Политика обработки персональных данных
Индивидуального предпринимателя Пичхадзе Лия Лериевна
(ОГРНИП 309231228000154, ИНН 231212810807)
Дата вступления в силу: 10 августа 2025 года
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее – «Политика») разработана в соответствии с требованиями Федерального закона РФ от 27.07.2006 No 152-ФЗ «О персональных данных» и иных применимых нормативных актов РФ, с учётом актуальных разъяснений и практики Роскомнадзора и судебной практики на 2025 год. Политика определяет порядок и условия обработки персональных данных и меры по обеспечению их безопасности ИП Пичхадзе Лия Лериевна (ИНН 231212810807, ОГРНИП 309231228000154), далее – Оператор, при осуществлении деятельности онлайн-школы.
1.2. Оператор является оператором персональных данных в понимании 152- ФЗ[1][2]. Оператор самостоятельно определяет цели и объём обработки персональных данных, осуществляет их обработку, а также несёт ответственность за хранение и защиту таких данных. Местонахождение Оператора: 350058, Россия, Краснодарский край, г. Краснодар, ул. Селезнёва, д. 198, кв. 86. Для связи по вопросам персональных данных можно обращаться по электронной почте: info@proznau.ru.
1.3. Действие настоящей Политики распространяется на все персональные данные физических лиц (далее – Субъекты данных или Пользователи), которые Оператор получает или может получить в ходе своей деятельности, в том числе через интернет-сайт https://proznau.ru (далее – Сайт, размещён на платформе Tilda) и через образовательную платформу Impulse LMS (https://proznau.impulse-lms.com, далее – Платформа LMS), включая данные, собираемые при авторизации через VK ID. Политика действует в отношении любых посетителей и пользователей Сайта и Платформы LMS (включая обучающихся онлайн-школы, их представителей и иных лиц, заполняющих формы на Сайте либо взаимодействующих с Оператором посредством Сайта или Платформы).
Политика обработки персональных данных.pdf1.4. Пользователь, предоставляя свои персональные данные Оператору (путём проставления отметки согласия в формах Сайта, нажатием кнопки «Записаться», «Оплатить», регистрацией на Платформе либо совершением иных конклюдентных действий), выражает полное согласие с условиями настоящей Политики и даёт Оператору согласие на обработку своих персональных данных в порядке, описанном в Политике[3][4]. Принятие публичной оферты Оператора (например, оплата услуг онлайн-школы или регистрация на Платформе LMS) также означает согласие Пользователя с настоящей Политикой и разрешение на обработку его персональных данных. В случае несогласия с какими-либо положениями Политики Пользователь должен воздержаться от использования Сайта, Платформы и услуг Оператора.
1.5. Под персональными данными (ПДн) в Политике понимается любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных)[5]. К такой информации могут относиться, в частности, фамилия, имя, отчество, дата рождения, контактные данные, сведения об образовании и обучении, фотоизображения, отзывы, а также иные данные, сообщаемые Пользователем о себе по запросу Оператора. Оператор не запрашивает и не обрабатывает специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, здоровья, интимной жизни) и биометрические персональные данные Пользователей[6].
1.6. Обработка персональных данных – любое действие (операция) или совокупность действий с ПДн, совершаемых с использованием средств автоматизации или без таковых, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), распространение, обезличивание, блокирование, удаление и уничтожение ПДн[7][8]. Оператор осуществляет обработку ПДн как с использованием автоматизированных систем (в информационных системах Оператора), так и без использования средств автоматизации – в случаях, допускаемых законодательством.
1.7. Оператор осуществляет обработку персональных данных строго в соответствии с принципами и требованиями, предусмотренными законодательством РФ, в том числе принципами законности, справедливости, целевого характера, минимизации и недопущения избыточности обрабатываемых данных[9][10]. Все персональные данные обрабатываются для конкретных, заранее определённых и законных целей, соответствующих
деятельности Оператора. Объём и характер обрабатываемых данных соответствуют заявленным целям их обработки (избыточные данные не собираются и не обрабатываются).
1.8. Оператор не осуществляет трансграничную передачу персональных данных, то есть не передаёт персональные данные на территорию иностранного государства, иностранным организациям или иностранным физическим лицам[11]. Хранение и обработка персональных данных Пользователей осуществляется в базах данных, находящихся на территории Российской Федерации[12]. Платформа создания сайта (Tilda) и образовательная Платформа LMS, используемые Оператором, размещены на серверах, расположенных на территории РФ, что обеспечивает локализацию персональных данных российских граждан в соответствии с требованиями законодательства.
1.9. Настоящая Политика является неотъемлемой частью пользовательских соглашений и договоров об оказании услуг, заключаемых с Пользователями путем акцепта публичной оферты Оператора. Положения Политики подлежат применению в совокупности с условиями таких договоров. Оператор оставляет за собой право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на Сайте (если иное не предусмотрено в самой новой редакции). Оператор уведомит Пользователей о существенных изменениях в Политике посредством размещения соответствующего уведомления на Сайте и/или отправки сообщения на контактный email Пользователя.
1.10. Пользователь гарантирует, что предоставляет достоверные, актуальные и полные данные о себе в необходимых формах и при взаимодействии с Оператором[13]. Пользователь обязуется при изменении персональных данных своевременно уведомлять Оператора об актуализации таких данных или обновлять их самостоятельно (если предусмотрена функциональная возможность в личном кабинете). Оператор не несёт ответственности за негативные последствия, возникшие вследствие предоставления Пользователем недостоверных или неактуальных персональных данных. Если Пользователь предоставляет Оператору персональные данные третьих лиц (например, данные своего представителя, обучающегося-ребёнка, родственника или иного лица), Пользователь подтверждает, что получил необходимое согласие такого третьего лица (или его законного представителя) на передачу и обработку его персональных данных Оператором.
Индивидуального предпринимателя Пичхадзе Лия Лериевна
(ОГРНИП 309231228000154, ИНН 231212810807)
Дата вступления в силу: 10 августа 2025 года
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее – «Политика») разработана в соответствии с требованиями Федерального закона РФ от 27.07.2006 No 152-ФЗ «О персональных данных» и иных применимых нормативных актов РФ, с учётом актуальных разъяснений и практики Роскомнадзора и судебной практики на 2025 год. Политика определяет порядок и условия обработки персональных данных и меры по обеспечению их безопасности ИП Пичхадзе Лия Лериевна (ИНН 231212810807, ОГРНИП 309231228000154), далее – Оператор, при осуществлении деятельности онлайн-школы.
1.2. Оператор является оператором персональных данных в понимании 152- ФЗ[1][2]. Оператор самостоятельно определяет цели и объём обработки персональных данных, осуществляет их обработку, а также несёт ответственность за хранение и защиту таких данных. Местонахождение Оператора: 350058, Россия, Краснодарский край, г. Краснодар, ул. Селезнёва, д. 198, кв. 86. Для связи по вопросам персональных данных можно обращаться по электронной почте: info@proznau.ru.
1.3. Действие настоящей Политики распространяется на все персональные данные физических лиц (далее – Субъекты данных или Пользователи), которые Оператор получает или может получить в ходе своей деятельности, в том числе через интернет-сайт https://proznau.ru (далее – Сайт, размещён на платформе Tilda) и через образовательную платформу Impulse LMS (https://proznau.impulse-lms.com, далее – Платформа LMS), включая данные, собираемые при авторизации через VK ID. Политика действует в отношении любых посетителей и пользователей Сайта и Платформы LMS (включая обучающихся онлайн-школы, их представителей и иных лиц, заполняющих формы на Сайте либо взаимодействующих с Оператором посредством Сайта или Платформы).
Политика обработки персональных данных.pdf1.4. Пользователь, предоставляя свои персональные данные Оператору (путём проставления отметки согласия в формах Сайта, нажатием кнопки «Записаться», «Оплатить», регистрацией на Платформе либо совершением иных конклюдентных действий), выражает полное согласие с условиями настоящей Политики и даёт Оператору согласие на обработку своих персональных данных в порядке, описанном в Политике[3][4]. Принятие публичной оферты Оператора (например, оплата услуг онлайн-школы или регистрация на Платформе LMS) также означает согласие Пользователя с настоящей Политикой и разрешение на обработку его персональных данных. В случае несогласия с какими-либо положениями Политики Пользователь должен воздержаться от использования Сайта, Платформы и услуг Оператора.
1.5. Под персональными данными (ПДн) в Политике понимается любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных)[5]. К такой информации могут относиться, в частности, фамилия, имя, отчество, дата рождения, контактные данные, сведения об образовании и обучении, фотоизображения, отзывы, а также иные данные, сообщаемые Пользователем о себе по запросу Оператора. Оператор не запрашивает и не обрабатывает специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, здоровья, интимной жизни) и биометрические персональные данные Пользователей[6].
1.6. Обработка персональных данных – любое действие (операция) или совокупность действий с ПДн, совершаемых с использованием средств автоматизации или без таковых, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), распространение, обезличивание, блокирование, удаление и уничтожение ПДн[7][8]. Оператор осуществляет обработку ПДн как с использованием автоматизированных систем (в информационных системах Оператора), так и без использования средств автоматизации – в случаях, допускаемых законодательством.
1.7. Оператор осуществляет обработку персональных данных строго в соответствии с принципами и требованиями, предусмотренными законодательством РФ, в том числе принципами законности, справедливости, целевого характера, минимизации и недопущения избыточности обрабатываемых данных[9][10]. Все персональные данные обрабатываются для конкретных, заранее определённых и законных целей, соответствующих
деятельности Оператора. Объём и характер обрабатываемых данных соответствуют заявленным целям их обработки (избыточные данные не собираются и не обрабатываются).
1.8. Оператор не осуществляет трансграничную передачу персональных данных, то есть не передаёт персональные данные на территорию иностранного государства, иностранным организациям или иностранным физическим лицам[11]. Хранение и обработка персональных данных Пользователей осуществляется в базах данных, находящихся на территории Российской Федерации[12]. Платформа создания сайта (Tilda) и образовательная Платформа LMS, используемые Оператором, размещены на серверах, расположенных на территории РФ, что обеспечивает локализацию персональных данных российских граждан в соответствии с требованиями законодательства.
1.9. Настоящая Политика является неотъемлемой частью пользовательских соглашений и договоров об оказании услуг, заключаемых с Пользователями путем акцепта публичной оферты Оператора. Положения Политики подлежат применению в совокупности с условиями таких договоров. Оператор оставляет за собой право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на Сайте (если иное не предусмотрено в самой новой редакции). Оператор уведомит Пользователей о существенных изменениях в Политике посредством размещения соответствующего уведомления на Сайте и/или отправки сообщения на контактный email Пользователя.
1.10. Пользователь гарантирует, что предоставляет достоверные, актуальные и полные данные о себе в необходимых формах и при взаимодействии с Оператором[13]. Пользователь обязуется при изменении персональных данных своевременно уведомлять Оператора об актуализации таких данных или обновлять их самостоятельно (если предусмотрена функциональная возможность в личном кабинете). Оператор не несёт ответственности за негативные последствия, возникшие вследствие предоставления Пользователем недостоверных или неактуальных персональных данных. Если Пользователь предоставляет Оператору персональные данные третьих лиц (например, данные своего представителя, обучающегося-ребёнка, родственника или иного лица), Пользователь подтверждает, что получил необходимое согласие такого третьего лица (или его законного представителя) на передачу и обработку его персональных данных Оператором.
2. Категории персональных данных и способы их получения
2.1. Оператор осуществляет сбор персональных данных непосредственно у субъектов персональных данных – от Пользователей, которые добровольно вводят (сообщают) свои данные через специальные формы на Сайте или через интерфейс Платформы LMS, а также передают данные при общении с Оператором по иным каналам (телефон, электронная почта, мессенджеры, социальные сети и пр.). Обработка персональных данных осуществляется Оператором только после того, как Пользователь самостоятельно предоставил такие данные, в том числе посредством заполнения и отправки веб-форм на Сайте или данных при регистрации/авторизации на Платформе LMS[14].
2.2. Персональные данные, предоставляемые Пользователями через формы на Сайте (Tilda): Оператор собирает данные, которые Пользователь указывает при заполнении следующих форм, размещённых на Сайте https://proznau.ru:
Логи сервера и данные аналитики – при взаимодействии с Сайтом и Платформой автоматически фиксируются сведения: IP-адрес устройства Пользователя, дата и время обращения, запрошенные страницы, тип и версия браузера, используемая операционная система, адрес страницы, с которой Пользователь перешёл (реферер), идентификатор устройства и другая техническая информация. Эти данные обезличенно анализируются для поддержки работоспособности Сайта и Платформы, обеспечения информационной безопасности (например, выявление попыток несанкционированного доступа), а также для улучшения работы сервисов (на основе анализа посещаемости и поведения пользователей)[18][19]. Данные логов хранятся отдельно от персональных данных, предоставленных Пользователем через формы, и не используются для идентификации личности без необходимости.
2.5. Обработка общедоступных данных: Оператор может получать персональные данные из общедоступных источников, если сам Пользователь разместил их для неограниченного круга лиц. Например, если Пользователь оставил отзыв о курсах Оператора в социальной сети или на стороннем сайте и указал свои данные, Оператор может обработать такие данные в маркетинговых целях (например, репост отзыва) при условии соблюдения прав Пользователя. Однако распространение таких персональных данных будет осуществляться только с согласия Пользователя на распространение (см. п.5.6 ниже)[17].
Категории персональных данных
2.1. Оператор осуществляет сбор персональных данных непосредственно у субъектов персональных данных – от Пользователей, которые добровольно вводят (сообщают) свои данные через специальные формы на Сайте или через интерфейс Платформы LMS, а также передают данные при общении с Оператором по иным каналам (телефон, электронная почта, мессенджеры, социальные сети и пр.). Обработка персональных данных осуществляется Оператором только после того, как Пользователь самостоятельно предоставил такие данные, в том числе посредством заполнения и отправки веб-форм на Сайте или данных при регистрации/авторизации на Платформе LMS[14].
2.2. Персональные данные, предоставляемые Пользователями через формы на Сайте (Tilda): Оператор собирает данные, которые Пользователь указывает при заполнении следующих форм, размещённых на Сайте https://proznau.ru:
- Форма записи на курс – собираются как правило: фамилия, имя, отчество (при наличии); контактный номер телефона; адрес электронной почты; иные сведения, указанные Пользователем в комментарии или дополнительных полях (например, желаемая программа обучения, удобное время для связи). Данные предоставляются для регистрации Пользователя в качестве обучающегося, формирования заявки на обучение и последующего заключения договора на оказание образовательных услуг.
- Форма обратной связи (контактная форма) – Пользователь может указать своё имя, контактный email и/или телефон, а также написать сообщение с интересующим вопросом или заявкой. Эти данные собираются с целью обратной связи: ответить на вопрос, проконсультировать, предоставить запрашиваемую информацию о курсах либо решить обращение Пользователя.
