Политика конфиденциальности

1. Общие положения

Настоящая Политика конфиденциальности (далее — «Политика», «Политика конфиденциальности») определяет порядок обработки и защиты персональных данных пользователей образовательной платформы SdamEx™ (далее — «Платформа», «Сервис», «Сайт»).

Оператор персональных данных: Индивидуальный предприниматель Артемьев Павел Александрович, ОГРНИП: 323237500397392, ИНН: 861501926637, адрес: г. Новороссийск, ул. Виноградная, д. 1А (далее — «Оператор», «Мы», «Нас», «Нам»).

Товарный знак: SdamEx™ является товарным знаком индивидуального предпринимателя Артемьев Павел Александрович.

Используя Платформу, вы соглашаетесь с условиями настоящей Политики. Если вы не согласны с условиями Политики, пожалуйста, немедленно прекратите использование Платформы.

Мы обязуемся соблюдать требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе», иных нормативных актов, регулирующих обработку персональных данных, защиту информации, рекламную деятельность.

Настоящая Политика является неотъемлемой частью Условий использования Платформы.

Термины, используемые в настоящей Политике, имеют значения, определенные в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», если иное не указано в Политике.

2. Какие данные мы собираем

Мы собираем и обрабатываем следующие категории персональных данных:

2.1. Данные, предоставляемые при регистрации и использовании Сервиса:

• Контактные данные: электронная почта (email)
• Идентификационные данные: имя, фамилия (при предоставлении), отображаемое имя (display name), никнейм (username)
• Демографические данные: возраст, пол (при предоставлении)
• Образовательные данные: класс обучения, название учебного заведения, предпочитаемые экзамены (selected_exam_ids), цели обучения (learning_goals), предпочтительный стиль обучения (learning_style), предпочтения по уровню сложности (difficulty_preference), любимые темы (favorite_topics)
• Географические данные: город, страна (при предоставлении)
• Данные для аутентификации: пароль (хранится в зашифрованном виде с использованием современных алгоритмов хеширования), токены доступа (JWT), идентификаторы сессий
• Данные профиля: фотография профиля (аватар, при загрузке)
• Данные родителей или законных представителей: электронная почта родителя (parent_email) — только при явном указании несовершеннолетним пользователем для родительского контроля
• Реферальная программа: реферальный код (referral_code), идентификатор пригласившего пользователя (referred_by), источник регистрации (registration_source)

2.2. Данные об использовании Сервиса:

• Данные о решении задач: история решенных задач, результаты решения, время решения, количество попыток, правильность ответов, использованные подсказки, введенные ответы, решения задач, комментарии к задачам
• Данные о прогрессе обучения: статистика успеваемости, прогресс по темам, предметам, экзаменам, уровень знаний, навыки, достижения, награды
• Данные о взаимодействии с ИИ-тьютором: чат-сессии, запросы к ИИ-тьютору, ответы ИИ-тьютора, контекст разговоров, история диалогов, использованные функции ИИ-тьютора, время взаимодействия, частота использования
• Данные о настройках и предпочтениях: настройки интерфейса, предпочтения по сложности задач, предпочтения по темам, настройки уведомлений, настройки конфиденциальности, языковые настройки, настройки отображения
• Данные о подписке и платежах: информация о подписке (тип, срок действия, статус), история платежей, данные о транзакциях, данные о возвратах, данные о промокодах и применённых скидках (использованный промокод, размер скидки, итоговая сумма платежа).
  Данные карты: полный номер карты (PAN), CVC/CVV и срок действия мы не получаем и не храним — их обрабатывает платёжный сервис ЮКасса или Т-Банк. Для целей отображения в интерфейсе и обработки автопродления подписки мы храним только: 4 последние цифры карты (card_last4), тип карты (Visa/MasterCard/МИР), месяц и год окончания срока действия (card_exp_month, card_exp_year) и непубличный токен способа оплаты от провайдера.
• Данные об использовании лимитов ИИ-функций: количество использованных и оставшихся сообщений AI-чата (в рамках дневного лимита), количество использованных и оставшихся единиц энергии (в рамках недельного лимита), история списаний и восполнений счётчиков, время сброса счётчиков. Эти данные необходимы для корректного учёта использования тарифа.
• Игровая статистика: монеты, опыт (XP), уровни, достижения, стрики (серии дней активности), награды, рейтинги, позиции в рейтингах
• Данные о времени и активности: время и дата активности, время последнего входа, время сессий, продолжительность сессий, частота использования, паттерны использования
• Данные о коллекциях и вариантах: созданные коллекции задач, сохраненные варианты, избранные задачи, закладки, теги, категории
• Данные о взаимодействии с контентом: просмотренные уроки, просмотренные задачи, просмотренные материалы, время просмотра, взаимодействие с элементами интерфейса
• Данные о обратной связи: отзывы, жалобы, предложения, сообщения в поддержку, отчёты об ошибках в задачах, отчёты о проблемах. При отправке отчёта об ошибке вы можете прикрепить скриншот — он сохраняется в нашем хранилище (feedback_reports.image_url) и доступен только администрации Сервиса.
• Профиль обучения и адаптации ИИ-тьютора: для адаптации ИИ-тьютора под ваш уровень мы храним структурированный профиль обучения:
  • facts — произвольные заметки об ученике, которые ИИ-тьютор делает для адаптации стиля общения (например, «предпочитает геометрические задачи», «отвечает развёрнуто»)
  • skill_levels — оценки уровня владения отдельными темами
  • recent_errors — последние типичные ошибки для целевой работы над ними
  • last_seen_topics — недавно встреченные темы
  • safety_flags — внутренние флаги модерации (например, попытки обходить образовательную тематику)
  • experiments — назначения по A/B-экспериментам
  • consents — структурированные согласия пользователя по категориям
  • feature_flags — индивидуальные включения/выключения экспериментальных функций
  Этот профиль обновляется как явно (при заполнении профиля), так и автоматически на основании вашего взаимодействия с ИИ-тьютором. Вы можете запросить его выгрузку или сброс через контакты, указанные в разделе 15.

