Политика конфиденциальности

Настоящая Политика конфиденциальности (далее — «Политика») устанавливает порядок обработки и защиты персональных данных пользователей платформы Repetitor.tech и разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ).

1. ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ

1.1. Оператором персональных данных является Индивидуальный предприниматель Лукашенко Игорь Игоревич(ОГРНИП 322237500225334, ИНН 615419608656, Краснодарский край, г. Краснодар; далее — «Оператор»).

1.2. Ответственным за организацию обработки персональных данных в соответствии со ст. 22.1 152-ФЗ является Лукашенко Игорь Игоревич. Контактные данные: тел. +7 (952) 830-24-14, email: legal@repetitor.tech.

1.3. Оператор зарегистрирован / планирует зарегистрироваться как оператор персональных данных в Роскомнадзоре в соответствии со ст. 22 152-ФЗ. До завершения регистрации Оператор действует в полном соответствии с требованиями 152-ФЗ.

1.4. Используя платформу, Пользователь подтверждает, что полностью прочитал и принял условия настоящей Политики. В случае несогласия Пользователь должен немедленно прекратить использование платформы.

2. КАКИЕ ДАННЫЕ МЫ СОБИРАЕМ

2.1. Данные, предоставляемые Пользователем напрямую

— Идентификационные данные: имя (или псевдоним), фамилия, электронная почта, номер телефона.
— Данные учётной записи: пароль (хранится исключительно в виде криптографического хэша bcrypt/Argon2), настройки профиля, аватар, предметы преподавания, описание репетитора.
— Платёжные данные: токен / идентификатор платёжного инструмента (карта, кошелёк), предоставляемый платёжным провайдером. Оператор не хранит полные номера карт, CVV-коды и иные платёжные реквизиты.
— Данные об учениках: имена, контакты и иная информация, которую Пользователь вносит в систему для ведения учёта. Ответственность за законность обработки этих данных несёт Пользователь.
— Контент: учебные материалы, файлы курсов, домашние задания, заметки, переписка с учениками через мессенджеры.
— Коммуникации с поддержкой: содержание обращений в службу поддержки, история переписки.

2.2. Данные, собираемые автоматически

— Технические данные: IP-адрес, тип и версия браузера, операционная система, разрешение экрана, реферальный URL, страницы просмотра, время и продолжительность сессий.
— Данные об использовании: действия в интерфейсе (клики, прокрутка, функции, которыми Пользователь пользуется), частота входов, активность.
— Логи и аудит: записи о входах в систему, изменениях данных, технических ошибках, попытках несанкционированного доступа.
— Cookie и трекеры: см. раздел 8.

2.3. Данные от третьих сторон

— При интеграции с мессенджерами (Telegram и др.): идентификатор аккаунта, публичное имя пользователя, данные переписки с учениками в рамках предоставленного доступа.
— Данные от платёжных провайдеров: статус транзакции, дата, сумма, тип платёжного инструмента.

3. ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ

3.1. Исполнение договора (ст. 6 ч. 1 п. 5 152-ФЗ; ст. 6 п. 1 «b» GDPR):

— регистрация и верификация учётной записи;
— предоставление доступа к функциональности платформы;
— биллинг, списание оплаты, управление подписками;
— техническая поддержка по запросам Пользователя;
— уведомления, необходимые для исполнения договора (оплата, истечение подписки и т.д.).

3.2. Согласие субъекта данных (ст. 6 ч. 1 п. 1 152-ФЗ):

— маркетинговые и информационные рассылки (новости, акции, советы по использованию платформы) — только при наличии согласия;
— сбор и обработка данных через маркетинговые трекеры (если применимо).

3.3. Законный интерес Оператора (ст. 6 ч. 1 п. 5 152-ФЗ):

— обеспечение безопасности платформы и предотвращение мошенничества;
— расследование инцидентов безопасности;
— улучшение качества сервиса и разработка новых функций на основе агрегированных обезличенных данных;
— защита прав и законных интересов Оператора в судебных и досудебных спорах.

3.4. Исполнение законных обязанностей (ст. 6 ч. 1 п. 2 152-ФЗ):

— ведение бухгалтерского и налогового учёта;
— соблюдение требований законодательства об AML/финмониторинге;
— ответы на запросы государственных органов (суд, прокуратура, ФНС, Роскомнадзор и иные органы) в соответствии с законодательством РФ.

4. СРОКИ ХРАНЕНИЯ ДАННЫХ

Оператор хранит персональные данные не дольше, чем необходимо для достижения целей обработки:

— Данные учётной записи и профиль: на срок действия договора и 3 года после его прекращения (для целей разрешения возможных споров).
— Данные о платёжных транзакциях: не менее 5 лет (требование законодательства о бухгалтерском учёте и налоговом учёте).
— Логи безопасности и аудита: до 1 года, если более длительный срок не требуется для расследования инцидента.
— Переписка с поддержкой: 3 года с момента закрытия обращения.
— Маркетинговое согласие: до его отзыва плюс 3 года.
— Cookie: см. раздел 8.
— Данные, переданные по запросу госорганов: в соответствии с применимым законодательством.