- Форма оплаты – при переходе к оплате услуг (курса) Пользователь указывает данные, необходимые для осуществления платежа: ФИО плательщика; email и телефон (для отправки электронного чека и связи при необходимости); реквизиты оплаты (номер заказа, сумма). Непосредственно данные банковской карты (номер, CVV, срок действия) Пользователь вводит на защищённой платёжной странице платёжной
- Форма заказа звонка (обратный звонок) – Пользователь указывает имя и номер телефона для связи. Эти данные используются Оператором, чтобы перезвонить Пользователю по указанному номеру и предоставить консультацию по курсам, условиям обучения, либо иным вопросам, указанным Пользователем при заказе звонка.
- Форма предварительного бронирования – может собирать имя, контактные данные (телефон, email) и информацию о желаемом курсе/дате. Оператор использует эти данные, чтобы зарезервировать место на курсе или мероприятии за Пользователем и в последующем связаться с ним для подтверждения участия, заключения договора и оплаты.
- Формы сбора согласий – отдельные всплывающие окна или поля с галочкой на Сайте, где Пользователь подтверждает своё согласие (например, на обработку персональных данных, на получение рассылки, на участие в акции, на распространение своих данных). В таких формах обычно указывается ФИО или иные идентификаторы Пользователя (например, email) для сопоставления с субъектом согласия, а также проставляется отметка согласия (чекбокс). Эти записи используются для фиксации факта получения информированного согласия от Пользователя на конкретные действия с его персональными данными.
- Чат-виджет (онлайн-чат) – на Сайте может быть установлен чат для поддержки, через который Пользователь может в режиме реального времени общаться с представителем Оператора. При этом обрабатываются данные, которые Пользователь вводит в чат: имя (если указывается), контакт для ответа (если запрашивается, например email или телефон) и само содержание сообщений Пользователя. Эти данные собираются для целей консультирования Пользователя, оперативного ответа на запросы и улучшения качества сервиса.
- Форма подписки на рассылку – Пользователь предоставляет адрес электронной почты (а иногда и имя) для подписки на информационную и рекламную рассылку Оператора (новости школы, новые курсы, спецпредложения). Эти данные собираются для направления Пользователю электронных писем (email-рассылок) информационно- рекламного характера с согласия Пользователя. Пользователь всегда может отписаться от такой рассылки, воспользовавшись ссылкой в письме или обратившись к Оператору.
- Иные формы – на Сайте могут использоваться и другие стандартные формы для взаимодействия с Пользователями (например, регистрация на вебинар, запрос методических материалов, опросы обратной связи и т.д.). В каждой такой форме объём собираемых персональных данных ограничивается минимально необходимым для соответствующей цели (как правило, это имя и контактные данные, а также информация, связанная с запросом Пользователя). Все подобные формы также снабжаются заметкой о согласии Пользователя с Политикой при отправке данных.
- 2.3. Персональные данные, обрабатываемые через Платформу LMS (Impulse): для доступа к образовательной платформе и использования личного кабинета Пользователя Оператор собирает следующие данные:
- Данные регистрации аккаунта – при самостоятельной регистрации на Платформе Пользователь указывает своё имя, фамилию, адрес электронной почты, номер телефона (может использоваться в качестве логина или для связи) и задаёт пароль. Эти данные необходимы для создания личного кабинета, идентификации Пользователя в системе, предоставления доступа к материалам курса и обратной связи.
- Данные профиля обучающегося – Пользователь (обучающийся) в своём личном кабинете на Платформе LMS может дополнительно указать информацию о себе: год рождения или возраст (например, для предоставления программы в соответствующей возрастной группе), город проживания, загрузить фотографию (аватар) для профиля, указать информацию об образовании или другую добровольную информацию. Эти данные хранятся в профиле для персонализации обучения и могут использоваться Оператором в образовательном процессе (например, обращение к обучающемуся по имени, подбор подходящего уровня программы).
- Данные об обучении и успеваемости – в ходе прохождения курсов на Платформе LMS Оператор собирает и обрабатывает сведения о прогрессе обучения Пользователя: записи об освоенных уроках и модулях, результаты выполненных заданий и тестов, оценки, комментарии преподавателей, сертификаты об окончании курса, даты посещения занятий (онлайн-уроков), активность в рамках курса (например, участие в форуме курса, переписка с тьюторами через внутреннюю систему). Эти данные нужны для ведения учёта успеваемости, мониторинга выполнения учебного плана, обратной связи обучающемуся, выдачи удостоверений/сертификатов, а также для улучшения качества образовательного процесса.
- Коммуникации через LMS – если на Платформе реализованы форумы, чаты группы, системы личных сообщений или другие средства коммуникации между Пользователем и преподавателями/персоналом Оператора, то информация, которую Пользователь там публикует или отправляет (например, вопрос преподавателю, отзыв о уроке, комментарий в форуме группы), также может храниться и обрабатываться Оператором. Эти данные используются строго в рамках образовательных целей (обсуждение учебных материалов, поддержка студентов, обмен опытом между учащимися и т.д.).
- Файлы и проекты – Пользователь может загружать на Платформу свои работы (домашние задания, проекты, изображения, тексты и пр.) для проверки и оценки. Эти материалы могут содержать персональные данные (например, в самом содержании работы или в метаданных файлов). Оператор обрабатывает загруженные материалы исключительно для образовательных целей: хранения, проверки, обратной связи и оценки. Права на такие материалы остаются у Пользователя, и Оператор не распространяет их без согласия Пользователя.
- Данные о родителе/законном представителе – если обучение проходит несовершеннолетний ученик, для регистрации может потребоваться указание данных его родителя или законного представителя. Обычно это ФИО представителя, контактный телефон и email, и, при необходимости, документ, подтверждающий полномочия (например, согласие родителя на обработку данных ребенка). Эти данные используются для юридически корректного заключения договора об обучении несовершеннолетнего, для контакта с родителями по вопросам обучения и получения разрешений на обработку данных ребёнка.
- 2.4. Автоматически собираемые данные (файлы cookie и техническая информация): При посещении Сайта определённые данные могут собираться автоматически средствами веб-аналитики и стандартными средствами веб- сервера. К таким данным относятся:
Логи сервера и данные аналитики – при взаимодействии с Сайтом и Платформой автоматически фиксируются сведения: IP-адрес устройства Пользователя, дата и время обращения, запрошенные страницы, тип и версия браузера, используемая операционная система, адрес страницы, с которой Пользователь перешёл (реферер), идентификатор устройства и другая техническая информация. Эти данные обезличенно анализируются для поддержки работоспособности Сайта и Платформы, обеспечения информационной безопасности (например, выявление попыток несанкционированного доступа), а также для улучшения работы сервисов (на основе анализа посещаемости и поведения пользователей)[18][19]. Данные логов хранятся отдельно от персональных данных, предоставленных Пользователем через формы, и не используются для идентификации личности без необходимости.
2.5. Обработка общедоступных данных: Оператор может получать персональные данные из общедоступных источников, если сам Пользователь разместил их для неограниченного круга лиц. Например, если Пользователь оставил отзыв о курсах Оператора в социальной сети или на стороннем сайте и указал свои данные, Оператор может обработать такие данные в маркетинговых целях (например, репост отзыва) при условии соблюдения прав Пользователя. Однако распространение таких персональных данных будет осуществляться только с согласия Пользователя на распространение (см. п.5.6 ниже)[17].
Категории персональных данных
- фамилия, имя, отчество и дата рождения обучающегося;
- фамилия, имя и отчество законного представителя обучающегося;
- номер контактного телефона законного представителя обучающегося;
- адрес электронной почты законного представителя обучающегося;
- контактный e‑mail, номер телефона, регион/город обучающегося;
- сведения о платежах (токенизированный номер карты, способ, время, сумма; реальные реквизиты карт не хранятся на сервере Оператора);
- учётные данные LMS: ID, логин, пароль, результаты тестов, комментарии, загруженные файлы;
- данные устройств и сеансов (IP‑адрес, тип/версия браузера, ОС, разрешение экрана, cookie‑файлы, web‑storage);
- обращения в поддержку (текст, аудио, вложения).
3. Цели обработки персональных данных
Оператор собирает и использует персональные данные строго для тех целей, ради которых они были предоставлены Пользователем, а также для целей, обусловленных необходимостью исполнения договоров с Пользователем и соблюдения законов РФ. Основные цели обработки ПДн Оператором следующие:
3.1. Оказание образовательных услуг, обучение Пользователей – Оператор обрабатывает персональные данные для заключения и исполнения договора об оказании услуг онлайн-обучения. Включает в себя: регистрацию Пользователя в системе, зачисление на курс, организацию обучения (доступ к материалам, ведение расписания, учёт посещаемости, контроль успеваемости), коммуникацию с обучающимся (рассылка методических материалов, уведомления о занятиях, ответы на вопросы), выдачу сертификатов и документов об обучении. Например, ФИО обучающегося
используется для оформления сертификата, контактные данные – для оперативной связи в процессе обучения, данные об успеваемости – для оценки выполнения программы[20][21].
3.2. Обратная связь с Пользователями, обработка запросов и обращений – персональные данные, полученные через форму обратной связи, чат, по телефону или электронной почте, используются для того, чтобы ответить на запрос Пользователя, предоставить необходимую информацию об услугах, поддержать Пользователя при возникновении технических или иных трудностей. Контактные данные (телефон, email) применяются, чтобы предоставить разъяснения, напомнить о событии, подтвердить полученную заявку или уточнить детали запроса.
3.3. Заключение договоров и исполнение финансовых обязательств – обработка персональных данных осуществляется в целях оформления договорных отношений с Пользователем (как с потребителем образовательных услуг). Это включает выставление счётов на оплату, приём оплаты и учёт поступивших средств, формирование бухгалтерских документов (кассовые чеки, акты оказанных услуг), а также иные обязательные для оказания платных услуг действия. Например, при оплате курса сохраняется информация о плательщике и факте оплаты для соблюдения требований законодательства о бухгалтерском учёте и налоговой отчётности.
3.4. Обеспечение работы личного кабинета и доступа к Платформе LMS – персональные данные используются для идентификации Пользователя при входе в систему, поддержания сессии, восстановления доступа (например, отправка ссылки для сброса пароля на email)[22][23], а также обеспечения безопасности аккаунта. Имя пользователя может отображаться в личном кабинете и в учебных курсах (например, в списке участников курса), а email и телефон используются для отправки технических уведомлений (например, уведомление о новом сообщении, подтверждение регистрации и т.д.).
3.5. Предоставление обратного звонка и консультаций – когда Пользователь оставляет номер телефона для связи, цель обработки его данных – предоставить запрошенную консультацию: рассказать о курсах, помочь выбрать программу, сообщить расписание, условия оплаты, ответить на волнующие вопросы. Таким образом, Оператор обеспечивает персональное обслуживание и повышает качество сервиса.
3.6. Рассылка информационных и маркетинговых материалов (email- рассылка, сообщения) – при наличии отдельного согласия Пользователя
Оператор использует его контактные данные (email, номер телефона для мессенджера/SMS) для направления регулярных новостей, объявлений о новых курсах, акциях, скидках, специальных предложениях, публикации новых статей или вебинаров. Цель – информирование Пользователя о новостях онлайн-школы и продвижение услуг Оператора. Пользователь вправе в любой момент отказаться от дальнейших рассылок, отозвав своё согласие (см. раздел 7).
3.7. Улучшение работы Сайта и Платформы, персонализация сервиса – данные файлов cookie и другая автоматически собираемая информация используются для целей аналитики и улучшения качества услуг. Оператор анализирует, какие страницы чаще посещаются, откуда приходят новые пользователи, как они взаимодействуют с интерфейсом, чтобы оптимизировать контент и навигацию Сайта. Кроме того, эти данные могут применяться для показа таргетированной рекламы выпускникам и подписчикам (например, напоминание о неоконченной регистрации, предложение продолжить обучение на следующем уровне и т.п.), но только в агрегированном или обезличенном виде.
3.8. Обеспечение безопасности и предотвращение мошенничества – Оператор может обрабатывать персональные данные в целях проверки подлинности личности при проведении платёжных операций (например, сопоставление ФИО плательщика с данными банковской карты, предотвращение мошеннических платежей), предотвращения несанкционированного доступа к аккаунтам (например, анализ IP-адресов входа) и иных мер кибербезопасности. Также ведутся журналы (логи) обращений к системам, которые могут использоваться для расследования инцидентов информационной безопасности.
3.9. Правовые и регуляторные цели – обработка персональных данных осуществляется в целях выполнения требований законодательства РФ. Например, хранение бухгалтерских документов, содержащих персональные данные (кассовых чеков с ФИО покупателя, платежных поручений), в течение установленного законом срока; предоставление персональных данных по законному требованию государственных органов (например, суда, органов дознания, налоговых органов, Роскомнадзора) в предусмотренных законом случаях. Цель – соблюдение обязательных норм права и обеспечение возможности правовой защиты прав Оператора в случае споров.
3.10. Публикация отзывов, достижений и материалов Пользователей – с предварительного отдельного согласия субъекта данных (см. пункт 5.6)
Оператор может обрабатывать персональные данные Пользователя для публичного размещения: публикации отзыва о курсе на Сайте, демонстрации результатов обучения (например, работ или проектов выпускников) на Сайте или в социальных сетях, размещения имени и изображения Пользователя в числе лучших студентов, публикации полученного Пользователем сертификата об окончании курса и т.п. Цель такой обработки – продвижение услуг Оператора, подтверждение качества обучения и достижений учеников, формирование сообщества выпускников. При этом без согласия Пользователя такие данные не обнародуются.
3.11. Иные цели с согласия субъекта – Оператор вправе обрабатывать персональные данные и для других целей, непосредственно не указанных выше, только при наличии дополнительного согласия Пользователя на каждую такую конкретную цель (если такая обработка не подпадает под иные законные основания, указанные в разделе 4). В случае необходимости расширения целей обработки Оператор заранее запрашивает соответствующее согласие у субъектов ПДн.
Оператор собирает и использует персональные данные строго для тех целей, ради которых они были предоставлены Пользователем, а также для целей, обусловленных необходимостью исполнения договоров с Пользователем и соблюдения законов РФ. Основные цели обработки ПДн Оператором следующие:
3.1. Оказание образовательных услуг, обучение Пользователей – Оператор обрабатывает персональные данные для заключения и исполнения договора об оказании услуг онлайн-обучения. Включает в себя: регистрацию Пользователя в системе, зачисление на курс, организацию обучения (доступ к материалам, ведение расписания, учёт посещаемости, контроль успеваемости), коммуникацию с обучающимся (рассылка методических материалов, уведомления о занятиях, ответы на вопросы), выдачу сертификатов и документов об обучении. Например, ФИО обучающегося
используется для оформления сертификата, контактные данные – для оперативной связи в процессе обучения, данные об успеваемости – для оценки выполнения программы[20][21].
3.2. Обратная связь с Пользователями, обработка запросов и обращений – персональные данные, полученные через форму обратной связи, чат, по телефону или электронной почте, используются для того, чтобы ответить на запрос Пользователя, предоставить необходимую информацию об услугах, поддержать Пользователя при возникновении технических или иных трудностей. Контактные данные (телефон, email) применяются, чтобы предоставить разъяснения, напомнить о событии, подтвердить полученную заявку или уточнить детали запроса.