2.3. Технические данные:

• Данные об устройстве: тип устройства (компьютер, планшет, смартфон), операционная система, версия операционной системы (из User-Agent)
• Данные о браузере: тип браузера, версия браузера, язык браузера, цветовая схема (светлая/темная)
• Сетевые данные: IP-адрес, приблизительное местоположение (на основе IP-адреса). MAC-адрес и данные о провайдере интернета мы не собираем.
• Данные о сессиях: идентификаторы сессий, токены доступа, токены обновления (refresh tokens), время создания и окончания сессий
• Данные о cookies и аналогичных технологиях: идентификаторы cookies, данные, хранящиеся в cookies, данные о локальном хранилище (localStorage, sessionStorage), данные в IndexedDB (whiteboard, image cache)
• Данные аналитики использования Сервиса: события на Платформе (клики, просмотры, переходы, загрузки), пути навигации, воронки использования, метрики производительности, данные о ошибках, логи использования
• Данные о производительности: время загрузки страниц, время отклика сервера, данные о производительности интерфейса, данные о сбоях, данные о ошибках
• Данные о безопасности: попытки входа, неудачные попытки входа, подозрительная активность, данные о безопасности устройства, данные о защите от мошенничества

2.4. Данные из Telegram (при использовании Telegram-бота):

• Идентификационные данные Telegram: Telegram ID, имя пользователя в Telegram (username), имя и фамилия в Telegram, флаг is_bot, флаг is_premium, код языка интерфейса Telegram
• Данные о чате: Chat ID для связи c ботом
• Данные о взаимодействии с ботом: команды и сообщения, отправленные боту, ответы бота, время последнего взаимодействия (telegram_last_seen)

Фотографию профиля, биографию, статус и настройки Telegram (уведомления, конфиденциальность) мы не собираем.

2.5. Данные из внешних сервисов (при использовании социальных сетей для входа):

• Данные из Google: идентификатор Google, имя, фамилия, электронная почта, фотография профиля (при использовании входа через Google)
• Данные из других провайдеров: аналогичные данные из других провайдеров социальных сетей (при наличии интеграции)

2.6. Данные, собираемые автоматически:

• Данные о использовании функций: какие функции используются, как часто используются, в какое время используются, последовательность использования
• Данные о взаимодействии с интерфейсом: клики, наведения, прокрутки, ввод текста, использование клавиатуры, использование мыши, жесты (на мобильных устройствах)
• Данные о предпочтениях: выявленные предпочтения на основе поведения, интересы, паттерны использования, рекомендации, которые были показаны и на которые был клик
• Данные о ошибках и сбоях: информация об ошибках, сбоях, исключениях, данные для отладки, логи ошибок

2.7. Специальные категории персональных данных:

• Мы не собираем специальные категории персональных данных (раса, национальность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, интимная жизнь) без явного согласия пользователя и только в случаях, когда это необходимо для предоставления Сервиса
• Данные о состоянии здоровья могут собираться только в обобщенном виде (например, информация о необходимости специальных условий обучения) и только с явного согласия пользователя или его законных представителей

3. Цели обработки персональных данных

Мы обрабатываем ваши персональные данные для следующих целей:

