Политика конфиденциальности

1. Термины и определения

1.1. Оператор — лицо, организующее и (или) осуществляющее обработку персональных данных и определяющее цели, состав и действия обработки (ст. 3 152‑ФЗ).

1.2. Персональные данные (ПД) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (ст. 3 152‑ФЗ).

1.3. Обработка ПД — любое действие (операция) или совокупность действий (операций) с ПД (ст. 3 152‑ФЗ).

1.4. Субъект ПД — физическое лицо, чьи ПД обрабатываются (посетитель Сайта/Пользователь Сервиса).

1.5. Cookie‑файлы (cookies) — небольшие фрагменты данных, сохраняемые на устройстве пользователя при посещении сайта, которые могут содержать идентификаторы, настройки и сведения о действиях пользователя в браузере.

1.6. Технически необходимые cookies — cookies, без которых невозможно корректное функционирование Сервиса (авторизация, безопасность сессии и т.п.).

1.7. Аналитические cookies — cookies и/или идентификаторы, используемые для аналитики поведения и статистики (в т. ч. посредством систем веб‑аналитики).

2. Сведения об Операторе

2.1. Оператор: Исполнитель/Администрация Сервиса, указанный в Оферте и реквизитах на Сайте:

• ФИО: Гославский Лев Николаевич
• ИНН: 774314560420
• E‑mail для обращений по ПД: my-altiora@mail.ru
• г. Москва
• Адрес для корреспонденции и иные реквезиты предоставляются по запросу на электронную почту

3. Область действия Политики

3.1. Политика распространяется на обработку ПД:

• посетителей Сайта (в т. ч. при использовании cookies);
• зарегистрированных пользователей (владельцев Личного кабинета);
• пользователей, приобретающих подписку/разовый доступ;
• пользователей, записывающихся и оплачивающих консультации;
• лиц, обращающихся в поддержку.

3.2. Политика не регулирует обработку данных третьими лицами на сторонних ресурсах, на которые могут вести ссылки из Сервиса. При переходе на сторонние ресурсы применяются политики таких ресурсов.

4. Принципы обработки персональных данных

4.1. Оператор обрабатывает ПД на законной и справедливой основе, ограничиваясь достижением конкретных, заранее определённых и законных целей.

4.2. Обрабатываются только те ПД, которые соответствуют целям обработки, и в объёме, не превышающем необходимого. Оператор придерживается принципа минимизации данных: не собирает и не запрашивает данные, избыточные для заявленных целей обработки.

4.3. Оператор принимает меры по обеспечению точности, достаточности и актуальности ПД.

4.4. Хранение ПД осуществляется не дольше, чем этого требуют цели обработки, если иной срок не установлен законодательством РФ.

5. Возраст и несовершеннолетние

5.1. Сервис предназначен для лиц, достигших 14 лет. Проверка возраста осуществляется на основании даты рождения, предоставленной Пользователем при регистрации.

5.2. В отношении Пользователей 14–18 лет Оператор вправе запрашивать подтверждение наличия согласия законного представителя на заключение договора (Оферты) в случаях и порядке, предусмотренных Офертой и гражданским законодательством РФ. Совершая акцепт Оферты и предоставляя свои персональные данные, Пользователь подтверждает, что действует с согласия своего законного представителя.

5.3. Оператор не запрашивает и не обрабатывает избыточные сведения о законном представителе; объём сведений ограничивается необходимым для проверки наличия согласия и исполнения требований закона/Оферты.

5.4. Оператор исходит из того, что Пользователь, достигший 14 лет, действует с согласия своего законного представителя. В случае поступления от законного представителя мотивированного заявления об отсутствии такого согласия Оператор незамедлительно прекратит обработку персональных данных соответствующего Пользователя и заблокирует его учётную запись до урегулирования ситуации.

6. Категории и перечень обрабатываемых персональных данных

Оператор обрабатывает ПД в зависимости от сценария использования Сервиса.

6.1. Данные учётной записи (регистрация и вход)

• имя/никнейм;
• адрес электронной почты;
• дата рождения (для подтверждения достижения 14-летнего возраста и соблюдения возрастных ограничений);
• идентификатор пользователя в Сервисе;
• данные авторизации (логин) и хэш пароля (пароли в открытом виде не хранятся).