После истечения срока хранения данные уничтожаются или обезличиваются в соответствии с Приказом Роскомнадзора и внутренними регламентами Оператора.

5. ПЕРЕДАЧА ДАННЫХ ТРЕТЬИМ ЛИЦАМ

5.1. Оператор не продаёт персональные данные Пользователей третьим лицам в коммерческих целях.

5.2. Оператор вправе передавать данные следующим категориям получателей:

— Провайдеры инфраструктуры (хостинг, облачные сервисы, CDN) — исключительно для обеспечения работы платформы на основании договора обработки данных с обязательством конфиденциальности;
— Платёжные провайдеры — для обработки платёжных транзакций;
— Сервисы аналитики (Яндекс.Метрика и аналоги) — для анализа трафика и улучшения платформы. Данные передаются в обезличенном/псевдонимизированном виде;
— Сервисы рассылок (email/SMS/push) — для доставки уведомлений и маркетинговых сообщений при наличии согласия;
— Сервисы мониторинга и логирования ошибок — для выявления и устранения технических неисправностей;
— Государственные органы — при наличии законного требования (решение суда, предписание, судебный запрос и т.д.).

5.3. Все подрядчики и обработчики данных обязаны соблюдать требования конфиденциальности, не менее строгие, чем у Оператора. Оператор несёт ответственность за выбор надёжных подрядчиков.

6. ХРАНЕНИЕ ДАННЫХ. ЛОКАЛИЗАЦИЯ

6.1. Первичное накопление, запись и хранение персональных данных граждан Российской Федерации осуществляется с использованием баз данных, расположенных на серверах на территории Российской Федерации, в соответствии с ч. 5 ст. 18 152-ФЗ (в редакции Федерального закона от 28.02.2025 № 23-ФЗ).

6.2. Трансграничная передача данных (в том числе к серверам подрядчиков, расположенных за пределами РФ) осуществляется исключительно при соблюдении требований ст. 12 152-ФЗ: наличие достаточного уровня защиты данных в стране получателя или наличие надлежащих договорных гарантий. Перечень стран с достаточным уровнем защиты определяется Роскомнадзором.

7. МЕРЫ БЕЗОПАСНОСТИ

7.1. Оператор применяет комплекс технических и организационных мер для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения:

— Шифрование: передача данных по защищённому протоколу HTTPS/TLS; шифрование чувствительных данных в состоянии покоя (at rest);
— Контроль доступа: ролевая модель доступа (RBAC); принцип минимальных привилегий; многофакторная аутентификация для административных аккаунтов;
— Пароли: хранятся исключительно в виде стойких криптографических хэшей (bcrypt / Argon2); сотрудники Оператора не имеют доступа к паролям Пользователей;
— Сетевая безопасность: WAF (Web Application Firewall), DDoS-защита, системы обнаружения вторжений (IDS), rate limiting;
— Мониторинг и логирование: непрерывная запись событий безопасности; системы оповещения об аномалиях;
— Резервное копирование: регулярные зашифрованные резервные копии данных с проверкой возможности восстановления;
— Обновления: своевременное применение обновлений безопасности для всех компонентов платформы;
— Обучение персонала: сотрудники Оператора проходят инструктаж по безопасной обработке персональных данных.

7.2. При обнаружении инцидента безопасности, затрагивающего персональные данные, Оператор уведомит Роскомнадзор в сроки, установленные законодательством, и примет меры по устранению последствий инцидента.

7.3. Несмотря на принимаемые меры, ни одна система защиты не является абсолютной. Оператор не может гарантировать полную безопасность данных от всех возможных угроз.

8. COOKIE И ТЕХНОЛОГИИ ОТСЛЕЖИВАНИЯ

8.1. Платформа использует cookie — небольшие текстовые файлы, сохраняемые в браузере Пользователя, — а также схожие технологии (пиксели, веб-маяки, localStorage). Мы используем следующие категории cookie:

— Строго необходимые (essential): обеспечивают функционирование платформы: сессионная аутентификация, защита CSRF, языковые настройки. Не могут быть отключены без нарушения работы сервиса. Срок хранения: сессия / до 1 года.
— Функциональные (functional): сохраняют предпочтения Пользователя (тема, язык, настройки интерфейса). Срок хранения: до 1 года.
— Аналитические (analytics): Яндекс.Метрика и аналогичные сервисы. Собирают обезличенную статистику использования платформы для её улучшения. Данные передаются операторам аналитических платформ. Срок хранения: до 2 лет.
— Маркетинговые (marketing): используются для показа персонализированной рекламы и ретаргетинга (только при наличии согласия). Срок хранения: до 1 года.

8.2. При первом посещении платформы Пользователю будет показан баннер согласия на использование необязательных категорий cookie. Пользователь может в любое время изменить свои предпочтения через настройки cookie или через настройки браузера. Отключение строго необходимых cookie невозможно без ущерба для работы платформы.