• Предоставление доступа к образовательной платформе и её функционалу: создание и управление учетной записью, аутентификация, авторизация, предоставление доступа к функциям Платформы
• Персонализация обучения и адаптация контента: адаптация контента под ваши потребности, уровень знаний, предпочтения, цели обучения, предоставление персонализированных рекомендаций, подбор задач, уроков, материалов
• Работа ИИ-тьютора и предоставление обратной связи: генерация ответов ИИ-тьютора, предоставление объяснений, подсказок, обратной связи, адаптация стиля обучения, анализ ошибок, предоставление рекомендаций по улучшению
• Отслеживание прогресса обучения и формирование статистики: отслеживание прогресса, формирование статистики успеваемости, анализ результатов, выявление слабых и сильных сторон, предоставление аналитики
• Реализация системы геймификации: начисление монет, опыта, уровней, достижений, стриков, реализация игровых механик, мотивация к обучению
• Обработка платежей и управление подписками: обработка платежей, управление подписками, обработка возвратов, управление промокодами, скидками, уведомления о платежах
• Связь с пользователем: отправка уведомлений, сообщений поддержки, важных обновлений, новостей, информации о новых функциях, ответы на запросы, обработка обратной связи
• Улучшение качества Сервиса и разработка новых функций: анализ использования, выявление проблем, улучшение интерфейса, разработка новых функций, оптимизация производительности, тестирование новых функций
• Обеспечение безопасности и предотвращение мошенничества: обнаружение и предотвращение мошенничества, злоупотреблений, нарушений безопасности, защита от несанкционированного доступа, защита данных пользователей
• Соблюдение требований законодательства: выполнение требований законодательства Российской Федерации, выполнение требований регуляторов, выполнение судебных решений, выполнение запросов правоохранительных органов
• Маркетинг и реклама: отправка рекламных сообщений (с вашего согласия), персонализация рекламы, анализ эффективности рекламных кампаний, привлечение новых пользователей
• Аналитика и исследования: проведение аналитики использования, исследования поведения пользователей, улучшение алгоритмов и качества сервиса
• Обеспечение работы технической инфраструктуры: обеспечение работы серверов, баз данных, сетевой инфраструктуры, резервное копирование, восстановление данных, мониторинг систем
• Разрешение споров и защита прав: разрешение споров, защита прав Оператора, защита прав пользователей, защита прав третьих лиц, выполнение обязательств по договорам

4. Правовые основания обработки персональных данных

Обработка персональных данных осуществляется на следующих правовых основаниях:

• Согласие субъекта персональных данных: при регистрации и использовании Платформы вы даете согласие на обработку ваших персональных данных в соответствии с настоящей Политикой. Согласие может быть отозвано в любое время путем удаления учетной записи или обращения к нам
• Исполнение договора: обработка необходима для исполнения договора, стороной которого является субъект персональных данных (предоставление услуг Платформы, обработка платежей, управление подписками)
• Соблюдение правовых обязательств: выполнение требований законодательства Российской Федерации, включая, но не ограничиваясь, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Налоговый кодекс Российской Федерации, иные нормативные акты
• Осуществление прав и законных интересов Оператора: улучшение качества Сервиса, обеспечение безопасности, предотвращение мошенничества, маркетинг (при наличии согласия), аналитика, разработка новых функций, защита прав и законных интересов Оператора
• Защита жизненно важных интересов: защита жизни, здоровья субъекта персональных данных или иных лиц (в исключительных случаях)
• Публичные интересы: выполнение задач, возложенных на Оператора законодательством (в случаях, предусмотренных законом)

Для различных категорий данных могут применяться различные правовые основания обработки. Мы обеспечиваем соответствие обработки данных установленным правовым основаниям.

5. Способы и сроки обработки персональных данных

5.1. Способы обработки:

• Обработка персональных данных осуществляется с использованием средств автоматизации и без использования таких средств
• Обработка включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
• Обработка осуществляется с применением современных технологий, включая базы данных, облачные сервисы, системы аналитики, системы машинного обучения, системы искусственного интеллекта

5.2. Места хранения данных:

• Персональные данные хранятся в базах данных на территории Российской Федерации на нашей инфраструктуре в Yandex Cloud (YC)
• Данные могут храниться в резервных копиях и инфраструктурных сервисах Yandex Cloud, соответствующих требованиям безопасности и законодательства РФ
• При работе ИИ-функций некоторые данные временно обрабатываются на серверах провайдеров LLM (см. раздел 6.1) в соответствии с их политиками конфиденциальности и требованиями законодательства; сохранять историю ваших запросов на своих серверах эти провайдеры не должны (zero data retention) — там, где это поддерживается провайдером
• Мы обеспечиваем, чтобы все провайдеры услуг соблюдали требования законодательства о защите персональных данных

5.3. Сроки хранения данных:

• Срок хранения персональных данных определяется сроком действия договора с пользователем (использования Платформы) и требованиями законодательства
• После прекращения использования Сервиса данные могут храниться в течение срока, необходимого для выполнения обязательств перед пользователем, соблюдения требований законодательства, разрешения споров, обеспечения безопасности
• Данные о платежах хранятся в соответствии с требованиями налогового законодательства (не менее 5 лет)
• Данные о взаимодействии с Платформой могут храниться для аналитики и улучшения сервиса в анонимизированном виде неограниченное время
• Данные, необходимые для обеспечения безопасности и предотвращения мошенничества, могут храниться в течение срока, необходимого для этих целей
• При удалении учетной записи большинство персональных данных удаляется в течение 30 дней, за исключением данных, которые должны храниться в соответствии с законодательством
• Анонимизированные данные (данные, из которых невозможно идентифицировать конкретного пользователя) могут храниться неограниченное время для аналитики, исследований, улучшения сервиса

5.4. Обезличивание данных:

• Мы можем обезличивать персональные данные для использования в аналитических целях и исследованиях
• Обезличенные данные не позволяют идентифицировать конкретного пользователя и могут использоваться без ограничений
• Обезличивание осуществляется с использованием современных методов, обеспечивающих невозможность восстановления персональных данных

6. Передача персональных данных третьим лицам

Мы не продаем и не передаем ваши персональные данные третьим лицам для их собственных целей, за исключением следующих случаев:

6.1. Провайдеры услуг (обработчики персональных данных):

• Хостинг и инфраструктура: мы размещаем сервисы и базы данных на инфраструктуре Yandex Cloud (YC) в РФ. Vercel используется только как DNS-провайдер домена и не обрабатывает пользовательские данные
• Платежные системы: при обработке платежей мы передаем необходимые данные платежному провайдеру ЮКасса (ООО «ЮMoney», ОГРН: 1127747002519) или Т-Банк (АО «ТБанк», ОГРН: 1027739642281) в соответствии с их политиками конфиденциальности и условиями использования. ЮКасса и Т-Банк обрабатывают данные платежей в соответствии с требованиями PCI DSS
• Провайдеры ИИ-услуг (LLM): при использовании ИИ-тьютора, проверки решений, пробных экзаменов и анализа коллекций ваши запросы, контекст разговоров, имя пользователя и тексты решений передаются одному из следующих провайдеров (выбор провайдера определяется внутренним feature-флагом и может меняться без отдельного уведомления):
  • OpenAI, L.L.C. — США
  • Anthropic, PBC — США
  • Google LLC (Gemini / Vertex AI) — США
  • DeepSeek (Hangzhou DeepSeek Artificial Intelligence Co., Ltd.) — Китай
  • Alibaba Cloud (Qwen) — Китай
  Все LLM-запросы маршрутизируются через наш собственный ретранслятор llm-relay, размещённый на инфраструктуре Railway (Railway Corp., США). Ретранслятор переписывает исходящие заголовки и не сохраняет содержимое запросов, но физически передача осуществляется через серверы в США, после чего достигает конечного LLM-провайдера.
  Мы минимизируем передачу личных идентификационных данных. Email, пароли, платёжные данные и точное местоположение мы не передаём в LLM-провайдеры. Имя пользователя передаётся в составе системного промпта для персонализации обращения. Мы не обучаем собственные модели на данных пользователей и заключаем с провайдерами условия, запрещающие использование наших данных для обучения их моделей (zero data retention где это поддерживается провайдером).
• Провайдеры аналитики и продуктовой телеметрии: мы используем Google Analytics 4 (Google LLC, США) и Яндекс.Метрику (ООО «Яндекс», РФ) с включённой записью сессий (webvisor). В webvisor включена маскировка клавиатурного ввода во все поля форм через атрибут data-ym-disable-keys; записываются движения мыши, клики и прокрутка. В эти сервисы передаются данные о событиях пользователя на Платформе, технические данные (браузер, устройство), идентификаторы аналитических cookies. Email, имя, пароли и платёжные данные в аналитику не передаются. Загрузка аналитических скриптов осуществляется только после получения вашего согласия на аналитические cookies (см. раздел 8).
• Провайдеры коммуникаций: мы можем использовать сервисы для отправки электронной почты, SMS, push-уведомлений. Эти провайдеры получают только необходимые данные для отправки сообщений
• Провайдеры безопасности: мы можем использовать сервисы для обеспечения безопасности, защиты от мошенничества, DDoS-атак. Эти провайдеры могут получать технические данные для обеспечения безопасности
• Telegram: при использовании Telegram-бота данные передаются в Telegram (Telegram FZ-LLC, ОАЭ) в соответствии с их политикой конфиденциальности и условиями использования

6.2. Требования законодательства:

• Мы можем раскрыть данные, если это требуется по закону, по решению суда, по запросу правоохранительных органов, регуляторов, иных уполномоченных органов
• Мы можем раскрыть данные для защиты наших прав, безопасности, прав пользователей, прав третьих лиц
• Мы обязуемся уведомлять пользователей о раскрытии данных (если это не запрещено законом или не создает угрозу безопасности)