6.2. Данные, связанные с оказанием услуг (подписка/разовая покупка доступа)

• сведения о приобретённых услугах/доступах (тип доступа, состав, сроки, статусы);
• история действий, связанных с предоставлением доступа (факт открытия доступа/статусы доступа);
• прогресс использования интерактивного функционала (результаты тестов, статистика по карточкам/повторениям и иные показатели, которые отображаются в Личном кабинете).

6.3. Данные по консультациям

• сведения о записи на консультацию (дата/время, слот, статус);
• сведения об оплате (статус, идентификатор заказа/платежа);
• сообщения/переписка по организации консультации (если ведётся через сервис/поддержку).

Важно: Оператор не осуществляет запись консультаций (аудио/видео) и не хранит такие записи в рамках Сервиса, если иное не будет введено в продукт и отдельно урегулировано.

6.4. Платёжные и финансово‑учётные данные

• сумма, дата/время, статус оплаты;
• идентификаторы платежа/заказа, сведения о возврате;
• данные чека и иные сведения, необходимые для исполнения обязанностей по применимому налоговому/финансовому законодательству.

Оператор не хранит полные реквизиты банковских карт; их обработка осуществляется платёжными провайдерами.

6.5. Технические данные и журналы безопасности

• IP‑адрес, дата/время, сведения о браузере и устройстве, идентификаторы сессии;
• технические журналы (логи) действий в Сервисе в целях обеспечения работоспособности и безопасности.

6.6. Cookies и данные аналитики

• технически необходимые cookies;
• аналитические cookies и идентификаторы веб‑аналитики — только при наличии отдельного согласия (см. раздел 10).

6.7. Какие данные Оператор не обрабатывает

Оператор не обрабатывает специальные категории ПД (ст. 10 152‑ФЗ) и биометрические ПД (ст. 11 152‑ФЗ), если иное не предусмотрено законом и не оформлено надлежащим образом.

7. Цели обработки ПД и правовые основания

7.1. Оператор обрабатывает ПД в следующих целях:

А) Для заключения и исполнения договора (Оферты) и предоставления сервиса
Цели: регистрация, создание и ведение учётной записи, предоставление доступа к материалам/функциям, ведение прогресса, организация консультаций, сервисные уведомления, поддержка, а также проверка соблюдения возрастных ограничений, установленных в разделе 5 настоящей Политики.
Правовое основание: пункт 5 части 1 статьи 6 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (исполнение договора).

Б) Для исполнения обязанностей, установленных законом
Цели: формирование и хранение документов учёта, исполнение требований по применимому налоговому/финансовому законодательству, ответы на законные запросы госорганов.
Правовое основание: пункт 5 части 1 статьи 6 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (исполнение договора).

В) Для обеспечения безопасности и предотвращения злоупотреблений
Цели: защита аккаунтов, предотвращение несанкционированного доступа, расследование инцидентов, устойчивость и исправление ошибок.
Правовое основание: пункт 5 части 1 статьи 6 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (исполнение договора).

Г) Аналитика и маркетинг (необязательные цели)
Цели: веб‑аналитика, улучшение интерфейсов по данным аналитики, маркетинговые рассылки/акции (если используются).
Правовое основание: пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (согласие субъекта).

7.2. Если в Сервис будут добавлены анкеты/опросники, не необходимые для оказания оплаченной услуги (например, расширенный «персональный план»), Оператор будет обрабатывать такие данные либо на основании отдельного согласия, либо на ином законном основании, прямо указанном в интерфейсе и документах Сервиса.

8. Условия обработки и основные операции

8.1. Оператор осуществляет обработку ПД с использованием средств автоматизации и/или без использования таких средств.

8.2. Основные операции: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (предоставление/доступ) в случаях, описанных в Политике, блокирование, удаление, уничтожение, обезличивание. Оператор осуществляет как автоматизированную, так и неавтоматизированную, а также смешанную обработку персональных данных.

8.3. ПД могут обрабатываться на территории РФ с использованием баз данных, находящихся на территории РФ (см. раздел 12).

9. Передача ПД третьим лицам и поручение обработки

9.1. Оператор может:

• передавать ПД третьим лицам (как самостоятельным операторам) в случаях, предусмотренных законом или необходимых для оказания услуг; и/или
• поручать обработку ПД третьим лицам (обработчикам) по договору поручения обработки (ст. 6, ст. 18, ст. 18.1 152‑ФЗ).

