Политика в отношении обработки персональных данных для мобильного приложения «Онлайн-Школа №1: Дневник»

Дата: 18.04.2024

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – «Политика»), составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») и определяет порядок обработки персональных данных любых посетителей мобильного приложения «Онлайн-Школа №1: Дневник» (далее – «Приложение») и меры по обеспечению безопасности персональных данных, собираемых и обрабатываемых следующими операторами персональных данных (далее – «Оператор»):

• Общество с ограниченной ответственностью «ОНЛАЙН-ШКОЛА», ИНН: 7841085414, ОГРН: 1197847147090, адрес юридического лица: 191181, город Санкт-Петербург, Большая Морская ул, д. 3-5 литера А, помещ. 16-н:3.
• Частное учреждение дополнительного образования «ОНЛАЙН-ШКОЛА №1», ИНН: 7708436887, ОГРН: 1247700392147, адрес юридического лица: 101000, город Москва, Уланский пер, д. 22 стр. 1, помещ. 36н/5.

1.2. Каждый Оператор будет являться оператором персональных данных в отношении тех данных, которые он получил в соответствии с Политикой.
1.3. Политика применяется ко всей информации, которую Оператор может получить о любых посетителях Приложения (далее – «Пользователь», «Пользователи»). Под Пользователями понимаются любые лица и их представители, в том числе обучающиеся и/или их законные представители, посетившие Приложение.
1.4. Для целей Политики под персональными данными необходимо понимать любую информацию, относящуюся прямо или косвенно к Пользователю.
1.5. В соответствии с Законом о персональных данных Пользователи обязаны:

• предоставлять Оператору достоверные данные о себе;
• предоставлять Оператору документы, содержащие персональные данные Пользователя, в объеме, необходимом для целей их обработки;
• сообщать Оператору о каждом уточнении (обновлении, изменении) своих персональных данных.

1.6. Оператор будет обрабатывать персональные данные Пользователей, а именно: собирать, записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять), извлекать, использовать, передавать (предоставлять, обеспечивать доступ), обезличивать, блокировать, удалять, уничтожать персональные данные Пользователей.
1.7. Оператор не осуществляет трансграничную передачу персональных данных, то есть передачу персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Правовые основания обработки персональных данных

2.1. Оператор обрабатывает персональные данные Пользователей только в случае их заполнения и/или отправки Пользователями самостоятельно через специальные формы, расположенные в Приложении, при обращении к Оператору через мессенджеры Telegram и WhatsApp, по телефонам горячей линии Оператора, в рамках образовательного процесса.

2.2. Обработка персональных данных осуществляется Оператором на территории Российской Федерации. Оператор не осуществляет обработку специальных и биометрических персональных данных Пользователей.

2.3. Обработка персональных данных осуществляется в соответствии и во исполнение Договоров и иных соглашений Оператора и Пользователей, согласия Пользователя на обработку персональных данных, локальных нормативных актов Оператора, законов и подзаконных актов, регулирующих отношения, связанные с деятельностью Оператора в области обработки персональных данных, в том числе:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
• Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
• Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства РФ «Об утверждении Правил оказания платных образовательных услуг» от 15.09.2020 № 1441;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• иные федеральные законы и принятые на их основе нормативные акты, регулирующие деятельность Оператора;
• учредительные документы Оператора, в том числе устав Оператора;
• Согласия Пользователей на обработку персональных данных, данные Оператору в порядке, предусмотренном Политикой;
• иные основания, когда согласие Пользователя не требуется в силу законодательства Российской Федерации.

2.4. Для Пользователей, не зарегистрированных в Приложении, правовым основанием будет являться законный интерес оператора в соответствии с п. 7 ч. 1 ст. 6 Закона о персональных данных.

3. Согласие на обработку персональных данных

3.1. Оператор хранит и обрабатывает персональные данные Пользователей на основании предоставленного ими согласия, если иное не предусмотрено законодательством Российской Федерации.
3.2. Пользователь дает согласие Оператору на совершения следующих действий с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, доступ, обезличивание, блокирование, удаление, уничтожение.
3.3. Согласие Пользователя на обработку персональных данных может быть предоставлено и получено Оператором следующими способами:

• посредством нажатия Пользователем кнопки регистрации в Приложении (согласие дается в момент нажатия кнопки);
• посредством нажатия Пользователем кнопки при заполнении формы в Приложении (согласие дается в момент нажатия кнопки);
• посредством нажатия Пользователем кнопки оплаты в Приложении (согласие дается в момент нажатия кнопки);
• посредством телефонного звонка Пользователя на горячую линию Оператора;
• в рамках образовательной деятельности при взаимодействии Пользователя с Оператором в лице работников Оператора, обеспечивающих процесс обучения.