6.3. Бизнес-транзакции:

• В случае слияния, поглощения, реорганизации, продажи активов персональные данные могут быть переданы новому владельцу или правопреемнику
• В таких случаях мы обязуемся уведомить пользователей о передаче данных и обеспечить, чтобы новый владелец соблюдал требования настоящей Политики

6.4. Обязательства третьих лиц:

• Все третьи лица, получающие доступ к персональным данным, обязаны соблюдать требования законодательства о защите персональных данных, настоящей Политики, договоров об обработке персональных данных
• Мы заключаем договоры об обработке персональных данных со всеми провайдерами услуг, получающими доступ к персональным данным
• Третьи лица обязаны использовать персональные данные только для целей, указанных в договорах, и не передавать данные другим лицам без нашего разрешения
• Третьи лица обязаны обеспечивать безопасность персональных данных в соответствии с требованиями законодательства

6.5. Трансграничная передача данных:

• Некоторые данные могут передаваться за пределы Российской Федерации: провайдерам LLM-услуг (OpenAI, Anthropic, Google Gemini — США; DeepSeek, Alibaba Cloud/Qwen — Китай) через ретранслятор llm-relay (Railway, США), сервису Google Analytics 4 (США) и мессенджеру Telegram (Telegram FZ-LLC, ОАЭ) — при использовании соответствующих функций
• Трансграничная передача данных осуществляется в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
• Мы обеспечиваем, чтобы страны, в которые передаются данные, обеспечивали адекватный уровень защиты персональных данных, или используем дополнительные меры защиты (стандартные договорные clauses, сертификаты соответствия)
• При передаче данных в страны, не обеспечивающие адекватный уровень защиты, мы используем дополнительные меры защиты, включая шифрование, анонимизацию, ограничение объема передаваемых данных
• Вы даете согласие на трансграничную передачу данных при использовании Платформы

7. Безопасность персональных данных

Мы применяем технические и организационные меры для защиты ваших персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий:

• Шифрование при передаче: HTTPS/TLS 1.2+ для всего внешнего трафика, HSTS (Strict-Transport-Security) с длительным max-age для предотвращения downgrade до HTTP. Шифрование при хранении обеспечивается стандартными средствами Yandex Cloud для дисков и резервных копий.
• Защита паролей: пароли учётных записей хранятся в Supabase Auth исключительно в виде криптографических хешей с солью (по умолчанию bcrypt). Хранение паролей в открытом виде запрещено архитектурно — мы не имеем доступа к ним даже изнутри.
• Защита баз данных: Row Level Security (RLS) политики на всех таблицах с пользовательскими данными, отдельная роль для веб-доступа (anon / authenticated) с минимальными правами, параметризованные запросы и ORM-слои для исключения SQL-инъекций.
• Web security headers: Content Security Policy (CSP) с nonce-based script-src, Permissions-Policy с явным выключением неиспользуемых API (camera, microphone, geolocation), Referrer-Policy, X-Content-Type-Options, X-Frame-Options для защиты от clickjacking.
• Хранение секретов: production-секреты (ключи API, токены, JWT secrets) хранятся в Yandex Lockbox; в репозитории и образах содержатся только плейсхолдеры. Доступ к Lockbox ограничен сервисными аккаунтами с минимальными правами.
• Webhook security: входящие webhook от платёжных провайдеров (ЮКасса, Т-Банк) фильтруются по IP-allowlist на nginx-уровне и дополнительно проверяются по криптографической подписи запроса. Повторное проигрывание (replay attack) исключено через event-id дедупликацию.
• Rate-limiting и защита от перебора: rate-limiting на endpoints авторизации (login, signup, OTP) и на платные операции, чтобы исключить brute-force и злоупотребления.
• Ограничение доступа: доступ к административным интерфейсам и базам данных предоставляется только владельцу/уполномоченному персоналу по принципу наименьших привилегий. Доступ через SSH с публичными ключами, отзыв ключей при увольнении.
• Мониторинг и логирование: логирование операций над персональными данными, мониторинг базы данных и серверов через Yandex Cloud Logging, оповещения о нештатных событиях (попытки несанкционированного доступа, всплески ошибок) в оперативный канал.
• Резервное копирование: регулярные автоматические резервные копии базы данных, периодические учения по восстановлению (backup-restore drill) для проверки целостности и работоспособности процедуры.
• Cookie consent audit-log: все изменения вашего согласия на использование cookies сохраняются с указанием версии Политики и временной отметки — для прозрачности и возможности воспроизвести историю согласий по запросу.
• Управление инцидентами: в случае инцидента безопасности мы следуем процедуре реагирования, описанной во внутреннем Положении о защите персональных данных, и уведомляем уполномоченный орган и затронутых пользователей в сроки, установленные законодательством.