3.3. Заключение договоров и исполнение финансовых обязательств – обработка персональных данных осуществляется в целях оформления договорных отношений с Пользователем (как с потребителем образовательных услуг). Это включает выставление счётов на оплату, приём оплаты и учёт поступивших средств, формирование бухгалтерских документов (кассовые чеки, акты оказанных услуг), а также иные обязательные для оказания платных услуг действия. Например, при оплате курса сохраняется информация о плательщике и факте оплаты для соблюдения требований законодательства о бухгалтерском учёте и налоговой отчётности.
3.4. Обеспечение работы личного кабинета и доступа к Платформе LMS – персональные данные используются для идентификации Пользователя при входе в систему, поддержания сессии, восстановления доступа (например, отправка ссылки для сброса пароля на email)[22][23], а также обеспечения безопасности аккаунта. Имя пользователя может отображаться в личном кабинете и в учебных курсах (например, в списке участников курса), а email и телефон используются для отправки технических уведомлений (например, уведомление о новом сообщении, подтверждение регистрации и т.д.).
3.5. Предоставление обратного звонка и консультаций – когда Пользователь оставляет номер телефона для связи, цель обработки его данных – предоставить запрошенную консультацию: рассказать о курсах, помочь выбрать программу, сообщить расписание, условия оплаты, ответить на волнующие вопросы. Таким образом, Оператор обеспечивает персональное обслуживание и повышает качество сервиса.
3.6. Рассылка информационных и маркетинговых материалов (email- рассылка, сообщения) – при наличии отдельного согласия Пользователя
Оператор использует его контактные данные (email, номер телефона для мессенджера/SMS) для направления регулярных новостей, объявлений о новых курсах, акциях, скидках, специальных предложениях, публикации новых статей или вебинаров. Цель – информирование Пользователя о новостях онлайн-школы и продвижение услуг Оператора. Пользователь вправе в любой момент отказаться от дальнейших рассылок, отозвав своё согласие (см. раздел 7).
3.7. Улучшение работы Сайта и Платформы, персонализация сервиса – данные файлов cookie и другая автоматически собираемая информация используются для целей аналитики и улучшения качества услуг. Оператор анализирует, какие страницы чаще посещаются, откуда приходят новые пользователи, как они взаимодействуют с интерфейсом, чтобы оптимизировать контент и навигацию Сайта. Кроме того, эти данные могут применяться для показа таргетированной рекламы выпускникам и подписчикам (например, напоминание о неоконченной регистрации, предложение продолжить обучение на следующем уровне и т.п.), но только в агрегированном или обезличенном виде.
3.8. Обеспечение безопасности и предотвращение мошенничества – Оператор может обрабатывать персональные данные в целях проверки подлинности личности при проведении платёжных операций (например, сопоставление ФИО плательщика с данными банковской карты, предотвращение мошеннических платежей), предотвращения несанкционированного доступа к аккаунтам (например, анализ IP-адресов входа) и иных мер кибербезопасности. Также ведутся журналы (логи) обращений к системам, которые могут использоваться для расследования инцидентов информационной безопасности.
3.9. Правовые и регуляторные цели – обработка персональных данных осуществляется в целях выполнения требований законодательства РФ. Например, хранение бухгалтерских документов, содержащих персональные данные (кассовых чеков с ФИО покупателя, платежных поручений), в течение установленного законом срока; предоставление персональных данных по законному требованию государственных органов (например, суда, органов дознания, налоговых органов, Роскомнадзора) в предусмотренных законом случаях. Цель – соблюдение обязательных норм права и обеспечение возможности правовой защиты прав Оператора в случае споров.
3.10. Публикация отзывов, достижений и материалов Пользователей – с предварительного отдельного согласия субъекта данных (см. пункт 5.6)
Оператор может обрабатывать персональные данные Пользователя для публичного размещения: публикации отзыва о курсе на Сайте, демонстрации результатов обучения (например, работ или проектов выпускников) на Сайте или в социальных сетях, размещения имени и изображения Пользователя в числе лучших студентов, публикации полученного Пользователем сертификата об окончании курса и т.п. Цель такой обработки – продвижение услуг Оператора, подтверждение качества обучения и достижений учеников, формирование сообщества выпускников. При этом без согласия Пользователя такие данные не обнародуются.
3.11. Иные цели с согласия субъекта – Оператор вправе обрабатывать персональные данные и для других целей, непосредственно не указанных выше, только при наличии дополнительного согласия Пользователя на каждую такую конкретную цель (если такая обработка не подпадает под иные законные основания, указанные в разделе 4). В случае необходимости расширения целей обработки Оператор заранее запрашивает соответствующее согласие у субъектов ПДн.
4. Правовые основания обработки
Оператор осуществляет обработку персональных данных на законных основаниях. В зависимости от ситуации, в качестве правовых оснований используются следующие положения закона:
4.1. Согласие субъекта персональных данных – основным правовым основанием является свободно выраженное, конкретное, информированное и сознательное согласие Пользователя на обработку его персональных данных (ст.9 Федерального закона No 152-ФЗ). Пользователь даёт Оператору согласие на все действия с ПДн, перечисленные в Политике, при заполнении соответствующих форм на Сайте, при регистрации или иных активных действиях, означающих выражение согласия[24][3]. Согласие может быть выражено в электронной форме (путём проставления «галочки» под формой или нажатием соответствующей кнопки) либо в письменной форме (если требуется по закону или запрошено Оператором). В тех случаях, когда не применяется иное основание, Оператор обрабатывает персональные данные именно на основании согласия субъекта ПДн[25].
4.2. Заключение и исполнение договора с субъектом ПДн – в соответствии с п.5 ч.1 ст.6 Закона о персональных данных обработка допускается, если она необходима для исполнения договора, стороной которого является субъект ПДн. Многие действия Оператора продиктованы необходимостью оказания
услуг Пользователю по договору оферты (оказания образовательных услуг). Например, обработка данных для доступа к курсу, ведение учёта результатов обучения – всё это осуществляется во исполнение обязательств Оператора по договору обучения. Таким образом, даже при отсутствии отдельного согласия Пользователя Оператор вправе обрабатывать необходимый минимум данных для исполнения договора (но при этом Пользователь добровольно предоставляет эти данные, заключая договор).
4.3. Выполнение требований законодательства – согласно п.2 ч.1 ст.6 Закона No 152-ФЗ обработка ПДн допускается, если она осуществляется во исполнение обязанностей, возложенных на оператора законом или международным договором. Оператор как юридически значимый субъект обязан вести бухгалтерский учёт, налоговую отчётность, соблюдать закон о защите прав потребителей, требования законодательства в области образования (при наличии лицензии или осуществлении образовательной деятельности), требования по хранению данных в РФ и др. В этих целях может потребоваться обработка персональных данных без отдельного согласия – например, хранение данных о платежах 5 лет по закону о бухгалтерском учёте, предоставление сведений по запросу суда. Такая обработка осуществляется строго в рамках требований законодательства РФ.
4.4. Защита жизненно важных интересов субъекта – в исключительных случаях Оператор вправе обработать персональные данные без согласия для защиты жизни, здоровья или иных жизненно важных интересов Пользователя или третьих лиц (п.6 ч.1 ст.6 152-ФЗ). Например, если во время онлайн-занятия Пользователю станет плохо и он сообщит об этом в чат, Оператор может передать его данные экстренным службам. Однако вероятность таких ситуаций крайне мала, и данное основание упоминается формально.
4.5. Осуществление прав и законных интересов Оператора – в соответствии с п.7 ч.1 ст.6 Закона Оператор может обрабатывать персональные данные без согласия, если это необходимо для осуществления прав и законных интересов Оператора либо третьих лиц, при условии что при этом не нарушаются права и свободы субъекта ПДн. Оператор оставляет за собой право на такую обработку в ограниченных случаях: например, видеозапись онлайн-урока с участием Пользователя может храниться для защиты от неправомерных претензий; данные о пользовании сервисом анализируются для предотвращения мошенничества. При этом Оператор будет руководствоваться балансом интересов и не будет нарушать права субъектов. В отношении посетителей Сайта, не заключивших договор и не
зарегистрированных, Оператор также руководствуется своим законным интересом – предоставить информацию о своей деятельности и улучшать сервис (например, используя cookie)[26][27]. Такой законный интерес признаётся правовым основанием обработки, если не затрагивает существенным образом приватность субъекта.
4.6. Иные основания, предусмотренные законодательством – помимо перечисленных, Закон No 152-ФЗ предусматривает и другие случаи, когда персональные данные могут обрабатываться без согласия (например, когда сам субъект ранее сделал данные общедоступными; обработка необходима для статистических или иных научных целей при условии обезличивания; обработка в рамках журналистской деятельности при соблюдении прав субъекта и т.д.). Оператор не планирует осуществлять такие виды обработки в рамках своей онлайн-школы. Если в будущем возникнет необходимость в обработке на каком-либо из этих оснований, Оператор будет действовать строго в рамках закона и обеспечит выполнение всех предусмотренных условий.
4.7. Согласие законного представителя несовершеннолетнего – если Пользователь является несовершеннолетним (младше 18 лет) и при этом требуется обработка его персональных данных, Оператор запрашивает согласие его родителя или иного законного представителя, как того требует законодательство РФ. Законный представитель предоставляет персональные данные ребёнка и свою контактную информацию, подтверждает согласие на обработку данных ребёнка и заключает договор об обучении от имени несовершеннолетнего. Без такого согласия Оператор не будет целенаправленно собирать и использовать данные несовершеннолетних (исключение составляют случаи, прямо разрешенные законом, например, обработка без согласия в целях защиты жизненно важных интересов ребёнка).
4.8. Отдельное согласие на распространение персональных данных – в соответствии с требованиями ст.10.1 Закона No 152-ФЗ, Оператор запрашивает у Пользователя отдельное, явно выраженное согласие на случаи, когда планируется распространение его персональных данных среди неопределённого круга лиц (обнародование на сайте, в социальных сетях, передачу неограниченному кругу лиц). Такое согласие берётся в письменной форме или приравненной к ней электронной форме (например, отдельным чекбоксом c описанием, какие конкретно данные будут опубликованы и где). Без получения данного отдельного согласия Оператор не будет раскрывать персональные данные Пользователя неопределённому кругу лиц[17].
Пользователь вправе установить запрет на распространение отдельных категорий своих данных или определить ограничения и условия для их распространения; Оператор будет строго соблюдать указанные Пользователем условия. Подробнее вопрос распространения ПДн раскрыт в п.5.6 Политики.
Оператор осуществляет обработку персональных данных на законных основаниях. В зависимости от ситуации, в качестве правовых оснований используются следующие положения закона:
4.1. Согласие субъекта персональных данных – основным правовым основанием является свободно выраженное, конкретное, информированное и сознательное согласие Пользователя на обработку его персональных данных (ст.9 Федерального закона No 152-ФЗ). Пользователь даёт Оператору согласие на все действия с ПДн, перечисленные в Политике, при заполнении соответствующих форм на Сайте, при регистрации или иных активных действиях, означающих выражение согласия[24][3]. Согласие может быть выражено в электронной форме (путём проставления «галочки» под формой или нажатием соответствующей кнопки) либо в письменной форме (если требуется по закону или запрошено Оператором). В тех случаях, когда не применяется иное основание, Оператор обрабатывает персональные данные именно на основании согласия субъекта ПДн[25].
4.2. Заключение и исполнение договора с субъектом ПДн – в соответствии с п.5 ч.1 ст.6 Закона о персональных данных обработка допускается, если она необходима для исполнения договора, стороной которого является субъект ПДн. Многие действия Оператора продиктованы необходимостью оказания
услуг Пользователю по договору оферты (оказания образовательных услуг). Например, обработка данных для доступа к курсу, ведение учёта результатов обучения – всё это осуществляется во исполнение обязательств Оператора по договору обучения. Таким образом, даже при отсутствии отдельного согласия Пользователя Оператор вправе обрабатывать необходимый минимум данных для исполнения договора (но при этом Пользователь добровольно предоставляет эти данные, заключая договор).
4.3. Выполнение требований законодательства – согласно п.2 ч.1 ст.6 Закона No 152-ФЗ обработка ПДн допускается, если она осуществляется во исполнение обязанностей, возложенных на оператора законом или международным договором. Оператор как юридически значимый субъект обязан вести бухгалтерский учёт, налоговую отчётность, соблюдать закон о защите прав потребителей, требования законодательства в области образования (при наличии лицензии или осуществлении образовательной деятельности), требования по хранению данных в РФ и др. В этих целях может потребоваться обработка персональных данных без отдельного согласия – например, хранение данных о платежах 5 лет по закону о бухгалтерском учёте, предоставление сведений по запросу суда. Такая обработка осуществляется строго в рамках требований законодательства РФ.
4.4. Защита жизненно важных интересов субъекта – в исключительных случаях Оператор вправе обработать персональные данные без согласия для защиты жизни, здоровья или иных жизненно важных интересов Пользователя или третьих лиц (п.6 ч.1 ст.6 152-ФЗ). Например, если во время онлайн-занятия Пользователю станет плохо и он сообщит об этом в чат, Оператор может передать его данные экстренным службам. Однако вероятность таких ситуаций крайне мала, и данное основание упоминается формально.
4.5. Осуществление прав и законных интересов Оператора – в соответствии с п.7 ч.1 ст.6 Закона Оператор может обрабатывать персональные данные без согласия, если это необходимо для осуществления прав и законных интересов Оператора либо третьих лиц, при условии что при этом не нарушаются права и свободы субъекта ПДн. Оператор оставляет за собой право на такую обработку в ограниченных случаях: например, видеозапись онлайн-урока с участием Пользователя может храниться для защиты от неправомерных претензий; данные о пользовании сервисом анализируются для предотвращения мошенничества. При этом Оператор будет руководствоваться балансом интересов и не будет нарушать права субъектов. В отношении посетителей Сайта, не заключивших договор и не
зарегистрированных, Оператор также руководствуется своим законным интересом – предоставить информацию о своей деятельности и улучшать сервис (например, используя cookie)[26][27]. Такой законный интерес признаётся правовым основанием обработки, если не затрагивает существенным образом приватность субъекта.
4.6. Иные основания, предусмотренные законодательством – помимо перечисленных, Закон No 152-ФЗ предусматривает и другие случаи, когда персональные данные могут обрабатываться без согласия (например, когда сам субъект ранее сделал данные общедоступными; обработка необходима для статистических или иных научных целей при условии обезличивания; обработка в рамках журналистской деятельности при соблюдении прав субъекта и т.д.). Оператор не планирует осуществлять такие виды обработки в рамках своей онлайн-школы. Если в будущем возникнет необходимость в обработке на каком-либо из этих оснований, Оператор будет действовать строго в рамках закона и обеспечит выполнение всех предусмотренных условий.