9.2. Оператор привлекает третьих лиц в минимально необходимом объёме для целей, указанных в разделе 7. Типовые категории получателей/обработчиков:

• платёжные провайдеры/агрегаторы (приём платежей, возвраты);
• сервисы уведомлений (e‑mail/SMS/пуш);
• хостинг/инфраструктурные провайдеры (размещение Сервиса);
• сервис видеосвязи для консультаций (сторонняя платформа связи);
• подрядчики по технической поддержке/разработке (если привлекаются);
• Эксперты (для оказания консультаций) — в объёме, необходимом для проведения консультации и коммуникации по её организации;
• государственные органы — в случаях и объёме, предусмотренных законом.

9.3. В договорах с обработчиками (лицами, которым поручена обработка) Оператор предусматривает требования к конфиденциальности, безопасности ПД и обработке только по поручению и в рамках целей.

9.4. Оператор не размещает ПД в открытом доступе и не распространяет ПД без законного основания и/или без отдельного согласия субъекта ПД, если согласие требуется.

10. Cookies, аналитика и отдельное согласие

10.1. Сервис использует cookies:

• технически необходимые — для работы Сервиса (включая авторизацию и безопасность). Их использование обусловлено функционированием Сервиса и оказанием услуг;
• аналитические — для сбора статистики и анализа пользовательского поведения.

10.2. Согласие на аналитические cookies/веб‑аналитику запрашивается через cookie‑баннер и/или отдельный переключатель в настройках (если реализовано). До получения согласия аналитические cookies не устанавливаются и не используются (кроме технически необходимых).

10.3. Пользователь может:

• отозвать согласие на аналитику через интерфейс cookie‑баннера и/или
• ограничить cookies в настройках браузера и/или
• обратиться к Оператору по контактам из раздела 2.

10.4. Отключение технически необходимых cookies может привести к невозможности использования Личного кабинета/авторизации.

11. Маркетинговые рассылки и отдельное согласие

11.1. Маркетинговые рассылки (если используются) направляются только при наличии отдельного согласия Пользователя.

11.2. Отказ от маркетинговых рассылок возможен:

• по ссылке/команде отписки в сообщении и/или
• по запросу Оператору по e‑mail из раздела 2.

11.3. Сервисные уведомления (например, подтверждение регистрации, сообщения о статусе оплаты/доступа, организационные уведомления по консультациям) не являются маркетинговыми и направляются в рамках исполнения договора.

12. Локализация и трансграничная передача

12.1. Оператор обеспечивает выполнение требований ч. 5 ст. 18 152‑ФЗ о локализации ПД граждан РФ: сбор, запись, систематизация, накопление, хранение, уточнение и извлечение ПД осуществляются с использованием баз данных, находящихся на территории РФ.

12.2. Трансграничная передача ПД Оператором не осуществляется, если прямо не указано иное в обновлённой редакции Политики и/или в отдельном согласии, когда такое согласие требуется. Оператор также не использует для сбора и обработки ПД сервисы, размещённые за пределами РФ, за исключением случаев, прямо разрешённых законодательством.

13. Сроки хранения ПД

13.1. Оператор хранит ПД не дольше, чем это необходимо для целей обработки, если более длительный срок не установлен законом.

13.2. Типовые сроки хранения (если иной срок не предусмотрен законом/договором/технической необходимостью):

13.2.1. Данные учётной записи, прогресса и использования Сервиса — на период действия учётной записи и до 3 лет с даты последней активности в Сервисе (для обработки обращений, защиты прав в спорах).

13.2.2. Финансово‑учётные данные и сведения, связанные с оплатами/возвратами/чеками — в сроки, установленные применимым законодательством РФ (в т. ч. налоговым и правилами хранения документов), как правило не менее 5 лет, либо иной срок, прямо установленный законом для конкретного вида документов/данных.

13.2.3. Логи безопасности и технические журналы — как правило до 12 месяцев, если более длительное хранение не требуется для расследования инцидентов, предотвращения злоупотреблений и защиты прав.

13.2.4. Аналитические данные (при согласии) — в соответствии с настройками инструмента аналитики/политиками хранения, но, как правило, до 12 месяцев, если иной срок не согласован и не указан в настройках.

13.2.5. Маркетинговые данные (при согласии) — до отзыва согласия/отписки либо до прекращения рассылок.