Мы стремимся применять отраслевые практики защиты данных. В настоящее время мы не имеем сертификатов ISO 27001 или PCI DSS (платежи обрабатываются сертифицированными PCI DSS провайдерами — ЮКасса и Т-Банк), не используем Web Application Firewall (WAF) уровня отдельного продукта и не проводим внешние penetration-тесты. Многофакторная аутентификация (MFA) пользователей пока не реализована — она в дорожной карте.

Однако ни один метод передачи данных через интернет или метод электронного хранения не является абсолютно безопасным. Мы не можем гарантировать абсолютную безопасность ваших данных. Вы используете Платформу на свой риск.

В случае обнаружения утечки данных или иного инцидента безопасности мы обязуемся уведомить уполномоченный орган по защите прав субъектов персональных данных и затронутых пользователей в сроки, установленные законодательством (не позднее 24 часов с момента обнаружения инцидента).

8. Cookies и аналогичные технологии

Мы используем cookies и аналогичные технологии (localStorage, sessionStorage) для обеспечения работы Платформы, сохранения ваших предпочтений и улучшения качества сервиса. Ниже подробно описаны все используемые технологии.

8.1. Категории cookies и аналогичных технологий:

Мы разделяем используемые технологии на четыре категории. Для каждой категории указаны конкретные идентификаторы, назначение, срок хранения и поставщик.

Необходимые (обязательные)

Эти cookies и данные необходимы для базовой работы Платформы: аутентификации, безопасности, навигации. Их нельзя отключить, так как без них Платформа не сможет функционировать.

Функциональные

Запоминают ваши предпочтения интерфейса (тема оформления, состояние меню). Требуют вашего согласия. Без них Платформа будет работать, но не запомнит ваши настройки между сессиями.

Аналитические

Помогают нам понять, как используется Платформа, какие функции популярны и как улучшить сервис. Данные собираются в анонимном виде. Требуют вашего явного согласия.

Мы используем Google Analytics 4 с включённой анонимизацией IP-адресов и отключённой персонализацией рекламы. Яндекс.Метрика работает с webvisor, при этом клавиатурный ввод во все поля форм (чат с ИИ-тьютором, профиль, формы ответов на задачи) маскируется через атрибут data-ym-disable-keys — webvisor записывает только движения мыши, клики и прокрутку. Оба сервиса загружаются только после получения вашего явного согласия на аналитические cookies.

Полный технический реестр всех cookies, localStorage, sessionStorage и IndexedDB ключей ведётся в исходном коде Платформы в файле apps/frontend/shared/utils/cookie-registry.ts и является техническим источником правды. При расхождении с этой Политикой приоритет имеет настоящая Политика.

Рекламные

В настоящее время Платформа не использует рекламные cookies. Если в будущем такие cookies будут добавлены, они будут устанавливаться только с вашего явного согласия, и данный раздел будет обновлен.

8.2. Управление cookies и согласие:

• При первом посещении Платформы вам будет показан баннер с предложением настроить cookies. Вы можете принять все, отклонить опциональные или настроить каждую категорию отдельно
• Необходимые cookies устанавливаются без согласия, так как они критически важны для работы Платформы
• Для использования функциональных, аналитических и рекламных cookies требуется ваше явное согласие
• Вы можете изменить настройки согласия в любое время: через настройки профиля, через кнопку управления cookies в нижней части страницы или через настройки браузера
• Согласие действует 12 месяцев, после чего Платформа повторно запросит ваши предпочтения
• При обновлении настоящей Политики (изменении версии) вы будете уведомлены и сможете пересмотреть свои настройки
• Отключение функциональных cookies приведет к тому, что ваши предпочтения интерфейса (тема, состояние меню) не будут сохраняться между сессиями
• Cookies третьих лиц (Google Analytics) регулируются политиками конфиденциальности соответствующих поставщиков

8.3. Аналогичные технологии:

Помимо cookies, мы используем следующие технологии хранения данных в браузере:

• localStorage: постоянное хранилище данных в браузере. Используется для сохранения настроек интерфейса, истории просмотра задач, локального состояния досок Whiteboard и кэширования данных. Данные сохраняются до их удаления пользователем (через настройки браузера или функцию выхода из аккаунта).
• sessionStorage: временное хранилище данных, очищается при закрытии вкладки. Используется для маркеров текущей сессии (начатый платёж, скрытие CTA) и как fallback при отсутствии согласия на функциональные cookies.
• IndexedDB: структурированное локальное хранилище большого объёма. Используется в функциональности Whiteboard для хранения снимков и изображений досок (для быстрой загрузки и оффлайн-доступа) и для кэша изображений задач. Данные удаляются при выходе из аккаунта и при ручной очистке хранилища браузером.