4.7. Согласие законного представителя несовершеннолетнего – если Пользователь является несовершеннолетним (младше 18 лет) и при этом требуется обработка его персональных данных, Оператор запрашивает согласие его родителя или иного законного представителя, как того требует законодательство РФ. Законный представитель предоставляет персональные данные ребёнка и свою контактную информацию, подтверждает согласие на обработку данных ребёнка и заключает договор об обучении от имени несовершеннолетнего. Без такого согласия Оператор не будет целенаправленно собирать и использовать данные несовершеннолетних (исключение составляют случаи, прямо разрешенные законом, например, обработка без согласия в целях защиты жизненно важных интересов ребёнка).
4.8. Отдельное согласие на распространение персональных данных – в соответствии с требованиями ст.10.1 Закона No 152-ФЗ, Оператор запрашивает у Пользователя отдельное, явно выраженное согласие на случаи, когда планируется распространение его персональных данных среди неопределённого круга лиц (обнародование на сайте, в социальных сетях, передачу неограниченному кругу лиц). Такое согласие берётся в письменной форме или приравненной к ней электронной форме (например, отдельным чекбоксом c описанием, какие конкретно данные будут опубликованы и где). Без получения данного отдельного согласия Оператор не будет раскрывать персональные данные Пользователя неопределённому кругу лиц[17].
Пользователь вправе установить запрет на распространение отдельных категорий своих данных или определить ограничения и условия для их распространения; Оператор будет строго соблюдать указанные Пользователем условия. Подробнее вопрос распространения ПДн раскрыт в п.5.6 Политики.
5. Передача персональных данных третьим лицам
5.1. Оператор обеспечивает конфиденциальность персональных данных и не раскрывает их третьим лицам без законных оснований. Передача персональных данных третьим сторонам осуществляется только с согласия субъекта ПДн либо при наличии иного законного основания (например, требование закона или запроса уполномоченного органа). Во всех случаях передачи Оператор соблюдает принцип минимальности: передаются лишь те данные, которые необходимы для достижения конкретной цели, и только тем лицам, которым необходимо их получить.
5.2. Лица, непосредственно участвующие в обработке от имени Оператора (обработчики): Оператор может поручать обработку персональных данных отдельным компаниям по договору, оставаясь при этом ответственным за их защиту. Такие компании-обработчики действуют на основании договора с Оператором и его прямого поручения (ст.6 ч.3 152-ФЗ), обязаны соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке[28][29]. К числу обработчиков, привлекаемых Оператором, относятся:
Платформа Tilda Publishing – сервис, на базе которого создан и размещён Сайт proznau.ru. Администратором данной платформы является ООО «Тильда Publishing» (адрес: РФ, г. Москва; ИНН 7704331309, ОГРН 1157746449270) либо аффилированное лицо. Tilda предоставляет инфраструктуру для размещения веб-страниц и форм. Персональные данные, вводимые Пользователями в формы на Сайте, хранятся на серверах Tilda. Tilda действует по поручению Оператора как лицо, осуществляющее обработку ПДн в объёме, необходимом для функционирования Сайта. В договоре с Tilda предусмотрены все требования к защите данных и обеспечению конфиденциальности, включая хранение баз данных на территории РФ[30]. Администрация Tilda не использует данные Пользователей в своих целях и не передаёт их третьим лицам, кроме случаев обработки по общим правилам Политики Tilda (например, для хранения резервных копий, либо по
требованию закона). Подробнее о политике конфиденциальности Tilda можно узнать на их официальном сайте.
Образовательная платформа Impulse LMS – внешняя онлайн-платформа, используемая Оператором для организации обучения (размещения курсов, материалов, ведения прогресса) по адресу proznau.impulse-lms.com. Оператор заключил соглашение с провайдером данной платформы (российская компания, предоставляющая LMS «Импульс» общество с ограниченной ответственностью "Импульс"108808, город Москва, п Первомайское, Центральная ул, д. 32, подв. 3а, ИНН 7720475650 ОГРН 1197746464574), в рамках которого провайдер выступает обработчиком персональных данных, полученных от Оператора. Серверы платформы расположены на территории РФ, и провайдер обеспечивает выполнение требований по защите данных (шифрование, контроль доступа и т.д.). Данные Пользователей (профили, результаты обучения и проч.) хранятся в базе LMS и обрабатываются автоматически функционалом платформы по указанию Оператора. Провайдер не имеет права разглашать или использовать эти данные вне отношений с Оператором. Таким образом, Impulse LMS выступает техническим оператором (обработчиком), обеспечивая инструменты для обработки ПДн, а Оператор определяет цели и осуществляет основное управление этими данными.
Прочие лица, привлечённые по договору поручения – Оператор может привлечь для обработки ПДн и другие организации, если это необходимо для функционирования сервиса: например, ИТ- подрядчики для поддержки сайта и баз данных, службы рассылки для отправки писем (при этом может обрабатываться адрес электронной почты), маркетинговые агентства для проведения опросов удовлетворённости и рекламы (обрабатываются обезличенные или минимально необходимые контактные данные), курьерские службы (если потребуется доставка материалов – обработка имени и адреса доставки) и т.п. В каждом случае Оператор заключает соглашение, обязывающее подрядчика хранить персональные данные в тайне, использовать их строго по назначению и обеспечивать их защиту.
5.3. Передача данных при оплате услуг (платёжные системы): Для приёма онлайн-платежей за обучение Оператор использует сторонние платёжные сервисы. В процессе оплаты Пользователь автоматически перенаправляется на защищённые платёжные страницы этих сервисов, где вводит необходимые платёжные данные. Персональные данные Пользователя (как плательщика)
передаются указанным сервисам в объёме, требуемом для проведения платёжной транзакции и (если применимо) оформления рассрочки. Такие сервисы выступают самостоятельными операторами персональных данных в части, касающейся обработки платёжной информации, и несут самостоятельные обязательства по защите данных на основании федеральных законов о банковской деятельности, НПС и т.д. Оператор передаёт им данные на основании согласия Пользователя и/или в рамках исполнения договора (оплата как часть договора). В числе привлечённых платёжных сервисов:
Сервисы рассрочки «Яндекс Сплит» и «Долями» – Оператор предоставляет Пользователям возможность оплаты обучения частями (в рассрочку) через современные BNPL-сервисы: «Яндекс Сплит» (сервис экосистемы Яндекс) и «Долями» (сервис Тинькофф Банка)[31][32]. При выборе такого способа оплаты Пользователь перенаправляется на специализированный интерфейс сервиса рассрочки. Эти сервисы осуществляют проверку платёжеспособности Пользователя и делят платёж на несколько частей без переплаты (при соблюдении условий). Яндекс Сплит – при оформлении рассрочки Пользователь указывает номер телефона, привязанный к банковской карте, и подтверждает списание частями; сервис может запросить ФИО, паспортные данные и дату рождения для скоринга (если того требует партнёр-банк). Управление рассрочкой «Сплит» осуществляет организация экосистемы Яндекс (например, АО «Яндекс Банк» или партнёрская кредитная организация). «Долями» (Т-Банк) – сервис Тинькофф, делящий платёж на 4 части без процентов[33][34]. Для оформления рассрочки «Долями» Пользователю также нужен только номер телефона и привязанная карта; далее списание части суммы происходит сразу, а оставшиеся части – каждые две недели. Если требуется, Тинькофф Банк может запросить дополнительные данные (паспорт, ИНН) для принятия решения о рассрочке. Роли этих сервисов: они выступают отдельными операторами персональных данных, поскольку самостоятельно
определяют объем необходимых данных и цель (предоставление рассрочки – фактически кредитование). Оператор в данном случае лишь переадресует Пользователя в сервис, передавая минимально необходимые данные о заказе (сумма, идентификатор заказа). Все персональные данные, которые Пользователь вводит в интерфейсе «Яндекс Сплит» или «Долями», поступают напрямую соответствующему сервису и подчиняются его политике конфиденциальности. Оператор получает только информацию об одобрении или отказе в рассрочке и о последующих платежах (факт оплаты частей). Оператор обязуется не разглашать третьим лицам информацию о том, воспользовался ли Пользователь рассрочкой, за исключением самого факта оплаты.
Рассрочка Тинькофф Банка по карте – помимо сервисов BNPL, некоторые Пользователи могут использовать опцию рассрочки по своей кредитной карте (например, программа рассрочки от Тинькофф). В таком случае взаимодействие идет напрямую между Пользователем и Банком-эмитентом карты; Оператор не обрабатывает никаких дополнительных данных, кроме тех, что обычно при эквайринге.
Во всех вышеуказанных случаях Оператор не осуществляет самостоятельной обработки чувствительных платёжных данных (данных карт, CVV, паролей 3-D Secure и т.п.) – это делают платёжные партнеры. Оператор передает указанным партнёрам только данные, необходимые для идентификации платежа (No заказа, сумма, ФИО/емейл для чека), а получает – подтверждение операции. Платёжные партнеры гарантируют соблюдение ими требований закона о персональных данных при обработке сведений о Пользователях.
5.4. Передача данных в социальные сети (авторизация и виджеты): Оператор встроил на Сайт и Платформу сервис авторизации через VK ID (социальная сеть «ВКонтакте»). При использовании данной функции часть данных Пользователя из VK передается Оператору (см. п.2.3). Кроме того, на Сайте могут быть установлены пиксели или плагины социальных сетей (VK, Facebook, др.) для интеграции с соцсетями – например, кнопка «Поделиться», виджет сообщества или пиксель сбора статистики конверсий. Эти плагины могут собирать IP-адрес Пользователя, информацию о браузере, файлы cookie, а также факт посещения Сайта и передавать в соответствующую социальную сеть. Оператор использует такие технологии исключительно для законных маркетинговых целей (ретаргетинг рекламы в соцсетях на посетителей Сайта) и не получает от соцсетей персональных данных конкретных пользователей в явном виде – только агрегированные отчёты. Пользователь, желающий
избежать такой передачи, может отключить cookie или соответствующие настройки в аккаунтах соцсетей.
5.5. Передача по требованию закона: Оператор может предоставить персональные данные Пользователя государственным органам в случаях, прямо предусмотренных законодательством. Например, по мотивированному запросу суда, следственных органов – в объёме, который запрошен и дозволен законом (ст. 6 ч.1 п.4 152-ФЗ). Также сведения могут быть переданы по запросу уполномоченного федерального органа исполнительной власти по защите прав субъектов ПДн (Роскомнадзор) в рамках проверки либо по требованию иных регулирующих организаций, если того требуют нормативные акты. Вне таких случаев Оператор не предоставляет персональные данные никаким государственным или иным третьим лицам.
5.6. Распространение персональных данных (публичное размещение): Оператор осуществляет публичное раскрытие персональных данных Пользователя (размещение на Сайте, в общедоступном разделе Платформы или на страницах Оператора в социальных сетях) только с предварительного отдельного согласия самого Пользователя на распространение его данных[17]. Такое согласие оформляется отдельно от основного согласия на обработку – как того требует действующий закон – и фиксирует, какие именно данные Пользователя могут быть обнародованы и в каких источниках. Типичные случаи распространения данных в деятельности Оператора: размещение отзыва Пользователя о прохождении курса (с указанием его имени, города, возможно фотографией); публикация фото или видео с мероприятия с участием Пользователя; размещение работы или проекта Пользователя (например, рисунка, созданного на курсе) вместе с его именем; поздравление с достижением (победой в конкурсе) с именем и фотографией; демонстрация выданного Пользователю сертификата об обучении (с именем). В каждом таком случае Оператор заранее запрашивает у Пользователя (или у его законного представителя, если это ребёнок) разрешение на распространение конкретных данных. Без такого разрешения Оператор не будет размещать личные сведения (ФИО, изображения и пр.) Пользователя в открытом доступе. Если согласие на распространение было получено, Пользователь всё равно сохраняет право его отозвать в любой момент (см. п.7.4). В случае отзыва согласия на распространение Оператор обязуется прекратить дальнейшее обнародование данных и, где это возможно, удалить уже размещенные сведения (например, убрать отзыв с сайта, удалить пост из соцсети). Пользователь понимает, что полное удаление информации из интернета может быть затруднительным, если, к примеру,
информация была кем-то скопирована или переопубликована, однако Оператор со своей стороны предпримет все возможные меры для удаления данных по первому требованию субъекта.
5.7. Трансграничная передача: Как указано в п.1.8, Оператор не осуществляет трансграничную передачу персональных данных. Все полученные данные хранятся и обрабатываются внутри Российской Федерации. Оператор не размещает данные на хостингах за рубежом и не пользуется иностранными облачными сервисами для хранения ПДн, если это повлечёт вывод данных за пределы РФ. Если в исключительном случае потребуется трансграничная передача (например, по просьбе Пользователя, находящегося за границей, передать его данные образовательному партнеру за рубежом), Оператор будет обязан сначала убедиться, что страна-получатель обеспечивает адекватную защиту прав субъектов ПДн, либо получить письменное согласие Пользователя на такую трансграничную передачу, как того требует ст.12 Закона No 152-ФЗ.
5.1. Оператор обеспечивает конфиденциальность персональных данных и не раскрывает их третьим лицам без законных оснований. Передача персональных данных третьим сторонам осуществляется только с согласия субъекта ПДн либо при наличии иного законного основания (например, требование закона или запроса уполномоченного органа). Во всех случаях передачи Оператор соблюдает принцип минимальности: передаются лишь те данные, которые необходимы для достижения конкретной цели, и только тем лицам, которым необходимо их получить.
5.2. Лица, непосредственно участвующие в обработке от имени Оператора (обработчики): Оператор может поручать обработку персональных данных отдельным компаниям по договору, оставаясь при этом ответственным за их защиту. Такие компании-обработчики действуют на основании договора с Оператором и его прямого поручения (ст.6 ч.3 152-ФЗ), обязаны соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке[28][29]. К числу обработчиков, привлекаемых Оператором, относятся:
Платформа Tilda Publishing – сервис, на базе которого создан и размещён Сайт proznau.ru. Администратором данной платформы является ООО «Тильда Publishing» (адрес: РФ, г. Москва; ИНН 7704331309, ОГРН 1157746449270) либо аффилированное лицо. Tilda предоставляет инфраструктуру для размещения веб-страниц и форм. Персональные данные, вводимые Пользователями в формы на Сайте, хранятся на серверах Tilda. Tilda действует по поручению Оператора как лицо, осуществляющее обработку ПДн в объёме, необходимом для функционирования Сайта. В договоре с Tilda предусмотрены все требования к защите данных и обеспечению конфиденциальности, включая хранение баз данных на территории РФ[30]. Администрация Tilda не использует данные Пользователей в своих целях и не передаёт их третьим лицам, кроме случаев обработки по общим правилам Политики Tilda (например, для хранения резервных копий, либо по
требованию закона). Подробнее о политике конфиденциальности Tilda можно узнать на их официальном сайте.