3.4. Пользователь самостоятельно определяет перечень персональных данных, которые Оператор вправе обрабатывать с целью исполнения и заключения договоров, путем заполнения в личном кабинете в Приложении только тех полей с персональными данными, в отношении которых Пользователь выражает согласие Оператору на обработку персональных данных. При этом Пользователь осознает, что непредоставление Оператору персональных данных, прямо запрошенных Оператором для исполнения и заключения договоров, влечет невозможность исполнения условий этих договоров.

4. Обработка персональных данных при регистрации и авторизации в Приложении

4.1. Для регистрации в Приложении Пользователям необходимо указать следующие сведения о себе:

• имя;
• фамилия;
• Email (адрес электронной почты);
• номер мобильного телефона;
• пароль.

4.2. Для авторизации в Приложении Пользователям необходимо указать следующие сведения о себе:

• имя;
• фамилия;
• Email (адрес электронной почты);
• номер мобильного телефона;
• пароль.

4.3. В процессе использования зарегистрированными Пользователями Приложения Оператору также станут известны следующие сведения о Пользователях:

• фамилия, имя и отчество обучающегося;
• фамилия, имя и отчество законного представителя обучающегося;
• номер контактного телефона законного представителя обучающегося;
• адрес электронной почты законного представителя обучающегося;
• сведения о прогрессе обучения обучающегося;
• сведения об изучаемых обучающимся дисциплинах;
• способ оплаты обучения;
• данные о сессиях и активности в Приложении.

4.4. Пользователи вправе добровольно предоставить Оператору следующие сведения о себе: сведения о месте жительства, реквизиты документа, удостоверяющего личность Пользователя, фотографию Пользователя.
4.5. В связи с использованием Приложения Оператор может автоматически собирать следующую неперсонифицированную информацию о пользователе:

• Информацию о трафике, возможном количестве кликов, логи и другие данные;
• Информацию об устройстве Пользователя (идентификационный номер, тип, модель, операционная система, сеть мобильного оператора), с которого выполняется вход, IP адрес.

4.6. Пользователь даёт согласие на доступ к камере и галерее своего устройства, а также на обработку загруженных изображений при использовании функций Приложения.
4.7. Цели сбора персональных данных:

• Регистрация и предоставление доступа к Приложению;
• Подготовка, формирование и направление ответа на запросы и обращения Пользователей;
• Информирование о деятельности Оператора, об оказываемых ими услугах;
• Защита прав Оператора при возникновении споров/вопросов/запросов/требований или иных обращений от государственных или муниципальных органов;
• Использование Приложения Оператора, в том числе идентификации и авторизации;
• Для оперативной и корректной работы Приложения, улучшения функционирования работы Приложения, улучшения контента Приложения, улучшения внутренней архитектуры и функциональности Приложения;
• Для персонализации контента и рекомендаций под интересы Пользователя;
• Для технической поддержки Приложения, выявления проблем в его работе и их устранения;
• Оказание Пользователям образовательных услуг, выполнение условий любых Договоров, заключенных между Оператором и Пользователями;
• Сохранение для Пользователей возможности заключить соглашение с Оператором без необходимости повторно представлять свои персональные данные;
• Исполнение судебных актов, актов органов государственной власти, муниципальных органов и их должностных лиц;
• Предоставление Пользователям эффективной клиентской поддержки.

4.8. Перечисленные персональные данные не относятся к специальным категориям или биометрическим персональным данным в соответствии со ст. 10–11 Закона о персональных данных и обрабатываются автоматизированным способом.
4.9. Все данные, касающиеся использования Приложения, хранятся и обрабатываются в течение всего срока использования Пользователем Приложения, а также:

• в течение 3 лет после прекращения использования Пользователем Приложения для целей судебной защиты интересов Оператора в соответствии со ст. 196 ГК РФ;
• в течение 5 лет после прекращения использования Пользователем Приложения для целей осуществления бухгалтерского и налогового учета в соответствии со ст. 23 Налогового кодекса РФ, ст. 29 Федерального Закона «О бухгалтерском учете» № 402-ФЗ и п. 11–12 Приказа Росархива №236.

4.10. По достижении указанных сроков обработки персональные данные Пользователя уничтожаются путем удаления из информационных систем с помощью встроенных средств информационной системы и уничтожения бумажных экземпляров (при наличии).
4.11. Для хранения данных, предоставленных Пользователями в процессе регистрации и пользования Приложения, Оператор использует базу данных PostgreSQL.

5. Сбор персональных данных

5.1. Соглашаясь с условиями Политики, Пользователь гарантирует, что:

• предоставил полностью достоверную информацию и понимает, что несет ответственность за предоставление недостоверной или недостаточной информации;
• достиг возраста 14 лет или является законным представителем несовершеннолетнего и имеет право давать соответствующее согласие в соответствии с законодательством РФ.