8.4. Сроки хранения:

• Сессионные cookies и sessionStorage: удаляются при закрытии браузера или вкладки
• Постоянные cookies: хранятся в течение указанного срока (от 1 минуты до 2 лет) или до их удаления пользователем
• localStorage: данные хранятся бессрочно до их удаления пользователем через настройки браузера или через интерфейс Платформы
• Ваше согласие на cookies действительно в течение 12 месяцев с момента последнего обновления настроек

9. Права субъектов персональных данных

В соответствии с законодательством Российской Федерации, вы имеете следующие права:

• На доступ к персональным данным: получить информацию о том, какие ваши данные мы обрабатываем, для каких целей, кому передаются, сроки хранения, источники получения данных
• На исправление: требовать исправления неточных, неполных, устаревших персональных данных
• На удаление: требовать удаления ваших персональных данных при наличии оснований (отзыв согласия, незаконная обработка, достижение целей обработки, иные основания, предусмотренные законом)
• На отзыв согласия: отозвать согласие на обработку персональных данных в любое время (за исключением случаев, когда обработка необходима для исполнения договора или соблюдения правовых обязательств)
• На ограничение обработки: требовать ограничения обработки ваших данных при наличии оснований (оспоримость данных, незаконная обработка, иные основания)
• На возражение: возражать против обработки ваших данных для целей маркетинга, рекламы, иных целей, не связанных с предоставлением Сервиса
• На портативность данных: получить ваши данные в структурированном, общепринятом и машиночитаемом формате (при технической возможности)
• На обжалование действий Оператора: обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд
• На возмещение ущерба: требовать возмещения ущерба, причиненного нарушением требований законодательства о персональных данных
• На информацию о трансграничной передаче: получить информацию о странах, в которые передаются ваши данные, и мерах защиты

9.1. Реализация прав:

• Для реализации ваших прав вы можете обратиться к нам по электронной почте: info@sdamex.com или телефону: +7 (977) 957-22-02
• Мы обязуемся рассмотреть ваш запрос в течение 30 (тридцати) календарных дней с момента его получения
• При необходимости срок рассмотрения может быть продлен до 60 (шестидесяти) календарных дней с уведомлением вас о продлении
• Мы можем запросить дополнительную информацию для идентификации вас и подтверждения ваших прав
• Мы можем отказать в выполнении запроса при наличии оснований, предусмотренных законодательством (например, если выполнение запроса нарушает права других лиц, требования безопасности)
• Отказ в выполнении запроса должен быть мотивированным и обоснованным
• Вы можете обжаловать отказ в выполнении запроса в уполномоченный орган или в суд

9.2. Удаление данных:

• При удалении учетной записи большинство ваших персональных данных будет удалено в течение 30 (тридцати) календарных дней
• Некоторые данные могут быть сохранены в течение срока, необходимого для соблюдения требований законодательства (данные о платежах — не менее 5 лет, данные для разрешения споров — до разрешения спора, иные данные в соответствии с требованиями законодательства)
• Анонимизированные данные (данные, из которых невозможно идентифицировать вас) могут быть сохранены для аналитики и улучшения сервиса
• После удаления данных их восстановление невозможно

10. Особенности обработки данных несовершеннолетних

Наш Сервис предназначен для школьников и студентов, включая несовершеннолетних пользователей. Обработка персональных данных несовершеннолетних осуществляется с особым вниманием к их защите:

• Если вам меньше 18 лет, для использования Сервиса требуется согласие ваших родителей или законных представителей
• Мы не собираем специальные категории персональных данных несовершеннолетних без явного согласия родителей или законных представителей
• Родители или законные представители имеют право в любое время запросить информацию о данных несовершеннолетнего пользователя, исправление, удаление данных
• Родители или законные представители имеют право отозвать согласие на обработку данных несовершеннолетнего пользователя
• Мы не используем данные несовершеннолетних для целей маркетинга и рекламы без согласия родителей или законных представителей
• Мы применяем дополнительные меры защиты данных несовершеннолетних, включая ограничение доступа, дополнительное шифрование, мониторинг использования, применение строгих правил модерации контента
• Мы предпринимаем разумные меры для защиты несовершеннолетних пользователей, включая обеспечение того, что контент Платформы предназначен исключительно для образовательных целей и не содержит материалов, не предназначенных для несовершеннолетних
• Мы не передаем данные несовершеннолетних третьим лицам для их собственных целей без согласия родителей или законных представителей
• При обнаружении, что пользователь является несовершеннолетним без необходимого согласия, мы можем приостановить или прекратить обработку его данных
• Мы оставляем за собой право запросить подтверждение возраста и согласия родителей или законных представителей
• Несовершеннолетние пользователи не могут совершать платные операции без согласия родителей или законных представителей
• Мы применяем технические и организационные меры для обеспечения безопасности несовершеннолетних пользователей при использовании Платформы, включая ограничение доступа к определенным функциям, дополнительный мониторинг активности

