Политика в отношении обработки персональных данных

Сводка по целям: субъекты, данные, способы, сроки и уничтожение (п. 2 ч. 1 ст. 18.1 152-ФЗ)

Ниже — по каждой заявленной цели обработки кратко указаны категории субъектов, категории (перечень) персональных данных, способы обработки, а также отсылка к срокам и уничтожению при достижении целей или на иных законных основаниях. Детализация — в разделах 3–6 и 10–11 настоящего документа. Обработка в продукте осуществляется с использованием средств автоматизации (программно-аппаратные средства, базы данных на стороне оператора/хостинга), без решений, порождающих для субъекта юридические последствия иное на основании исключительно автоматизированной обработки, если иное прямо не предусмотрено функционалом площадки.

• Цель 1. Предоставление доступа к сервису и учебным материалам
  • Субъекты: пользователи с ролями «ученик», «преподаватель», «администратор».
  • Данные: адрес электронной почты, отображаемое имя, хэш пароля; технические данные сессии (в т.ч. cookie аутентификации).
  • Способы: сбор, запись, систематизация, накопление, хранение, использование, уточнение, удаление и уничтожение — в объёме, необходимом для цели.
  • Сроки и уничтожение: разделы 10–11; ученик может инициировать удаление учётной записи через «Аккаунт».
• Цель 2. Учёт прогресса и обратная связь по ответам
  • Субъекты: преимущественно «ученик».
  • Данные: назначения вариантов, попытки, введённые ответы, статусы проверки, служебные метки времени.
  • Способы:как в цели 1.
  • Сроки и уничтожение: разделы 10–11; уничтожение вместе с учётной записью или по регламенту оператора.
• Цель 3. Безопасность, конфиденциальность и устойчивость сервиса
  • Субъекты: все категории пользователей; при настройке сервера — посетители в объёме технических журналов.
  • Данные: IP-адрес и параметры запроса (ограничение частоты), cookie согласия (ege_cookie_consent), иные технические cookie, необходимые для работы сайта.
  • Способы:как в цели 1.
  • Сроки и уничтожение: разделы 3, 10; срок cookie согласия — до 180 дней, далее повторный запрос выбора в баннере.
• Цель 4. Направление приглашений на регистрацию по электронной почте
  • Субъекты: адресаты приглашений до создания учётной записи.
  • Данные: адрес электронной почты, сведения, необходимые для формирования и отправки приглашения.
  • Способы: сбор, запись, хранение, использование, передача провайдеру почты, удаление по регламенту оператора.
  • Сроки и уничтожение: разделы 5, 10–11; при удалении учётной записи ученика связанные приглашения по email удаляются в составе сценария на «Аккаунт».

1. Кто является оператором

Оператором персональных данных при работе конкретного экземпляра сайта является лицо или организация, которые развернули сервис, задают цели и состав обработки и несут ответственность перед субъектами и уполномоченным органом (например, образовательная организация, ИП-преподаватель, администратор корпоративного стенда). Авторы программного кода не становятся операторами ваших данных на вашем сервере, если вы сами хостите приложение.

2. Нормативная база и принципы

Обработка персональных данных на территории РФ подлежит 152-ФЗ и иным применимым актам (включая нормы об образовании и информации, если они затрагивают вашу площадку). Среди принципов, которые оператор обязан учитывать: законность и справедливость, ограничение целей заранее заявлёнными целями, минимизация объёма и характера обрабатываемых данных по отношению к заявленным целям, достоверность, ограниченный срок хранения, безопасность данных.

С 2024 года усилены требования к содержанию и форме согласия субъекта и к сведениям, которые оператор указывает в уведомлении об обработке персональных данных в уполномоченный орган (в предусмотренных законом случаях). С 2025 года ужесточены правила трансграничной передачи и ответственность за нарушения режима персональных данных; для субъектов важно, что оператор обязан вести учёт инцидентов и взаимодействовать с уполномоченным органом в порядке, установленном действующим правом.