Образовательная платформа Impulse LMS – внешняя онлайн-платформа, используемая Оператором для организации обучения (размещения курсов, материалов, ведения прогресса) по адресу proznau.impulse-lms.com. Оператор заключил соглашение с провайдером данной платформы (российская компания, предоставляющая LMS «Импульс» общество с ограниченной ответственностью "Импульс"108808, город Москва, п Первомайское, Центральная ул, д. 32, подв. 3а, ИНН 7720475650 ОГРН 1197746464574), в рамках которого провайдер выступает обработчиком персональных данных, полученных от Оператора. Серверы платформы расположены на территории РФ, и провайдер обеспечивает выполнение требований по защите данных (шифрование, контроль доступа и т.д.). Данные Пользователей (профили, результаты обучения и проч.) хранятся в базе LMS и обрабатываются автоматически функционалом платформы по указанию Оператора. Провайдер не имеет права разглашать или использовать эти данные вне отношений с Оператором. Таким образом, Impulse LMS выступает техническим оператором (обработчиком), обеспечивая инструменты для обработки ПДн, а Оператор определяет цели и осуществляет основное управление этими данными.
Прочие лица, привлечённые по договору поручения – Оператор может привлечь для обработки ПДн и другие организации, если это необходимо для функционирования сервиса: например, ИТ- подрядчики для поддержки сайта и баз данных, службы рассылки для отправки писем (при этом может обрабатываться адрес электронной почты), маркетинговые агентства для проведения опросов удовлетворённости и рекламы (обрабатываются обезличенные или минимально необходимые контактные данные), курьерские службы (если потребуется доставка материалов – обработка имени и адреса доставки) и т.п. В каждом случае Оператор заключает соглашение, обязывающее подрядчика хранить персональные данные в тайне, использовать их строго по назначению и обеспечивать их защиту.
5.3. Передача данных при оплате услуг (платёжные системы): Для приёма онлайн-платежей за обучение Оператор использует сторонние платёжные сервисы. В процессе оплаты Пользователь автоматически перенаправляется на защищённые платёжные страницы этих сервисов, где вводит необходимые платёжные данные. Персональные данные Пользователя (как плательщика)
передаются указанным сервисам в объёме, требуемом для проведения платёжной транзакции и (если применимо) оформления рассрочки. Такие сервисы выступают самостоятельными операторами персональных данных в части, касающейся обработки платёжной информации, и несут самостоятельные обязательства по защите данных на основании федеральных законов о банковской деятельности, НПС и т.д. Оператор передаёт им данные на основании согласия Пользователя и/или в рамках исполнения договора (оплата как часть договора). В числе привлечённых платёжных сервисов:
- ЮKassa (платёжный агрегатор, ранее «Яндекс.Касса») – обеспечивает приём платежей банковскими картами и другими способами для ИП и организаций. Оператор заключил договор с ООО НКО «ЮМани» (оператор сервиса ЮKassa) для приёма оплаты. При переходе на страницу ЮKassa передаются/указываются: сумма платежа, номер заказа или идентификатор плательщика, а также контактные данные плательщика (имя, email, телефон) – для выдачи электронного чека и уведомлений. Непосредственно реквизиты карты (номер, CVV) Пользователь вводит на стороне ЮKassa, и эти данные обрабатываются ЮKassa как оператором платёжных данных. ЮKassa может выступать как обработчик по поручению (принимая платёж от имени Оператора) и одновременно как самостоятельный оператор финансовых персональных данных (в части, требуемой законодательством о НКО и противодействии мошенничеству). ЮKassa получает доступ к таким данным Пользователя, как: ФИО плательщика, реквизиты банковской карты, сумма и назначение платежа, адрес электронной почты, телефон. Эти данные обрабатываются исключительно для проведения платежа, возможной проверки операции и выполнения требований 54-ФЗ (формирование кассового чека). ЮKassa не передает эти данные Оператору за исключением информации о статусе платежа и необходимых идентификаторов (например, успешный платёж, сумма, маскированный номер карты). У ЮKassa заключены все необходимые соглашения с Оператором, включая соглашение о защите ПДн, а также имеются сертификаты соответствия стандартам безопасности PCI DSS, что гарантирует безопасную обработку платёжной информации.
- Эквайринг Тинькофф Банка (АО «Тинькофф Банк») – Оператор использует интернет-эквайринг данного банка в качестве альтернативного или дополнительного способа приёма платежей. При выборе оплаты через Тинькофф, Пользователь может быть
Сервисы рассрочки «Яндекс Сплит» и «Долями» – Оператор предоставляет Пользователям возможность оплаты обучения частями (в рассрочку) через современные BNPL-сервисы: «Яндекс Сплит» (сервис экосистемы Яндекс) и «Долями» (сервис Тинькофф Банка)[31][32]. При выборе такого способа оплаты Пользователь перенаправляется на специализированный интерфейс сервиса рассрочки. Эти сервисы осуществляют проверку платёжеспособности Пользователя и делят платёж на несколько частей без переплаты (при соблюдении условий). Яндекс Сплит – при оформлении рассрочки Пользователь указывает номер телефона, привязанный к банковской карте, и подтверждает списание частями; сервис может запросить ФИО, паспортные данные и дату рождения для скоринга (если того требует партнёр-банк). Управление рассрочкой «Сплит» осуществляет организация экосистемы Яндекс (например, АО «Яндекс Банк» или партнёрская кредитная организация). «Долями» (Т-Банк) – сервис Тинькофф, делящий платёж на 4 части без процентов[33][34]. Для оформления рассрочки «Долями» Пользователю также нужен только номер телефона и привязанная карта; далее списание части суммы происходит сразу, а оставшиеся части – каждые две недели. Если требуется, Тинькофф Банк может запросить дополнительные данные (паспорт, ИНН) для принятия решения о рассрочке. Роли этих сервисов: они выступают отдельными операторами персональных данных, поскольку самостоятельно
определяют объем необходимых данных и цель (предоставление рассрочки – фактически кредитование). Оператор в данном случае лишь переадресует Пользователя в сервис, передавая минимально необходимые данные о заказе (сумма, идентификатор заказа). Все персональные данные, которые Пользователь вводит в интерфейсе «Яндекс Сплит» или «Долями», поступают напрямую соответствующему сервису и подчиняются его политике конфиденциальности. Оператор получает только информацию об одобрении или отказе в рассрочке и о последующих платежах (факт оплаты частей). Оператор обязуется не разглашать третьим лицам информацию о том, воспользовался ли Пользователь рассрочкой, за исключением самого факта оплаты.
Рассрочка Тинькофф Банка по карте – помимо сервисов BNPL, некоторые Пользователи могут использовать опцию рассрочки по своей кредитной карте (например, программа рассрочки от Тинькофф). В таком случае взаимодействие идет напрямую между Пользователем и Банком-эмитентом карты; Оператор не обрабатывает никаких дополнительных данных, кроме тех, что обычно при эквайринге.
Во всех вышеуказанных случаях Оператор не осуществляет самостоятельной обработки чувствительных платёжных данных (данных карт, CVV, паролей 3-D Secure и т.п.) – это делают платёжные партнеры. Оператор передает указанным партнёрам только данные, необходимые для идентификации платежа (No заказа, сумма, ФИО/емейл для чека), а получает – подтверждение операции. Платёжные партнеры гарантируют соблюдение ими требований закона о персональных данных при обработке сведений о Пользователях.
5.4. Передача данных в социальные сети (авторизация и виджеты): Оператор встроил на Сайт и Платформу сервис авторизации через VK ID (социальная сеть «ВКонтакте»). При использовании данной функции часть данных Пользователя из VK передается Оператору (см. п.2.3). Кроме того, на Сайте могут быть установлены пиксели или плагины социальных сетей (VK, Facebook, др.) для интеграции с соцсетями – например, кнопка «Поделиться», виджет сообщества или пиксель сбора статистики конверсий. Эти плагины могут собирать IP-адрес Пользователя, информацию о браузере, файлы cookie, а также факт посещения Сайта и передавать в соответствующую социальную сеть. Оператор использует такие технологии исключительно для законных маркетинговых целей (ретаргетинг рекламы в соцсетях на посетителей Сайта) и не получает от соцсетей персональных данных конкретных пользователей в явном виде – только агрегированные отчёты. Пользователь, желающий
избежать такой передачи, может отключить cookie или соответствующие настройки в аккаунтах соцсетей.
5.5. Передача по требованию закона: Оператор может предоставить персональные данные Пользователя государственным органам в случаях, прямо предусмотренных законодательством. Например, по мотивированному запросу суда, следственных органов – в объёме, который запрошен и дозволен законом (ст. 6 ч.1 п.4 152-ФЗ). Также сведения могут быть переданы по запросу уполномоченного федерального органа исполнительной власти по защите прав субъектов ПДн (Роскомнадзор) в рамках проверки либо по требованию иных регулирующих организаций, если того требуют нормативные акты. Вне таких случаев Оператор не предоставляет персональные данные никаким государственным или иным третьим лицам.
5.6. Распространение персональных данных (публичное размещение): Оператор осуществляет публичное раскрытие персональных данных Пользователя (размещение на Сайте, в общедоступном разделе Платформы или на страницах Оператора в социальных сетях) только с предварительного отдельного согласия самого Пользователя на распространение его данных[17]. Такое согласие оформляется отдельно от основного согласия на обработку – как того требует действующий закон – и фиксирует, какие именно данные Пользователя могут быть обнародованы и в каких источниках. Типичные случаи распространения данных в деятельности Оператора: размещение отзыва Пользователя о прохождении курса (с указанием его имени, города, возможно фотографией); публикация фото или видео с мероприятия с участием Пользователя; размещение работы или проекта Пользователя (например, рисунка, созданного на курсе) вместе с его именем; поздравление с достижением (победой в конкурсе) с именем и фотографией; демонстрация выданного Пользователю сертификата об обучении (с именем). В каждом таком случае Оператор заранее запрашивает у Пользователя (или у его законного представителя, если это ребёнок) разрешение на распространение конкретных данных. Без такого разрешения Оператор не будет размещать личные сведения (ФИО, изображения и пр.) Пользователя в открытом доступе. Если согласие на распространение было получено, Пользователь всё равно сохраняет право его отозвать в любой момент (см. п.7.4). В случае отзыва согласия на распространение Оператор обязуется прекратить дальнейшее обнародование данных и, где это возможно, удалить уже размещенные сведения (например, убрать отзыв с сайта, удалить пост из соцсети). Пользователь понимает, что полное удаление информации из интернета может быть затруднительным, если, к примеру,
информация была кем-то скопирована или переопубликована, однако Оператор со своей стороны предпримет все возможные меры для удаления данных по первому требованию субъекта.
5.7. Трансграничная передача: Как указано в п.1.8, Оператор не осуществляет трансграничную передачу персональных данных. Все полученные данные хранятся и обрабатываются внутри Российской Федерации. Оператор не размещает данные на хостингах за рубежом и не пользуется иностранными облачными сервисами для хранения ПДн, если это повлечёт вывод данных за пределы РФ. Если в исключительном случае потребуется трансграничная передача (например, по просьбе Пользователя, находящегося за границей, передать его данные образовательному партнеру за рубежом), Оператор будет обязан сначала убедиться, что страна-получатель обеспечивает адекватную защиту прав субъектов ПДн, либо получить письменное согласие Пользователя на такую трансграничную передачу, как того требует ст.12 Закона No 152-ФЗ.
6. Сроки обработки и хранения персональных данных
6.1. Оператор обрабатывает персональные данные Пользователей не дольше, чем этого требуют цели обработки, указанные в настоящей Политике, или предусмотрено действующим законодательством. Срок хранения персональных данных зависит от категории данных и целей их обработки.
6.2. Данные аккаунта и обучения: Персональные данные, связанные с регистрацией на Платформе LMS и прохождением обучения (учётная запись, результаты обучения, переписка в системе), хранятся в течение всего периода использования Пользователем услуг Оператора. Учетная запись и связанные с ней данные активны, пока Пользователь проходит обучение и пользуется Личным кабинетом. После завершения обучения и при отсутствии активности со стороны Пользователя более 3 (трёх) лет подряд, Оператор вправе удалить или обезличить персональные данные такого Пользователя, если иное не требуется законом. Указанный срок в 3 года соотносится со сроком возможного возобновления обучения или обращения за повторной услугой. Если Пользователь возобновляет пользование услугами (например, записывается на новый курс) до истечения 3-летнего срока, отсчёт срока хранения начинается заново с даты последнего взаимодействия.
6.3. Договорные и платежные данные: Персональные данные, содержащиеся в договорах, счетах, актах, кассовых чеках и иных финансовых документах, хранятся Оператором в течение срока, установленного
законодательством о бухгалтерском учёте и налогах – как правило, не менее 5 лет после отчетного года, к которому они относятся. Например, сведения о платеже (ФИО плательщика, сумма, дата) будут храниться не менее 5 лет с момента совершения оплаты, поскольку это требуется для налоговой и бухгалтерской отчетности. Эти данные могут храниться дольше указанного срока, если в отношении них действует продлённый срок исковой давности либо идут проверки/рассмотрения (например, если 5-летний срок истекает во время налоговой проверки, документы хранятся до её окончания). После окончания обязательного срока хранения такие данные подлежат уничтожению либо обезличиванию.
6.4. Данные для маркетинга (рассылки): Контактные данные, используемые для рассылок и информирования о новых услугах (email, телефон), обрабатываются до тех пор, пока действует согласие Пользователя на получение соответствующих рассылок. Если Пользователь отзывает согласие или отписывается от рассылки, Оператор обязуется немедленно прекратить использование его контактных данных в этих целях (но может сохранить факт первоначального согласия и отписки в журнале для отчётности). При отсутствии активных действий Пользователя (например, ни одного открытия письма, никаких записей на курсы) свыше 3 лет, Оператор может удалить его контакты из базы рассылки, как неактивные.
6.5. Логи и технические данные: Автоматически собираемые технические данные (логи серверов, журналы посещений) хранятся в течение времени, необходимого для цели, с которой они собираются. Обычно сырые логи веб- сервера хранятся не более 1 года. Обезличенные сводные статистические данные могут храниться дольше (несколько лет) в архиве для анализа динамики развития сервиса, при этом они не содержат персональных данных. Файлы cookie хранятся на устройстве Пользователя столько, сколько указано в их параметрах, либо до удаления Пользователем (типичные сроки cookie для аналитики – от сессии до 1-2 лет).
6.6. Правила исчисления сроков: Срок хранения персональных данных отсчитывается с даты получения данных или с момента последнего обновления/использования данных. Каждый раз, когда Пользователь совершает значимое действие (например, повторно соглашается на обработку, проходит новый курс, обновляет информацию), период хранения соответствующих данных продлевается до указанного предела.
6.7. Хранение по закону и в случае споров: Независимо от вышеперечисленных сроков, Оператор вправе хранить персональные данные
дольше, если это необходимо в рамках неурегулированного спора с Пользователем, для осуществления правосудия, либо если дальнейшее хранение прямо предписано законом. Например, если Пользователь подал Оператору претензию, данные, относящиеся к предмету претензии, могут храниться до окончательного урегулирования, даже если общий срок подошёл к концу.
6.8. По достижении целей обработки или при наступлении иных условий (истечение сроков хранения, отзыв согласия при отсутствии иных оснований обработки) персональные данные подлежат уничтожению либо обезличиванию. Уничтожение представляет собой полное стирание или физическое удаление записей, а обезличивание – изменение данных таким образом, что определить субъекта более невозможно. Оператор формирует акт об уничтожении персональных данных, если это требуется внутренними регламентами или запросом субъекта. Обезличенные данные могут использоваться Оператором в статистических или исследовательских целях бессрочно, поскольку они не относятся к персональным данным.