13.3. По достижении целей обработки либо при отзыве согласия (в применимых случаях) Оператор прекращает обработку и удаляет/уничтожает ПД либо обезличивает их, если иное не требуется законом.

13.4. Уничтожение персональных данных производится способами, исключающими их последующее восстановление (форматирование/перезапись информации в базах данных, физическое уничтожение бумажных носителей с использованием шредера при их наличии).

14. Меры защиты персональных данных

14.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.

14.2. Меры включают (не ограничиваясь):

• разграничение прав доступа к ПД;
• использование защищённых протоколов передачи данных (HTTPS/TLS);
• хранение паролей в виде хэш‑значений;
• резервное копирование (при необходимости) и восстановление работоспособности;
• мониторинг событий безопасности, защита от типовых атак, логирование;
• регламенты доступа и обработки ПД.

14.3. При выявлении инцидента безопасности, повлёкшего неправомерный доступ к ПД (утечку), Оператор обязуется:

• в течение 24 часов с момента обнаружения уведомить об этом уполномоченный орган (Роскомнадзор);
• в течение 72 часов с момента обнаружения предоставить результаты внутреннего расследования с указанием причин, виновных лиц (при наличии) и принятых мер.

Иные действия осуществляются в порядке и сроки, предусмотренные 152‑ФЗ и подзаконными актами.

15. Права субъекта ПД и порядок обращений

15.1. Субъект ПД вправе реализовать права, предусмотренные 152‑ФЗ, в том числе:

• получать информацию об обработке его ПД;
• требовать уточнения ПД, их блокирования или уничтожения при наличии оснований;
• отозвать согласие на обработку ПД (когда обработка основана на согласии);
• обжаловать действия/бездействие Оператора в Роскомнадзор или суд.

15.2. Обязанности Пользователя

15.2.1. Предоставлять исключительно достоверные, полные и актуальные персональные данные.

15.2.2. Своевременно (незамедлительно при изменении) актуализировать предоставленные сведения.

15.2.3. Не использовать функционал Сервиса для распространения информации, нарушающей законодательство РФ, права третьих лиц или содержащей вредоносный код.

15.2.4. Соблюдать требования настоящей Политики и иных документов, размещенных на Платформе.

15.3. Отзыв согласия осуществляется путём направления соответствующего запроса Оператору в порядке, предусмотренном настоящим разделом. Обработка ПД, основанная на согласии, прекращается в течение срока, установленного законом, если иное не предусмотрено законом.

15.4. Для реализации прав субъект ПД направляет запрос Оператору:

• на e‑mail из раздела 2, и/или
• почтовым отправлением по адресу Оператора.

15.5. Запрос должен содержать:

• ФИО (или иные данные, позволяющие идентифицировать пользователя в Сервисе);
• e‑mail/телефон, указанный при регистрации (если применимо);
• суть запроса (какое право реализуется);
• сведения, позволяющие идентифицировать отношения с Оператором (например, ID пользователя/номер заказа — при наличии).

15.6. Оператор вправе запросить дополнительные сведения, необходимые для идентификации субъекта ПД и предотвращения неправомерного доступа третьих лиц к ПД.

15.7. Оператор не вправе отказывать субъекту ПД в обслуживании (в том числе в предоставлении услуг по договору) в случае, если субъект ПД не предоставил данные или не дал согласие на обработку, которые не являются обязательными для исполнения договора в соответствии с законодательством РФ.

15.8. Сроки ответа на запросы устанавливаются 152‑ФЗ и применимыми нормативными актами.

15.9. Оператор не предоставляет информацию о персональных данных и статусе их обработки по телефону или посредством голосовых сообщений ввиду невозможности достоверной идентификации обратившегося лица. Запросы принимаются исключительно в письменной форме по каналам связи, указанным в разделе 2.

16. Обновление Политики

16.1. Оператор вправе изменять Политику. Новая редакция размещается на Сайте и вступает в силу с даты размещения, если иное не указано в новой редакции.

16.2. При существенных изменениях, влияющих на права и законные интересы субъектов ПД, Оператор вправе дополнительно уведомлять пользователей через e‑mail и/или уведомления в Личном кабинете.

17. Контакты

17.1. По вопросам обработки ПД и реализации прав субъектов ПД обращаться по контактам из раздела 2 настоящей Политики.