3. Категории субъектов и состав данных

• Субъекты: пользователи с ролями «ученик», «преподаватель», «администратор»; лица, получившие приглашение по электронной почте до регистрации.
• Учётная запись: адрес электронной почты, отображаемое имя, хэш пароля (пароль в открытом виде не хранится).
• Учебная активность: назначения вариантов, попытки, введённые ответы, статусы проверки, служебные метки времени — в объёме, необходимом для работы платформы.
• Технические данные: cookie и аналоги для сеанса аутентификации; при настройке сервера — IP и параметры запроса для ограничения частоты обращений (защита от злоупотреблений).
• Запоминание выбора по cookie (баннер): cookie ege_cookie_consent хранит ваш ответ по категориям «аналитика» и «маркетинг» (срок — до 180 дней, затем баннер может снова запросить выбор). Необходимые для работы сайта cookie не отключаются через баннер.
• Почтовые приглашения: адрес из приглашения; при использовании SMTP — передача письма провайдеру связи в объёме, необходимом для доставки.

4. Цели обработки

• предоставление доступа к учебным материалам и вариантам в сервисе «ЛОВИ СОТКУ» (подготовка к ЕГЭ по математике);
• учёт прогресса и обратная связь по ответам;
• организация ролевой модели на одной площадке;
• обеспечение безопасности, конфиденциальности и устойчивости сервиса.

Обработка не ведётся в целях, не согласованных с субъектом и законом, сверх объёма, разумно необходимого для указанных целей.

5. Правовые основания и согласие (ред. 152-ФЗ с 01.09.2024)

В зависимости от ситуации применяются основания, предусмотренные ст. 6 152-ФЗ, в том числе: согласие субъекта, исполнение договора, соглашение сторон, иные основания, прямо указанные в законе. Для регистрации по приглашению на сайте используется активная отметка (чекбокс без предварительного выбора) — это элемент электронного согласия на обработку в целях, описанных в настоящем документе.

С 1 сентября 2024 г. законодатель усилил требования к согласию: оно должно быть конкретным по целям, недопустимо «размывание» формулировок; согласие на обработку персональных данных не должно быть фактически спрятано внутри текста договора, публичной оферты или пользовательского соглашения как единственный способ выражения воли по несвязанным целям. Оператор обязан обеспечить соответствие своих форм (в т.ч. бумажных и электронных) актуальным требованиям 152-ФЗ и при необходимости выдать субъекту отдельный документ согласия с реквизитами оператора, перечнем данных, сроком и способом отзыва — в дополнение к информации на этой странице.

Готовый бланк для заполнения реквизитов (наименование, ИНН, адрес, ФИО ответственного и субъекта) и подписи: «Согласие на обработку ПДн» — шаблон для печати или PDF.

При противоречии между настоящей страницей и локальными актами оператора (политика, оферта, согласие на обработку ПДн) приоритет имеют документы оператора, размещённые или переданные им субъекту в установленном порядке.

6. Действия с персональными данными

В отношении данных могут совершаться действия, предусмотренные 152-ФЗ: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение — в объёме, необходимом для целей обработки и выбранных оператором правовых оснований.

7. Локализация и трансграничная передача

Локализация. Персональные данные граждан Российской Федерации подлежат записяванию, систематизации, накоплению, хранению, уточнению и извлечению с использованием баз данных, находящихся на территории РФ, — с соблюдением требований ст. 18 152-ФЗ и подзаконных актов. Оператор выбирает хостинг и сервисы с учётом этих требований.

Трансграничная передача. С учётом изменений, вступивших в силу в марте 2025 г., передача персональных данных на территорию иностранных государств допускается при выполнении условий 152-ФЗ (включая уведомительный режим и иные требования уполномоченного органа к странам, не обеспечивающим адекватную защиту прав субъектов). Если оператор использует облако или SMTP за пределами РФ, он самостоятельно оформляет правовые основания такой передачи.

8. Меры защиты и инциденты (в т.ч. сведения для ч. 2 ст. 18.1 152-ФЗ)

Оператор назначает ответственных, применяет организационные и технические меры защиты информации, соответствующие угрозам и объёму обрабатываемых данных (в т.ч. разграничение доступа, учётные записи, обновления ПО, резервное копирование — в пределах развёрнутой конфигурации).

При выявлении инцидентов, затрагивающих персональные данные (в т.ч. несанкционированный доступ или утечка), оператор действует в соответствии с действующими правилами взаимодействия с Роскомнадзором, в том числе с учётом ужесточенных с 1 сентября 2025 г. требований к срокам уведомления уполномоченного органа и иных процедур. Субъектам по запросу сообщается о фактах, подлежащих раскрытию по закону.