6.9. Факт истечения срока хранения сам по себе не является основанием для немедленного удаления, если существует действующее согласие Пользователя или иное актуальное основание для продолжения обработки. Оператор периодически (не реже 1 раза в год) проводит проверку актуальности хранящихся персональных данных и уничтожает данные, дальнейшая обработка которых не соответствует ни одной законной цели.
6.1. Оператор обрабатывает персональные данные Пользователей не дольше, чем этого требуют цели обработки, указанные в настоящей Политике, или предусмотрено действующим законодательством. Срок хранения персональных данных зависит от категории данных и целей их обработки.
6.2. Данные аккаунта и обучения: Персональные данные, связанные с регистрацией на Платформе LMS и прохождением обучения (учётная запись, результаты обучения, переписка в системе), хранятся в течение всего периода использования Пользователем услуг Оператора. Учетная запись и связанные с ней данные активны, пока Пользователь проходит обучение и пользуется Личным кабинетом. После завершения обучения и при отсутствии активности со стороны Пользователя более 3 (трёх) лет подряд, Оператор вправе удалить или обезличить персональные данные такого Пользователя, если иное не требуется законом. Указанный срок в 3 года соотносится со сроком возможного возобновления обучения или обращения за повторной услугой. Если Пользователь возобновляет пользование услугами (например, записывается на новый курс) до истечения 3-летнего срока, отсчёт срока хранения начинается заново с даты последнего взаимодействия.
6.3. Договорные и платежные данные: Персональные данные, содержащиеся в договорах, счетах, актах, кассовых чеках и иных финансовых документах, хранятся Оператором в течение срока, установленного
законодательством о бухгалтерском учёте и налогах – как правило, не менее 5 лет после отчетного года, к которому они относятся. Например, сведения о платеже (ФИО плательщика, сумма, дата) будут храниться не менее 5 лет с момента совершения оплаты, поскольку это требуется для налоговой и бухгалтерской отчетности. Эти данные могут храниться дольше указанного срока, если в отношении них действует продлённый срок исковой давности либо идут проверки/рассмотрения (например, если 5-летний срок истекает во время налоговой проверки, документы хранятся до её окончания). После окончания обязательного срока хранения такие данные подлежат уничтожению либо обезличиванию.
6.4. Данные для маркетинга (рассылки): Контактные данные, используемые для рассылок и информирования о новых услугах (email, телефон), обрабатываются до тех пор, пока действует согласие Пользователя на получение соответствующих рассылок. Если Пользователь отзывает согласие или отписывается от рассылки, Оператор обязуется немедленно прекратить использование его контактных данных в этих целях (но может сохранить факт первоначального согласия и отписки в журнале для отчётности). При отсутствии активных действий Пользователя (например, ни одного открытия письма, никаких записей на курсы) свыше 3 лет, Оператор может удалить его контакты из базы рассылки, как неактивные.
6.5. Логи и технические данные: Автоматически собираемые технические данные (логи серверов, журналы посещений) хранятся в течение времени, необходимого для цели, с которой они собираются. Обычно сырые логи веб- сервера хранятся не более 1 года. Обезличенные сводные статистические данные могут храниться дольше (несколько лет) в архиве для анализа динамики развития сервиса, при этом они не содержат персональных данных. Файлы cookie хранятся на устройстве Пользователя столько, сколько указано в их параметрах, либо до удаления Пользователем (типичные сроки cookie для аналитики – от сессии до 1-2 лет).
6.6. Правила исчисления сроков: Срок хранения персональных данных отсчитывается с даты получения данных или с момента последнего обновления/использования данных. Каждый раз, когда Пользователь совершает значимое действие (например, повторно соглашается на обработку, проходит новый курс, обновляет информацию), период хранения соответствующих данных продлевается до указанного предела.
6.7. Хранение по закону и в случае споров: Независимо от вышеперечисленных сроков, Оператор вправе хранить персональные данные
дольше, если это необходимо в рамках неурегулированного спора с Пользователем, для осуществления правосудия, либо если дальнейшее хранение прямо предписано законом. Например, если Пользователь подал Оператору претензию, данные, относящиеся к предмету претензии, могут храниться до окончательного урегулирования, даже если общий срок подошёл к концу.
6.8. По достижении целей обработки или при наступлении иных условий (истечение сроков хранения, отзыв согласия при отсутствии иных оснований обработки) персональные данные подлежат уничтожению либо обезличиванию. Уничтожение представляет собой полное стирание или физическое удаление записей, а обезличивание – изменение данных таким образом, что определить субъекта более невозможно. Оператор формирует акт об уничтожении персональных данных, если это требуется внутренними регламентами или запросом субъекта. Обезличенные данные могут использоваться Оператором в статистических или исследовательских целях бессрочно, поскольку они не относятся к персональным данным.
6.9. Факт истечения срока хранения сам по себе не является основанием для немедленного удаления, если существует действующее согласие Пользователя или иное актуальное основание для продолжения обработки. Оператор периодически (не реже 1 раза в год) проводит проверку актуальности хранящихся персональных данных и уничтожает данные, дальнейшая обработка которых не соответствует ни одной законной цели.
7. Порядок отзыва согласия и удаление персональных данных
7.1. Право на отзыв согласия: Пользователь, ранее давший согласие на обработку своих персональных данных Оператору, вправе в любой момент отозвать это согласие (частично или полностью). Отзыв согласия не влияет на законность обработки, осуществлённой до момента отзыва. Однако после получения отзыва Оператор обязан прекратить дальнейшую обработку тех данных, которые обрабатывались исключительно на основании согласия.
7.2. Способы отзыва согласия: Пользователь может отозвать согласие любым удобным из следующих способов:
- Через интерфейс Личного кабинета на Платформе LMS или Сайте – если такая функция реализована. В частности, Пользователь может удалить свою учётную запись или отключить галочку согласия на обработку ПДн в настройках профиля (если опция предусмотрена)[35]. Факт снятия галочки
системой регистрируется как отзыв согласия с отметкой времени.
- Путём направления официального письменного заявления Оператору по почтовому адресу, указанному в п.1.2 Политики. В заявлении следует указать свои ФИО, идентифицирующие данные (например, email, использованный при регистрации), суть требования (отзыв всех или части согласий) и собственноручную подпись. Такое заявление Пользователь может направить заказным письмом или курьером.
- Путём направления электронного заявления по электронной почте на адрес Оператора (указан в п.1.2) с темы «Отзыв согласия на обработку ПДн». Заявление должно содержать идентифицирующую информацию о Пользователе и чёткое выражение намерения отозвать согласие. Оператор может попросить подтвердить такое заявление ответным письмом, чтобы убедиться, что запрос исходит действительно от субъекта ПДн.
- Путём звонка на контактный номер Оператора (если указан на Сайте) с последующим письменным подтверждением.
7.3. Действия Оператора при отзыве согласия: Получив отзыв согласия, Оператор прекращает обработку соответствующих персональных данных и, если их хранение не требуется в соответствии с законом или иными правовыми основаниями (см. раздел 4), уничтожает данные в течение сроков, установленных законодательством (как правило, не более 30 дней). Если отзыв касается согласия на рассылку или звонки, Оператор прекратит коммуникацию в эти же или ближайшие сутки с момента обработки запроса. Если отзыв касается согласия на обработку, являвшегося единственным основанием обработки (например, Пользователь не является больше клиентом, и все данные держались на согласии), Оператор удалит учетную запись Пользователя и все относящиеся к нему данные, кроме тех, что обязан сохранить для отчетности. О факте выполнения требования (удаления данных) Оператор при желании Пользователя может предоставить уведомление (подтверждение).
7.4. Отзыв согласия на распространение: Пользователь имеет право в любой момент отозвать ранее данное согласие на распространение своих персональных данных (см. п.5.6). Отзыв такого согласия не влияет на обработку данных для внутренних целей Оператора, но требует от Оператора прекратить дальнейшее раскрытие данных неограниченному кругу лиц. После получения отзыва на распространение Оператор обязуется: удалить/скрыть опубликованные на Сайте данные Пользователя; удалить или anonymize посты в социальных сетях Оператора, содержащие персональные данные Пользователя, или, если удаление невозможно (например, пост находится не
под контролем Оператора), то Оператор сделает всё возможное для их удаления (обратится к администратору площадки и т.п.). Также Оператор уведомит всех лиц, которым ранее были раскрыты эти данные (если такие известны и находятся под контролем Оператора, например, партнёры по мероприятию), о том, что согласие отозвано и дальнейшее использование/распространение данных не допускается.
7.5. Удаление учётной записи: Пользователь, прошедший обучение, вправе потребовать удаления своего профиля на Платформе LMS и связанных с ним данных (в том числе результатов обучения). Следует понимать, что удаление профиля приведёт к невозможности продолжить обучение или восстановить сертификаты. Если Пользователь настаивает, Оператор выполнит удаление (за исключением информации, которую обязан хранить по закону). Удаление аккаунта рассматривается как отзыв согласия на обработку всех данных, предоставленных через этот аккаунт.
7.6. Ограничение обработки: Вместо полного удаления данных Пользователь может потребовать от Оператора временно заблокировать обработку своих персональных данных (например, если считает, что обработка осуществляется незаконно или данные неточны и требуют проверки). В этом случае Оператор приостанавливает операции с данными (кроме хранения) и проводит необходимую проверку. В дальнейшем данные либо удаляются, либо возобновляется их обработка при устранении причины ограничения.
7.7. Отказ от маркетинговой рассылки: Каждый электронный информационный или рекламный выпуск, направляемый Оператором, содержит действующую ссылку для отписки. Пользователь может нажать её и подтвердить отказ от дальнейших писем – это автоматически прекратит рассылку на его адрес. Аналогично, для отписки от SMS или сообщений в мессенджерах, достаточно ответить на сообщение с запросом «СТОП» либо обратиться к Оператору. Такие точечные отписки не требуют оформления письменного отзыва согласия – они обрабатываются оперативно.
7.8. Последствия отзыва согласия: Оператор предупреждает, что в случае отзыва Пользователем согласия на обработку персональных данных, необходимых для оказания услуг (например, ФИО и контакты обучающегося), Оператор может быть не в состоянии далее предоставлять Пользователю соответствующие услуги. В таком случае Оператор вправе отказать в дальнейшем обслуживании (расторгнуть договор в одностороннем порядке), о чём Пользователю будет сообщено. Это обусловлено тем, что без
необходимых данных (например, без контактов) невозможно надлежащим образом исполнить договор. Отзыв согласия на обработку данных для рассылки или маркетинга не влияет на предоставление основной услуги.
7.9. Документирование согласий и их отзыва: Оператор ведёт учёт выданных Пользователями согласий на обработку ПДн и их отзывов. Фиксируются дата, время и способ получения согласия (например, проставление галочки при отправке формы, регистрация оферты с IP-адресом, получение письменного заявления)[36][37]. В случае отзыва согласия фиксируется дата и время поступления отзыва, способ (email, письмо, через личный кабинет) и действия, предпринятые Оператором (удаление, блокировка). Эти журналы хранятся для целей отчётности перед надзорными органами и доказательства в случае споров.
7.1. Право на отзыв согласия: Пользователь, ранее давший согласие на обработку своих персональных данных Оператору, вправе в любой момент отозвать это согласие (частично или полностью). Отзыв согласия не влияет на законность обработки, осуществлённой до момента отзыва. Однако после получения отзыва Оператор обязан прекратить дальнейшую обработку тех данных, которые обрабатывались исключительно на основании согласия.
7.2. Способы отзыва согласия: Пользователь может отозвать согласие любым удобным из следующих способов:
- Через интерфейс Личного кабинета на Платформе LMS или Сайте – если такая функция реализована. В частности, Пользователь может удалить свою учётную запись или отключить галочку согласия на обработку ПДн в настройках профиля (если опция предусмотрена)[35]. Факт снятия галочки
системой регистрируется как отзыв согласия с отметкой времени.
- Путём направления официального письменного заявления Оператору по почтовому адресу, указанному в п.1.2 Политики. В заявлении следует указать свои ФИО, идентифицирующие данные (например, email, использованный при регистрации), суть требования (отзыв всех или части согласий) и собственноручную подпись. Такое заявление Пользователь может направить заказным письмом или курьером.
- Путём направления электронного заявления по электронной почте на адрес Оператора (указан в п.1.2) с темы «Отзыв согласия на обработку ПДн». Заявление должно содержать идентифицирующую информацию о Пользователе и чёткое выражение намерения отозвать согласие. Оператор может попросить подтвердить такое заявление ответным письмом, чтобы убедиться, что запрос исходит действительно от субъекта ПДн.
- Путём звонка на контактный номер Оператора (если указан на Сайте) с последующим письменным подтверждением.
7.3. Действия Оператора при отзыве согласия: Получив отзыв согласия, Оператор прекращает обработку соответствующих персональных данных и, если их хранение не требуется в соответствии с законом или иными правовыми основаниями (см. раздел 4), уничтожает данные в течение сроков, установленных законодательством (как правило, не более 30 дней). Если отзыв касается согласия на рассылку или звонки, Оператор прекратит коммуникацию в эти же или ближайшие сутки с момента обработки запроса. Если отзыв касается согласия на обработку, являвшегося единственным основанием обработки (например, Пользователь не является больше клиентом, и все данные держались на согласии), Оператор удалит учетную запись Пользователя и все относящиеся к нему данные, кроме тех, что обязан сохранить для отчетности. О факте выполнения требования (удаления данных) Оператор при желании Пользователя может предоставить уведомление (подтверждение).
7.4. Отзыв согласия на распространение: Пользователь имеет право в любой момент отозвать ранее данное согласие на распространение своих персональных данных (см. п.5.6). Отзыв такого согласия не влияет на обработку данных для внутренних целей Оператора, но требует от Оператора прекратить дальнейшее раскрытие данных неограниченному кругу лиц. После получения отзыва на распространение Оператор обязуется: удалить/скрыть опубликованные на Сайте данные Пользователя; удалить или anonymize посты в социальных сетях Оператора, содержащие персональные данные Пользователя, или, если удаление невозможно (например, пост находится не
под контролем Оператора), то Оператор сделает всё возможное для их удаления (обратится к администратору площадки и т.п.). Также Оператор уведомит всех лиц, которым ранее были раскрыты эти данные (если такие известны и находятся под контролем Оператора, например, партнёры по мероприятию), о том, что согласие отозвано и дальнейшее использование/распространение данных не допускается.
7.5. Удаление учётной записи: Пользователь, прошедший обучение, вправе потребовать удаления своего профиля на Платформе LMS и связанных с ним данных (в том числе результатов обучения). Следует понимать, что удаление профиля приведёт к невозможности продолжить обучение или восстановить сертификаты. Если Пользователь настаивает, Оператор выполнит удаление (за исключением информации, которую обязан хранить по закону). Удаление аккаунта рассматривается как отзыв согласия на обработку всех данных, предоставленных через этот аккаунт.