5.2. Оператор получает персональные данные непосредственно от Пользователя или от его законного представителя. В случае предоставления Оператору персональных данных другого человека и совершения регистрации от его имени, Пользователь несет полную ответственность за то, что лицо или лица, чьи персональные данные он предоставил, осведомлены об этом, понимают и согласны с тем, что Оператор обрабатывает их данные в соответствии с Политикой.

6. Исправление неточных или неактуальных данных

6.1. При обработке персональных данных Оператор обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных данных.
6.2. Если Оператор установит факт неточности персональных данных Пользователя, Оператор будет актуализировать их в порядке, установленном Законом о персональных данных.
6.3. Если Пользователь установит факт неточности своих персональных данных, он должен передать Оператору актуальные персональные данные.
6.4. Обработка актуальных персональных данных Пользователя осуществляется с момента их представления Оператору Пользователем.

7. Прекращение неправомерной обработки данных

7.1. В случае подтверждения факта неправомерности обработки персональных данных Оператор прекращает их обработку в порядке, установленном Законом о персональных данных.
7.2. Оператор уничтожает персональные данные при достижении целей обработки персональных данных, а также в случае отзыва согласия на их обработку, если:

• Оператор не вправе осуществлять обработку без согласия пользователя на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено соглашением между Оператором и субъектом персональных данных или Политикой.

7.3. Оператор уничтожает персональные данные путем удаления персональных данных из информационных систем, с помощью встроенных средств информационной системы.

8. Передача данных третьим лицам

8.1. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям и в порядке, предусмотренным законодательством Российской Федерации.
8.2. Случаи, при которых Оператор обязан передать персональные данные органам власти, иным публично-правовым образованиям, в том числе при отсутствии согласия со стороны Пользователя, предусмотрены законодательством Российской Федерации.
8.3. Оператор предоставляет доступ к персональным данным только тем работникам, которым такой доступ необходим для достижения целей обработки персональных данных, предусмотренных Политикой. Для защиты и обеспечения конфиденциальности персональных данных все работники Оператора соблюдают внутренние правила и процедуры в отношении обработки таких данных. Работники Оператора следуют всем техническим и организационным мерам, которые действуют для защиты персональных данных.
8.4. Оператор вправе передавать персональные данные Пользователей в целях прохождения однократной регистрации Пользователей в Приложении.
8.5. Принимая Политику и предоставляя Оператору персональную информацию, Пользователь соглашается с тем, что Оператор вправе поручить обработку персональных данных третьим лицам, указанным выше, а также передавать им персональные данные.
8.6. Оператор вправе передавать персональные данные Пользователей третьим лицам для достижения целей, предусмотренных Политикой. К таким третьим лицам могут относиться: провайдеры услуг веб-аналитики, провайдеры услуг таргетирования рекламы, провайдеры услуг облачного хранения данных, провайдеры CRM-систем, провайдеры услуг эквайринга.
8.7. Принимая Политику и предоставляя Оператору персональную информацию, Пользователи соглашаются на передачу данных третьим лицам, указанным в Политике.

9. Безопасность данных

9.1. Персональные данные, которые Оператор обрабатывает, считаются конфиденциальной информацией. Они защищены от потери, изменения или несанкционированного доступа согласно законодательству Российской Федерации в области персональных данных. Для этого Оператор применяет технические средства и организационные меры. Оператор постоянно совершенствует свои системы защиты данных.
9.2. Оператор обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия Пользователя, если иное не предусмотрено положениями Политики или законодательством Российской Федерации.
9.3. Оператор внедрил достаточные технические и организационные меры для защиты персональных данных от несанкционированного, случайного или незаконного уничтожения, потери, изменения, недобросовестного использования, раскрытия или доступа, а также иных незаконных форм обработки. Данные меры безопасности реализованы с учетом современного уровня техники, стоимости их реализации, рисков, связанных с обработкой и характером персональных данных.
9.4. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.
9.5. Оператор принял следующие меры:

• назначил ответственного за организацию обработки персональных данных;
• издал и утвердил Политику;
• принял необходимые технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• ознакомил работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных;
• определил угрозу безопасности персональных данных при их обработке в информационных системах, а также обеспечили уровень защищенности, в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119.

9.6. Оператор вправе принимать иные меры, направленные на защиту персональных данных.

10. Изменение политики

10.1. Оператор вправе вносить в Политику изменения по своему усмотрению, в том числе, в случаях, когда соответствующие изменения связаны с изменениями в применимом законодательстве, а также когда соответствующие изменения связаны с изменениями в работе Приложения.

10.2. Изменения в Политику вступают в силу с даты опубликования Политики в новой редакции, если текстом Политики или приказом об утверждении Политики не предусмотрено иное. Посещение и использование Приложения после внесения изменений в Политику означает принятие Пользователем изменений Политики или аналогичного документа, который будет принят вместо Политики.