9. Уведомление Роскомнадзора и внутренняя документация

При наступлении условий, предусмотренных ст. 22 152-ФЗ, оператор направляет или обновляет уведомление об обработке персональных данных, включая расширенный перечень сведений (категории субъектов и данных, цели и основания, сведения о трансграничной передаче, меры защиты, ответственное лицо и др. — по форме и в сроки, которые установлены для соответствующей категории операторов). Не все виды обработки требуют уведомления: конкретику определяет оператор с учётом исключений закона. Локальные политики и журналы учёта обработки ведутся оператором самостоятельно.

10. Срок хранения

Сроки хранения определяются целями обработки, договором с субъектом, локальными актами оператора и требованиями иных законов (например, об архивном хранении в образовании). Уточняйте у администратора площадки правила удаления учётных записей и учебной истории.

11. Права субъекта персональных данных

В пределах, установленных 152-ФЗ (включая ст. 14–21), вы вправе, в частности:

• получать сведения об обработке ваших персональных данных;
• требовать уточнения, блокирования или уничтожения данных, если они неполны, устарели или обрабатываются незаконно;
• отзывать согласие на обработку (если обработка на нём основана), с учётом возможности прекращения оказания услуги;
• обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных и в суд.

Часть сведений учётной записи можно изменить самостоятельно на странице «Аккаунт» после входа (имя, email, пароль — если предусмотрен вход по паролю). Иные запросы направляйте оператору по контактам, которые он обязан предоставить субъектам (см. раздел 12).

Порядок удаления учётных записей и связанных данных по ролям изложен в разделе 11а ниже.

11а. Удаление учётных записей и уничтожение персональных данных (по ролям)

• Ученик (роль STUDENT). Самообслуживание: после входа на странице «Аккаунт» в блоке «Удаление учётной записи и персональных данных» — подтверждение текущим паролем и фразой УДАЛИТЬ (заглавными). Безвозвратно удаляются профиль, email, имя, попытки и ответы, приглашения на этот адрес, связанные токены; восстановление той же учётной записи в приложении невозможно. Факт операции фиксируется в служебном журнале аудита приложения (самоудаление субъекта).
• Преподаватель и администратор площадки (TEACHER, ADMIN). В интерфейсе этого приложения нет кнопки полного самоудаления учётной записи: у указанных ролей есть привязанный контент (шаблоны, варианты, назначения и т.д.), целостность которого учитывается при проектировании продукта. Запросы субъекта на прекращение обработки или удаление направляются оператору (владельцу развёрнутого стенда): перенос владения, архивация, блокировка или иной порядок определяются локальными актами и регламентом оператора, а не текстом настоящей страницы.
• Администратор с доступом в бэкофис (роль ADMIN). Для учётных записей только учеников предусмотрен отдельный сценарий удаления по адресу электронной почты: внутренний маршрут /admin/erase-student (доступ только после входа под ролью администратора; операция логируется в том же журнале аудита удалений). Назначение и ответственность персонала оператор определяет во внутренних регламентах и, при необходимости, предоставляет по запросу.
• Резервные копии, реплики и логи хостинга. Удаление записей в рабочей базе приложения не означает автоматическое исчезновение персональных данных во всех резервных копиях, репликах и журналах инфраструктуры. Сроки обезличивания или уничтожения копий, порядок работы с логами и субподрядчиками определяет оператор в регламенте эксплуатации; сведения об этих сроках предоставляются субъекту по запросу в пределах компетенции оператора.

12. Контакты оператора

Наименование, адрес, контакт для обращений по вопросам персональных данных и ответственное лицо размещает оператор на вашей площадке (сайт школы, курсов, внутренние регламенты). Если таких сведений нет в открытом доступе — запросите их у администратора сервиса.

13. Публичная практика без регистрации

Раздел без регистрации не создаёт учётную запись; при этом могут обрабатываться технические данные и cookie в минимальном объёме для работы сайта и защиты от злоупотреблений. Оператор обеспечивает правомерность такой обработки (в т.ч. через политику в отношении cookie и настройки аналитики, если они используются).

14. Изменения настоящего документа

Оператор вправе обновлять текст с учётом изменений закона и функционала сервиса. Существенные изменения разумно доводить до субъектов способами, предусмотренными локальными правилами (уведомление в интерфейсе, электронная почта и т.д.).