7.6. Ограничение обработки: Вместо полного удаления данных Пользователь может потребовать от Оператора временно заблокировать обработку своих персональных данных (например, если считает, что обработка осуществляется незаконно или данные неточны и требуют проверки). В этом случае Оператор приостанавливает операции с данными (кроме хранения) и проводит необходимую проверку. В дальнейшем данные либо удаляются, либо возобновляется их обработка при устранении причины ограничения.
7.7. Отказ от маркетинговой рассылки: Каждый электронный информационный или рекламный выпуск, направляемый Оператором, содержит действующую ссылку для отписки. Пользователь может нажать её и подтвердить отказ от дальнейших писем – это автоматически прекратит рассылку на его адрес. Аналогично, для отписки от SMS или сообщений в мессенджерах, достаточно ответить на сообщение с запросом «СТОП» либо обратиться к Оператору. Такие точечные отписки не требуют оформления письменного отзыва согласия – они обрабатываются оперативно.
7.8. Последствия отзыва согласия: Оператор предупреждает, что в случае отзыва Пользователем согласия на обработку персональных данных, необходимых для оказания услуг (например, ФИО и контакты обучающегося), Оператор может быть не в состоянии далее предоставлять Пользователю соответствующие услуги. В таком случае Оператор вправе отказать в дальнейшем обслуживании (расторгнуть договор в одностороннем порядке), о чём Пользователю будет сообщено. Это обусловлено тем, что без
необходимых данных (например, без контактов) невозможно надлежащим образом исполнить договор. Отзыв согласия на обработку данных для рассылки или маркетинга не влияет на предоставление основной услуги.
7.9. Документирование согласий и их отзыва: Оператор ведёт учёт выданных Пользователями согласий на обработку ПДн и их отзывов. Фиксируются дата, время и способ получения согласия (например, проставление галочки при отправке формы, регистрация оферты с IP-адресом, получение письменного заявления)[36][37]. В случае отзыва согласия фиксируется дата и время поступления отзыва, способ (email, письмо, через личный кабинет) и действия, предпринятые Оператором (удаление, блокировка). Эти журналы хранятся для целей отчётности перед надзорными органами и доказательства в случае споров.
8. Права субъекта персональных данных
Оператор признает и обеспечивает следующие права Пользователей как субъектов персональных данных в соответствии с законодательством РФ:
Иные права субъекта ПДн. Пользователь имеет права, предусмотренные ст.18-21 Закона No 152-ФЗ, включая право требовать у Оператора уведомления всех лиц, которым ранее были переданы неверные или незаконно обрабатываемые данные Пользователя, обо всех произведенных исправлениях или уничтожении данных (за исключением случаев, когда это невозможно или не требует значительных усилий); право на обжалование действий или бездействия Оператора, нарушающих требования законодательства о ПДн, и т.п. Оператор принимает на себя обязательства уважать и исполнять все законные права субъектов персональных данных.
8.1. Реализация прав: Для осуществления своих прав Пользователь может направить Оператору соответствующий запрос (способами, указанными в разделе 7 или в контактных данных п.1.2). Запрос должен содержать фамилию, имя, отчество субъекта, реквизиты основного документа, удостоверяющего личность субъекта (серия, номер, дата выдачи, орган выдачи) либо иные данные, позволяющие идентифицировать запрос поступившим от самого субъекта или его законного представителя. Оператор имеет право запросить дополнительную информацию, необходимую для подтверждения личности заявителя, чтобы исключить несанкционированные запросы от имени субъекта. В случае, если запрос подаёт представитель субъекта, необходимо приложить документ, подтверждающий полномочия (доверенность, удостоверенная нотариально, либо иной документ). Оператор рассмотрит обращение и ответит в установленные законом сроки. В ответе Оператор укажет, какие меры приняты либо почему требования не могут быть удовлетворены (со ссылкой на нормы закона).
8.2. Ограничения прав: Права субъекта персональных данных могут быть ограничены в случаях, предусмотренных законодательством. Например, Оператор вправе отказать субъекту в предоставлении информации об обработке его данных, если: обработка осуществляется в соответствии с
законодательством о противодействии терроризму; субъект ранее предоставил заведомо ложные данные о себе или о другом субъекте; запрос касается персональных данных, относящихся к государственной тайне или к тайне, охраняемой законом; или данные обрабатываются в интересах национальной безопасности, обороны и т.д. (полный перечень ограничений – ст.14 ч.8 Закона No 152-ФЗ). В любом случае отказ будет дан в предусмотренной форме с разъяснением причины.
Оператор признает и обеспечивает следующие права Пользователей как субъектов персональных данных в соответствии с законодательством РФ:
- Право на получение информации об обработке ПДн. Пользователь имеет право запросить у Оператора сведения, касающиеся обработки его персональных данных. В запросе субъект может потребовать: подтверждения факта обработки его данных; перечня обрабатываемых данных, относящихся к нему; источника получения данных (если они не были предоставлены самим субъектом); правовых оснований и целей обработки; применяемых способов обработки; сроков обработки (в том числе хранения); наименования и адреса Оператора; информации о передаче данных третьим лицам (кому и на каком основании); а также иных сведений, предусмотренных ч.7 ст.14 Закона No 152-ФЗ. Оператор обязуется предоставить запрашиваемые сведения субъекту в доступной форме в течение 30 дней с даты поступления обращения, либо дать мотивированный отказ в случаях, предусмотренных законом (например, если запрашиваемые данные затрагивают интересы других лиц или государственную тайну). Предоставление информации осуществляется бесплатно (за исключением случаев, если повторный запрос или явно бессмысленный запрос – тогда Оператор вправе взыскать обусловленные законом расходы).
- Право требовать уточнения, блокировки или уничтожения данных. Если Пользователь считает, что его персональные данные являются неточными, неполными, устаревшими или обрабатываются с
- Право на отзыв согласия. Как описано в разделе 7, Пользователь может в любой момент отозвать своё согласие на обработку данных. Это право обеспечивается без каких-либо препятствий: Оператор не может отказать в отзыве и обязан лишь уведомить Пользователя о последствиях (например, прекращении услуг). Отзыв согласия осуществляется бесплатно для субъекта.
- Право возражать против обработки в целях маркетинга. Пользователь вправе в любой момент возразить против обработки своих персональных данных в целях прямого маркетинга (рассылки, рекламные звонки). Получив такое возражение (например, ответом на письмо или отдельным запросом), Оператор незамедлительно прекратит использование данных для рекламных целей. Это не затрагивает обработку по другим основаниям (например, для выполнения договора).
- Право не подлежать исключительно автоматизированному решению. В деятельности Оператора не принимаются решения, основанные исключительно на автоматизированной обработке данных, существенно влияющие на Пользователя (например, автоматический отказ в услуге без участия человека). Если бы такие решения принимались, Пользователь имел бы право потребовать их разъяснения и оспорить, добившись вмешательства человека со стороны Оператора.
- Право на обращение в уполномоченные органы за защитой своих прав. Если Пользователь считает, что Оператор нарушил его права в
Иные права субъекта ПДн. Пользователь имеет права, предусмотренные ст.18-21 Закона No 152-ФЗ, включая право требовать у Оператора уведомления всех лиц, которым ранее были переданы неверные или незаконно обрабатываемые данные Пользователя, обо всех произведенных исправлениях или уничтожении данных (за исключением случаев, когда это невозможно или не требует значительных усилий); право на обжалование действий или бездействия Оператора, нарушающих требования законодательства о ПДн, и т.п. Оператор принимает на себя обязательства уважать и исполнять все законные права субъектов персональных данных.
8.1. Реализация прав: Для осуществления своих прав Пользователь может направить Оператору соответствующий запрос (способами, указанными в разделе 7 или в контактных данных п.1.2). Запрос должен содержать фамилию, имя, отчество субъекта, реквизиты основного документа, удостоверяющего личность субъекта (серия, номер, дата выдачи, орган выдачи) либо иные данные, позволяющие идентифицировать запрос поступившим от самого субъекта или его законного представителя. Оператор имеет право запросить дополнительную информацию, необходимую для подтверждения личности заявителя, чтобы исключить несанкционированные запросы от имени субъекта. В случае, если запрос подаёт представитель субъекта, необходимо приложить документ, подтверждающий полномочия (доверенность, удостоверенная нотариально, либо иной документ). Оператор рассмотрит обращение и ответит в установленные законом сроки. В ответе Оператор укажет, какие меры приняты либо почему требования не могут быть удовлетворены (со ссылкой на нормы закона).
8.2. Ограничения прав: Права субъекта персональных данных могут быть ограничены в случаях, предусмотренных законодательством. Например, Оператор вправе отказать субъекту в предоставлении информации об обработке его данных, если: обработка осуществляется в соответствии с
законодательством о противодействии терроризму; субъект ранее предоставил заведомо ложные данные о себе или о другом субъекте; запрос касается персональных данных, относящихся к государственной тайне или к тайне, охраняемой законом; или данные обрабатываются в интересах национальной безопасности, обороны и т.д. (полный перечень ограничений – ст.14 ч.8 Закона No 152-ФЗ). В любом случае отказ будет дан в предусмотренной форме с разъяснением причины.
9. Меры по обеспечению безопасности персональных данных
9.1. Оператор предпринимает необходимые правовые, организационные и технические меры для защиты персональных данных Пользователей от несанкционированного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Эти меры реализуются в соответствии с требованиями ст.19 Федерального закона No 152-ФЗ и принятого на его основе Постановления Правительства РФ No 1119 от 01.11.2012 (о мерах по обеспечению безопасности ПДн).
9.2. Организационные меры:
- Оператор назначил ответственное лицо за организацию обработки персональных данных, которое следит за соблюдением требований закона и политики в компании.
- Разработаны и утверждены внутренние локальные акты, регламентирующие порядок обработки и защиты персональных данных, включая настоящую Политику, Политику информационной безопасности, инструкции для сотрудников[38].
- С сотрудниками Оператора, непосредственно допущенными к обработке персональных данных, заключены соглашения о неразглашении конфиденциальной информации (включая персональные данные). Эти сотрудники проходят обязательный инструктаж и обучение по вопросам защиты персональных данных и несут дисциплинарную ответственность за возможные нарушения.
- Реализован дифференцированный доступ к персональным данным Пользователей: каждый сотрудник имеет доступ только к тем данным, которые ему необходимы для исполнения трудовых обязанностей. Права доступа регулярно пересматриваются: увольняющиеся сотрудники немедленно лишаются доступа к данным, а их учётные записи блокируются.
Оператор ведёт учёт носителей персональных данных и их перемещения, предотвращает неконтролируемое копирование данных. Физические носители (если создаются) хранятся в запираемых шкафах с ограниченным доступом.
9.3. Технические меры:
- Персональные данные пользователей Сайта и Платформы передаются с использованием протокола шифрования HTTPS (SSL/TLS). Это означает, что все данные, вводимые Пользователем, передаются на серверы в зашифрованном виде, что исключает их перехват злоумышленниками при передаче по сети.
- Серверы, на которых размещены базы данных с персональными данными, находятся в защищенных дата-центрах на территории РФ, соответствующих требованиям по безопасности (наличие систем контроля доступа, видеонаблюдения, резервного электропитания, пожаротушения и т.д.). Данные регулярно резервируются (создаются резервные копии) с целью предотвращения потери информации[39]. Резервные копии также хранятся с соблюдением конфиденциальности.
- Информационные системы Оператора защищены современными средствами: используются актуальные антивирусные программы, межсетевые экраны (Firewall) для фильтрации входящего и исходящего трафика[40], система обнаружения вторжений. Применяется криптографическая защита информации в необходимых случаях (например, шифрование паролей в базе данных).
- Вся пользовательская аутентификация на Платформе LMS производится по защищённому каналу, пароли пользователей хранятся в виде хеш-сумм (невосстанавливаемый вид). При необходимости предоставляется двухфакторная аутентификация (через почту или SMS) для повышения безопасности аккаунтов.
- Система ведёт протоколирование (логи) доступа к персональным данным: фиксируется, кто из сотрудников и когда обращался к тем или иным данным. Регулярно анализируются эти логи на предмет подозрительной активности.
- Автоматизированные средства мониторинга отслеживают попытки несанкционированного доступа, подбор паролей и иные аномалии. В случае выявления угрозы принимаются меры по её пресечению, в том числе временная блокировка учетных записей или IP-адресов злоумышленников.
9.4. Защита при передаче третьим лицам: Если персональные данные передаются уполномоченному лицу (обработчику) по договору, Оператор предварительно убеждается в том, что такой обработчик способен обеспечить конфиденциальность и безопасность данных в соответствии с требованиями
закона[30]. В договоре поручения подробно прописаны обязательства обработчика по защите данных, включая: использование баз данных на территории РФ для записи, хранения и иных действий[41]; внедрение необходимых средств защиты; соблюдение режима конфиденциальности; незамедлительное информирование Оператора о случаях несанкционированного доступа; предоставление Оператору по запросу информации о принятых мерах защиты и т.д. Оператор контролирует выполнение обработчиком его обязательств, для чего может запрашивать соответствующие отчёты или проводить аудиты.
9.5. Обеспечение актуальности и точности: Оператор предпринимает шаги для поддержания персональных данных в актуальном состоянии. Пользователи проинформированы о необходимости сообщать Оператору об изменениях (п.1.10). Кроме того, при взаимодействии с Пользователем (например, при очередном запросе или продолжении обучения) сотрудники уточняют, не изменились ли контактные данные. В системе LMS Пользователю предоставлена возможность самостоятельно обновлять свои данные в профиле. Некорректные или неточные данные оперативно исправляются или удаляются по мере обнаружения.
9.6. Контроль условий хранения: Персональные данные в бумажном виде (если таковые имеются, например, копия согласия, договор) хранятся в сейфе либо закрывающемся шкафу, доступном только уполномоченным сотрудникам. В электронном виде данные хранятся в базе, доступ к которой осуществляется только по защищённому VPN-соединению для административного персонала. Технические меры предотвращают возможность копирования баз данных на внешние носители без разрешения.
9.7. Инциденты и утечки: В случае выявления факта несанкционированного доступа к персональным данным (утечки) Оператор немедленно проводит внутреннее расследование, устанавливает причины и объём произошедшего. Согласно новым требованиям законодательства (в ред. ФЗ No266-ФЗ от 14.07.2022), Оператор в течение 24 часов с момента обнаружения утечки уведомит Роскомнадзор о произошедшем, указав информацию о предполагаемых причинах и принятых мерах[42]. В течение 72 часов Оператор проведёт детальное расследование и предоставит Роскомнадзору итоговый отчёт о причинах инцидента и принятых мерах по устранению последствий[43]. Также, если утечка затрагивает права Пользователей, Оператор уведомит самих пострадавших субъектов (если это возможно) о том, что их данные были компрометированы, и предоставит рекомендации по
снижению возможного вреда. Оператор приложит все усилия для минимизации любых негативных последствий утечки и предотвращения подобных инцидентов в будущем.