9. ПРАВА ПОЛЬЗОВАТЕЛЕЙ КАК СУБЪЕКТОВ ДАННЫХ

В соответствии с 152-ФЗ и применимым законодательством Пользователь имеет право:

— Доступ (ст. 14 152-ФЗ): получить подтверждение факта обработки персональных данных и их копию;
— Исправление и уточнение (ст. 14 152-ФЗ): потребовать исправления неточных, неполных или устаревших данных;
— Удаление (ст. 21 152-ФЗ): потребовать удаления данных в случаях, предусмотренных законом (данные перестали быть необходимыми; согласие отозвано; обработка незаконна и т.д.);
— Ограничение обработки: запросить приостановку обработки данных в период рассмотрения возражений или при оспаривании точности данных;
— Отзыв согласия (ст. 9 152-ФЗ): в любое время отозвать данное ранее согласие. Отзыв согласия не влияет на законность обработки, осуществлявшейся до его отзыва;
— Возражение против обработки: возразить против обработки данных на основании законного интереса;
— Переносимость данных: получить свои данные в структурированном машиночитаемом формате (в части технически реализованного функционала);
— Жалоба в регулятор: обратиться с жалобой в Роскомнадзор (rkn.gov.ru, pd.rkn.gov.ru), если Пользователь считает, что обработка данных нарушает требования законодательства;
— Пересмотр автоматизированных решений (ст. 16 152-ФЗ): потребовать пересмотра любого решения, принятого исключительно на основе автоматизированной обработки и влекущего юридические последствия.

Для реализации любого из перечисленных прав необходимо направить запрос на legal@repetitor.tech с указанием вашего имени, email регистрации и описания запроса. Ответ предоставляется в течение 30 календарных дней. В случаях, требующих верификации личности, срок может быть продлён ещё на 30 дней с уведомлением Пользователя.

10. ДЕТИ

10.1. Платформа не предназначена для лиц младше 18 лет. Мы не собираем осознанно персональные данные несовершеннолетних. Если Оператору станет известно, что персональные данные лица моложе 18 лет были собраны без надлежащего согласия законного представителя, такие данные будут немедленно удалены.

10.2. Если вы являетесь родителем или законным представителем ребёнка и полагаете, что его данные были переданы нам, пожалуйста, свяжитесь с нами на legal@repetitor.tech.

11. МАРКЕТИНГОВЫЕ КОММУНИКАЦИИ

11.1. Мы можем направлять маркетинговые сообщения (новости, акции, полезные материалы) только при наличии отдельного согласия Пользователя.

11.2. Отказаться от рассылки можно в любое время: нажав ссылку «Отписаться» в письме; через раздел настроек профиля; направив запрос на hello@repetitor.tech.

11.3. Отказ от маркетинговых рассылок не затрагивает системные (транзакционные) уведомления, необходимые для исполнения договора (подтверждения оплаты, изменения в условиях, технические оповещения).

12. ДАННЫЕ УЧЕНИКОВ ПОЛЬЗОВАТЕЛЯ

12.1. При использовании платформы Пользователь-репетитор вносит персональные данные своих учеников (имена, контакты, успеваемость и иные сведения). В этих отношениях:

— Пользователь является самостоятельным оператором персональных данных своих учеников в смысле ст. 3 152-ФЗ;
— Repetitor.tech выступает обработчиком (processor) данных учеников исключительно по поручению Пользователя, на основании ч. 3 ст. 6 152-ФЗ.

12.2. Пользователь самостоятельно несёт ответственность за:

— наличие законного основания для сбора и обработки данных учеников (согласие, договор с учеником, законный интерес);
— информирование учеников о факте и целях обработки их данных;
— соблюдение всех требований 152-ФЗ в отношении данных учеников.

12.3. Оператор обрабатывает данные учеников Пользователя исключительно в технических целях оказания услуги, не использует их в маркетинговых и иных самостоятельных целях, не передаёт их третьим лицам без необходимости (за исключением технических подрядчиков) и хранит только в течение периода, необходимого для оказания услуги Пользователю.

12.4. Ученик, желающий реализовать свои права как субъект данных (доступ, удаление, исправление), должен обратиться непосредственно к репетитору — самостоятельному оператору его данных.

13. АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА И ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ

13.1. Платформа использует технологии автоматизированной обработки данных (в том числе элементы ИИ) для вспомогательных функций: автоматические напоминания ученикам, предложения по расписанию, анализ успеваемости.

13.2. В соответствии со ст. 16 152-ФЗ Пользователь вправе потребовать пересмотра любого решения, принятого исключительно на основании автоматизированной обработки его персональных данных, если такое решение влечёт юридические последствия или существенно затрагивает его права. Запрос направляется на legal@repetitor.tech. Ответ предоставляется в течение 30 дней с участием сотрудника Оператора (человеческий контроль).

14. ИЗМЕНЕНИЯ ПОЛИТИКИ

14.1. Оператор вправе в одностороннем порядке вносить изменения в настоящую Политику. Новая редакция публикуется на сайте и вступает в силу с момента размещения.

14.2. При внесении существенных изменений (изменение целей обработки, новые категории получателей данных) Оператор уведомит Пользователей по email не менее чем за 14 дней до вступления изменений в силу.

14.3. Продолжение использования платформы после вступления в силу новой редакции означает согласие с изменёнными условиями.

15. КОНТАКТЫ И РЕКВИЗИТЫ