с рекомендациями по снижению рисков.
9.8. Периодические проверки и аудит.
Не реже одного раза в год проводится оценка эффективности мер защиты ПДн, тестирование на уязвимости и аудит журналов. При значимых изменениях инфраструктуры (новые сервисы, расширение LMS) выполняется внеочередной аудит. Требования базового регулирования (ПП РФ № 1119, приказы ФСТЭК/ФСБ) учитываются при планировании и внедрении изменений.
9.9. Режим конфиденциальности.
ПДн пользователей являются конфиденциальной информацией. Сотрудникам и подрядчикам запрещено раскрывать ПДн третьим лицам без согласия субъекта или иного законного основания; обязательство сохраняется после прекращения трудовых/договорных отношений. Не является нарушением предоставление данных госорганам по закону и обезличивание данных.
9.10. Публичность Политики.
Актуальная редакция Политики размещена в открытом доступе на Сайте по постоянной ссылке. По запросу пользователя Политика предоставляется в электронном или бумажном виде.
10. Заключительные положения
10.1. Настоящая Политика утверждена ИП Пичхадзе Л. Л. и действует бессрочно до замены новой редакцией. Контроль исполнения требований Политики осуществляет лично Оператор либо назначенное ответственное лицо. Ответственность работников, имеющих доступ к персональным данным, за нарушения законодательства РФ и локальных актов Оператора определяется законом и внутренними документами.
10.2. Споры, связанные с обработкой персональных данных, разрешаются по законодательству Российской Федерации. До обращения в суд или в надзорные органы Пользователю рекомендуется направить Оператору претензию для досудебного урегулирования. Срок рассмотрения претензии — 30 календарных дней с даты получения. При недостижении соглашения спор подлежит рассмотрению в суде в порядке, установленном законодательством (с учётом прав потребителя).
10.3. К отношениям между Пользователем и Оператором применяется право Российской Федерации. Политика составлена на русском языке; при наличии перевода приоритет имеет русскоязычная версия.
10.4. Вопросы по Политике и обработке персональных данных направляются на официальный адрес для юридически значимых уведомлений: owner@proznau.ru; для общих вопросов — info@proznau.ru. Допускается направление почтовых обращений по адресу, указанному в реквизитах Оператора ниже.
10.5. Совершая действия, направленные на передачу своих персональных данных (заполнение форм, регистрация в LMS, оплата и т. п.), Пользователь подтверждает, что ознакомлен с Политикой, понимает её содержание и принимает её условия. Продолжение использования Сайта и Платформы после публикации обновлённой редакции Политики означает согласие Пользователя с внесёнными изменениями.
10.6. Настоящая редакция Политики учитывает действующие требования законодательства, включая локализацию баз данных, отдельное согласие на распространение персональных данных и порядок уведомления об инцидентах (утечках), и подлежит актуализации при изменении нормативных требований.
Адрес размещения Политики в сети Интернет: https://proznau.ru/privacy.
Контакты и реквизиты Оператора (актуальные)
Оператор: Индивидуальный предприниматель Пичхадзе Лия Лериевна
ИНН: 231212810807 ОГРНИП: 309231228000154
Адрес регистрации / для корреспонденции: 350049, РФ, Краснодарский край, г. Краснодар, ул. Тургенева, д. 138/3, кв. 96
Телефон: +7 (988) 520-63-40 Сайт: https://proznau.ru
E-mail для юридически значимых уведомлений (в т. ч. по персональным данным): owner@proznau.ru;
E-mail для общих вопросов: info@proznau.ru.
Лицензия на осуществление образовательной деятельности: № Л035-01218-23/02551428 от 27.06.2025, статус — действует.
Банковские реквизиты:
ПАО Сбербанк — р/с 40802810130000085756;
БИК 040349602;
к/с 30101810100000000602; (отделение: г. Краснодар, ул. Садовая, 112).
Дата вступления в силу: 10 августа 2025 года
10.1. Настоящая Политика утверждена ИП Пичхадзе Л. Л. и действует бессрочно до замены новой редакцией. Контроль исполнения требований Политики осуществляет лично Оператор либо назначенное ответственное лицо. Ответственность работников, имеющих доступ к персональным данным, за нарушения законодательства РФ и локальных актов Оператора определяется законом и внутренними документами.
10.2. Споры, связанные с обработкой персональных данных, разрешаются по законодательству Российской Федерации. До обращения в суд или в надзорные органы Пользователю рекомендуется направить Оператору претензию для досудебного урегулирования. Срок рассмотрения претензии — 30 календарных дней с даты получения. При недостижении соглашения спор подлежит рассмотрению в суде в порядке, установленном законодательством (с учётом прав потребителя).
10.3. К отношениям между Пользователем и Оператором применяется право Российской Федерации. Политика составлена на русском языке; при наличии перевода приоритет имеет русскоязычная версия.
10.4. Вопросы по Политике и обработке персональных данных направляются на официальный адрес для юридически значимых уведомлений: owner@proznau.ru; для общих вопросов — info@proznau.ru. Допускается направление почтовых обращений по адресу, указанному в реквизитах Оператора ниже.
10.5. Совершая действия, направленные на передачу своих персональных данных (заполнение форм, регистрация в LMS, оплата и т. п.), Пользователь подтверждает, что ознакомлен с Политикой, понимает её содержание и принимает её условия. Продолжение использования Сайта и Платформы после публикации обновлённой редакции Политики означает согласие Пользователя с внесёнными изменениями.
10.6. Настоящая редакция Политики учитывает действующие требования законодательства, включая локализацию баз данных, отдельное согласие на распространение персональных данных и порядок уведомления об инцидентах (утечках), и подлежит актуализации при изменении нормативных требований.
Адрес размещения Политики в сети Интернет: https://proznau.ru/privacy.
Контакты и реквизиты Оператора (актуальные)
Оператор: Индивидуальный предприниматель Пичхадзе Лия Лериевна
ИНН: 231212810807 ОГРНИП: 309231228000154
Адрес регистрации / для корреспонденции: 350049, РФ, Краснодарский край, г. Краснодар, ул. Тургенева, д. 138/3, кв. 96
Телефон: +7 (988) 520-63-40 Сайт: https://proznau.ru
E-mail для юридически значимых уведомлений (в т. ч. по персональным данным): owner@proznau.ru;
E-mail для общих вопросов: info@proznau.ru.
Лицензия на осуществление образовательной деятельности: № Л035-01218-23/02551428 от 27.06.2025, статус — действует.
Банковские реквизиты:
ПАО Сбербанк — р/с 40802810130000085756;
БИК 040349602;
к/с 30101810100000000602; (отделение: г. Краснодар, ул. Садовая, 112).
Дата вступления в силу: 10 августа 2025 года