9.8. Аудит и проверка системы защиты: Оператор регулярно проводит оценку эффективности применяемых мер защиты персональных данных. В частности, проводится ежегодная проверка соответствия системы защиты требованиям законодательства и внутренним политикам. Выявленные уязвимости устраняются в кратчайшие сроки. При существенных изменениях в инфраструктуре (например, внедрение нового программного обеспечения, расширение функционала LMS) проводится внеочередной аудит безопасности. Оператор готов также к внеплановым проверкам со стороны органов надзора и заранее внедрил все базовые меры (перечисленные в Приказе ФСТЭК No 21 от 18.02.2013 и Приказе ФСБ No 378 от 10.07.2014).
9.9. Конфиденциальность: Персональные данные Пользователей относятся к конфиденциальной информации ограниченного доступа. Оператор обеспечивает режим конфиденциальности – запрещает своим сотрудникам и любым третьим лицам, получившим доступ к персональным данным на законном основании, раскрывать эти данные кому бы то ни было без разрешения субъекта или иного законного основания. Это обязательство сохраняется даже после увольнения сотрудников или завершения договоров с третьими лицами. Не считается нарушением конфиденциальности предоставление Оператором данных государственным органам в порядке, установленном законом (поскольку в таких случаях речь идёт об исполнении правовой обязанности, см. п.5.5), а также случаи обезличивания данных.
9.10. Прозрачность политики: Настоящая Политика в актуальной редакции размещается в открытом доступе на Сайте по постоянному адресу (обычно ссылка «Политика обработки персональных данных» в подвале сайта). Любой желающий может ознакомиться с ней в любое время. По запросу Пользователя Оператор может предоставить Политику в виде электронного документа или на бумажном носителе.
9.1. Оператор предпринимает необходимые правовые, организационные и технические меры для защиты персональных данных Пользователей от несанкционированного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Эти меры реализуются в соответствии с требованиями ст.19 Федерального закона No 152-ФЗ и принятого на его основе Постановления Правительства РФ No 1119 от 01.11.2012 (о мерах по обеспечению безопасности ПДн).
9.2. Организационные меры:
- Оператор назначил ответственное лицо за организацию обработки персональных данных, которое следит за соблюдением требований закона и политики в компании.
- Разработаны и утверждены внутренние локальные акты, регламентирующие порядок обработки и защиты персональных данных, включая настоящую Политику, Политику информационной безопасности, инструкции для сотрудников[38].
- С сотрудниками Оператора, непосредственно допущенными к обработке персональных данных, заключены соглашения о неразглашении конфиденциальной информации (включая персональные данные). Эти сотрудники проходят обязательный инструктаж и обучение по вопросам защиты персональных данных и несут дисциплинарную ответственность за возможные нарушения.
- Реализован дифференцированный доступ к персональным данным Пользователей: каждый сотрудник имеет доступ только к тем данным, которые ему необходимы для исполнения трудовых обязанностей. Права доступа регулярно пересматриваются: увольняющиеся сотрудники немедленно лишаются доступа к данным, а их учётные записи блокируются.
Оператор ведёт учёт носителей персональных данных и их перемещения, предотвращает неконтролируемое копирование данных. Физические носители (если создаются) хранятся в запираемых шкафах с ограниченным доступом.
9.3. Технические меры:
- Персональные данные пользователей Сайта и Платформы передаются с использованием протокола шифрования HTTPS (SSL/TLS). Это означает, что все данные, вводимые Пользователем, передаются на серверы в зашифрованном виде, что исключает их перехват злоумышленниками при передаче по сети.
- Серверы, на которых размещены базы данных с персональными данными, находятся в защищенных дата-центрах на территории РФ, соответствующих требованиям по безопасности (наличие систем контроля доступа, видеонаблюдения, резервного электропитания, пожаротушения и т.д.). Данные регулярно резервируются (создаются резервные копии) с целью предотвращения потери информации[39]. Резервные копии также хранятся с соблюдением конфиденциальности.
- Информационные системы Оператора защищены современными средствами: используются актуальные антивирусные программы, межсетевые экраны (Firewall) для фильтрации входящего и исходящего трафика[40], система обнаружения вторжений. Применяется криптографическая защита информации в необходимых случаях (например, шифрование паролей в базе данных).
- Вся пользовательская аутентификация на Платформе LMS производится по защищённому каналу, пароли пользователей хранятся в виде хеш-сумм (невосстанавливаемый вид). При необходимости предоставляется двухфакторная аутентификация (через почту или SMS) для повышения безопасности аккаунтов.
- Система ведёт протоколирование (логи) доступа к персональным данным: фиксируется, кто из сотрудников и когда обращался к тем или иным данным. Регулярно анализируются эти логи на предмет подозрительной активности.
- Автоматизированные средства мониторинга отслеживают попытки несанкционированного доступа, подбор паролей и иные аномалии. В случае выявления угрозы принимаются меры по её пресечению, в том числе временная блокировка учетных записей или IP-адресов злоумышленников.
9.4. Защита при передаче третьим лицам: Если персональные данные передаются уполномоченному лицу (обработчику) по договору, Оператор предварительно убеждается в том, что такой обработчик способен обеспечить конфиденциальность и безопасность данных в соответствии с требованиями
закона[30]. В договоре поручения подробно прописаны обязательства обработчика по защите данных, включая: использование баз данных на территории РФ для записи, хранения и иных действий[41]; внедрение необходимых средств защиты; соблюдение режима конфиденциальности; незамедлительное информирование Оператора о случаях несанкционированного доступа; предоставление Оператору по запросу информации о принятых мерах защиты и т.д. Оператор контролирует выполнение обработчиком его обязательств, для чего может запрашивать соответствующие отчёты или проводить аудиты.
9.5. Обеспечение актуальности и точности: Оператор предпринимает шаги для поддержания персональных данных в актуальном состоянии. Пользователи проинформированы о необходимости сообщать Оператору об изменениях (п.1.10). Кроме того, при взаимодействии с Пользователем (например, при очередном запросе или продолжении обучения) сотрудники уточняют, не изменились ли контактные данные. В системе LMS Пользователю предоставлена возможность самостоятельно обновлять свои данные в профиле. Некорректные или неточные данные оперативно исправляются или удаляются по мере обнаружения.
9.6. Контроль условий хранения: Персональные данные в бумажном виде (если таковые имеются, например, копия согласия, договор) хранятся в сейфе либо закрывающемся шкафу, доступном только уполномоченным сотрудникам. В электронном виде данные хранятся в базе, доступ к которой осуществляется только по защищённому VPN-соединению для административного персонала. Технические меры предотвращают возможность копирования баз данных на внешние носители без разрешения.
9.7. Инциденты и утечки: В случае выявления факта несанкционированного доступа к персональным данным (утечки) Оператор немедленно проводит внутреннее расследование, устанавливает причины и объём произошедшего. Согласно новым требованиям законодательства (в ред. ФЗ No266-ФЗ от 14.07.2022), Оператор в течение 24 часов с момента обнаружения утечки уведомит Роскомнадзор о произошедшем, указав информацию о предполагаемых причинах и принятых мерах[42]. В течение 72 часов Оператор проведёт детальное расследование и предоставит Роскомнадзору итоговый отчёт о причинах инцидента и принятых мерах по устранению последствий[43]. Также, если утечка затрагивает права Пользователей, Оператор уведомит самих пострадавших субъектов (если это возможно) о том, что их данные были компрометированы, и предоставит рекомендации по
снижению возможного вреда. Оператор приложит все усилия для минимизации любых негативных последствий утечки и предотвращения подобных инцидентов в будущем.
9.8. Аудит и проверка системы защиты: Оператор регулярно проводит оценку эффективности применяемых мер защиты персональных данных. В частности, проводится ежегодная проверка соответствия системы защиты требованиям законодательства и внутренним политикам. Выявленные уязвимости устраняются в кратчайшие сроки. При существенных изменениях в инфраструктуре (например, внедрение нового программного обеспечения, расширение функционала LMS) проводится внеочередной аудит безопасности. Оператор готов также к внеплановым проверкам со стороны органов надзора и заранее внедрил все базовые меры (перечисленные в Приказе ФСТЭК No 21 от 18.02.2013 и Приказе ФСБ No 378 от 10.07.2014).
9.9. Конфиденциальность: Персональные данные Пользователей относятся к конфиденциальной информации ограниченного доступа. Оператор обеспечивает режим конфиденциальности – запрещает своим сотрудникам и любым третьим лицам, получившим доступ к персональным данным на законном основании, раскрывать эти данные кому бы то ни было без разрешения субъекта или иного законного основания. Это обязательство сохраняется даже после увольнения сотрудников или завершения договоров с третьими лицами. Не считается нарушением конфиденциальности предоставление Оператором данных государственным органам в порядке, установленном законом (поскольку в таких случаях речь идёт об исполнении правовой обязанности, см. п.5.5), а также случаи обезличивания данных.
9.10. Прозрачность политики: Настоящая Политика в актуальной редакции размещается в открытом доступе на Сайте по постоянному адресу (обычно ссылка «Политика обработки персональных данных» в подвале сайта). Любой желающий может ознакомиться с ней в любое время. По запросу Пользователя Оператор может предоставить Политику в виде электронного документа или на бумажном носителе.
10. Заключительные положения
10.1. Настоящая Политика утверждена ИП Пичхадзе Л.Л. и действует бессрочно до замены новой редакцией. Контроль исполнения требований Политики осуществляет лично Оператор (ИП) либо назначенное ответственное лицо. Ответственность работников, имеющих доступ к персональным данным, за нарушение норм, регулирующих обработку и
защиту персональных данных, определяется в соответствии с законодательством РФ и внутренними документами Оператора.
10.2. Все возникающие спорные вопросы разрешаются в соответствии с законодательством Российской Федерации. До обращения в суд или в надзорные органы Пользователь рекомендуется направить Оператору претензию для попытки урегулирования спора во внесудебном порядке. Оператор рассмотрит претензию в 30-дневный срок и сообщит о результатах рассмотрения заявителю. При недостижении соглашения спор может быть передан на рассмотрение суда по месту нахождения Оператора (если иное не установлено законом).
10.3. К отношениям между Пользователем и Оператором по поводу обработки персональных данных применяется право Российской Федерации. Настоящая Политика составлена на русском языке. В случае использования ее перевода на другой язык, юридическую силу имеет русский текст.
10.4. Любые предложения или вопросы по поводу настоящей Политики и в целом обработки персональных данных Оператором следует направлять на электронную почту Оператора: info@proznau.ru, либо почтовым отправлением по адресу, указанному в п.1.2. Оператор рассмотрит обращение и предоставит ответ в разумный срок.
10.5. Пользователь подтверждает, что ознакомлен со всеми пунктами настоящей Политики, понимает их содержание и смысл, и принимает их условия, совершая действия, направленные на передачу своих персональных данных Оператору. Продолжение использования Сайта и Платформы после публикации Оператором обновлённой редакции Политики означает согласие Пользователя с изменившимися условиями.
10.6. Оператор строго следует положениям настоящей Политики. В том, что Политика соответствует требованиям закона и защищает права субъектов персональных данных, Оператор убедился при её разработке, опираясь на лучшие практики Роскомнадзора и судебную практику в сфере персональных данных 2023–2025 годов. Настоящая редакция Политики учитывает все актуальные изменения законодательства, включая требования о локализации баз данных, отдельном согласии на распространение, уведомлении об утечках, и другие новеллы, вступившие в силу к сентябрю 2025 года[44][43]. Оператор гарантирует, что будет неукоснительно соблюдать представленную Политику, обеспечивая надлежащую защиту персональных данных своих клиентов и пользователей.
Адрес данной Политики в сети Интернет: https://proznau.ru/privacy.
Контактные данные Оператора по вопросам персональных данных:
- Электронная почта: info@proznau.ru
- Почтовый адрес: 350058, г. Краснодар, ул. Тургенева, д. 138/3, кв. 96 (ИП Пичхадзе Л.Л.)
- Телефон: +7 (988)520-63-40
Оператор рекомендует Пользователям регулярно знакомиться с действующей редакцией Политики. Если у Пользователя возникли дополнительные вопросы о положениях Политики или о том, как Оператор обрабатывает его персональные данные, он всегда может связаться с Оператором по указанным контактам.
10.1. Настоящая Политика утверждена ИП Пичхадзе Л.Л. и действует бессрочно до замены новой редакцией. Контроль исполнения требований Политики осуществляет лично Оператор (ИП) либо назначенное ответственное лицо. Ответственность работников, имеющих доступ к персональным данным, за нарушение норм, регулирующих обработку и
защиту персональных данных, определяется в соответствии с законодательством РФ и внутренними документами Оператора.
10.2. Все возникающие спорные вопросы разрешаются в соответствии с законодательством Российской Федерации. До обращения в суд или в надзорные органы Пользователь рекомендуется направить Оператору претензию для попытки урегулирования спора во внесудебном порядке. Оператор рассмотрит претензию в 30-дневный срок и сообщит о результатах рассмотрения заявителю. При недостижении соглашения спор может быть передан на рассмотрение суда по месту нахождения Оператора (если иное не установлено законом).
10.3. К отношениям между Пользователем и Оператором по поводу обработки персональных данных применяется право Российской Федерации. Настоящая Политика составлена на русском языке. В случае использования ее перевода на другой язык, юридическую силу имеет русский текст.
10.4. Любые предложения или вопросы по поводу настоящей Политики и в целом обработки персональных данных Оператором следует направлять на электронную почту Оператора: info@proznau.ru, либо почтовым отправлением по адресу, указанному в п.1.2. Оператор рассмотрит обращение и предоставит ответ в разумный срок.
10.5. Пользователь подтверждает, что ознакомлен со всеми пунктами настоящей Политики, понимает их содержание и смысл, и принимает их условия, совершая действия, направленные на передачу своих персональных данных Оператору. Продолжение использования Сайта и Платформы после публикации Оператором обновлённой редакции Политики означает согласие Пользователя с изменившимися условиями.
10.6. Оператор строго следует положениям настоящей Политики. В том, что Политика соответствует требованиям закона и защищает права субъектов персональных данных, Оператор убедился при её разработке, опираясь на лучшие практики Роскомнадзора и судебную практику в сфере персональных данных 2023–2025 годов. Настоящая редакция Политики учитывает все актуальные изменения законодательства, включая требования о локализации баз данных, отдельном согласии на распространение, уведомлении об утечках, и другие новеллы, вступившие в силу к сентябрю 2025 года[44][43]. Оператор гарантирует, что будет неукоснительно соблюдать представленную Политику, обеспечивая надлежащую защиту персональных данных своих клиентов и пользователей.
Адрес данной Политики в сети Интернет: https://proznau.ru/privacy.
Контактные данные Оператора по вопросам персональных данных:
- Электронная почта: info@proznau.ru
- Почтовый адрес: 350058, г. Краснодар, ул. Тургенева, д. 138/3, кв. 96 (ИП Пичхадзе Л.Л.)
- Телефон: +7 (988)520-63-40
Оператор рекомендует Пользователям регулярно знакомиться с действующей редакцией Политики. Если у Пользователя возникли дополнительные вопросы о положениях Политики или о том, как Оператор обрабатывает его персональные данные, он всегда может связаться с Оператором по указанным контактам.