11. Обработка данных с использованием искусственного интеллекта

Платформа использует технологии искусственного интеллекта для предоставления услуг ИИ-тьютора. Обработка данных с использованием ИИ имеет следующие особенности:

• Передача данных провайдерам ИИ: ваши запросы к ИИ-тьютору, контекст разговоров, данные о взаимодействии могут передаваться провайдерам LLM (OpenAI, Anthropic, Google Gemini, DeepSeek, Qwen — см. раздел 6.1) для генерации ответов. Мы минимизируем передачу личных идентификационных данных и используем обезличенные данные там, где это возможно
• Передаваемые данные: при проверке решений и работе ИИ-тьютора мы передаем сторонним провайдерам LLM ваши решения, тексты ответов, запросы и имя пользователя. Мы минимизируем объем передаваемых данных и не передаем данные, которые не требуются для генерации ответа. Мы не обучаем собственные модели искусственного интеллекта на данных пользователей. Обработка данных провайдерами LLM регулируется их собственными политиками конфиденциальности
• Хранение данных ИИ: данные о взаимодействии с ИИ-тьютором могут храниться для обеспечения контекста разговоров, улучшения качества ответов, анализа использования. Данные хранятся в зашифрованном виде и защищены техническими и организационными мерами
• Точность ИИ: мы не гарантируем абсолютную точность ответов ИИ-тьютора. Ответы могут содержать ошибки, неточности, устаревшую информацию. Рекомендуется проверять информацию, полученную от ИИ-тьютора, особенно в критически важных ситуациях
• Модификация алгоритмов: мы оставляем за собой право изменять, модифицировать алгоритмы работы ИИ-тьютора, использовать различные модели ИИ без предварительного уведомления для улучшения качества услуг
• Использование данных для улучшения: обезличенные данные о взаимодействии с ИИ-тьютором могут использоваться для анализа качества ответов, выявления типичных ошибок и улучшения настроек промптов
• Провайдеры ИИ-услуг: обработка данных провайдерами ИИ-услуг (OpenAI, Anthropic, Google Gemini — США; DeepSeek, Alibaba Cloud/Qwen — Китай) регулируется их политиками конфиденциальности и условиями использования. Мы не контролируем обработку данных провайдерами ИИ-услуг, но выбираем провайдеров, применяющих соответствующие меры безопасности
• Безопасность данных ИИ: мы применяем меры для защиты данных, передаваемых провайдерам ИИ-услуг, включая шифрование, минимизацию передаваемых данных, использование безопасных каналов связи, обезличивание данных там, где это возможно
• Отказ от использования ИИ-функций: вы можете не использовать функции, связанные с ИИ (проверка решений, ИИ-тьютор). В этом случае ваши данные не будут передаваться провайдерам LLM

12. Маркетинг и реклама

Мы можем использовать ваши персональные данные для маркетинга и рекламы с вашего согласия:

• Рекламные сообщения: отправка рекламных сообщений, новостей, информации о новых функциях, специальных предложениях (только с вашего согласия)
• Персонализация рекламы: показ релевантной рекламы на основе ваших интересов, предпочтений, поведения (только с вашего согласия)
• Ретаргетинг: показ рекламы на других сайтах на основе вашего взаимодействия с Платформой (только с вашего согласия)
• Анализ эффективности: анализ эффективности рекламных кампаний, маркетинговых мероприятий
• Отказ от рекламы: вы можете в любое время отказаться от получения рекламных сообщений, изменив настройки уведомлений или связавшись с нами
• Партнерская реклама: мы можем показывать рекламу партнеров на Платформе. Такая реклама регулируется политиками конфиденциальности партнеров
• Не передаем данные для рекламы: мы не передаем ваши персональные данные третьим лицам для их собственных рекламных целей без вашего явного согласия

13. Изменения в Политике конфиденциальности

Мы оставляем за собой право вносить изменения в настоящую Политику конфиденциальности в любое время без предварительного уведомления.

О существенных изменениях, влияющих на ваши права или способы обработки данных, мы уведомим вас путем размещения новой версии Политики на этой странице с указанием даты последнего обновления, отправки уведомления по электронной почте (при наличии), размещения уведомления на Платформе.

Рекомендуем периодически просматривать эту страницу, чтобы быть в курсе изменений.

Продолжение использования Платформы после внесения изменений означает ваше согласие с новой версией Политики.

Если вы не согласны с изменениями, вы должны прекратить использование Платформы и удалить свою учетную запись.

Изменения вступают в силу с момента размещения новой версии Политики на Платформе.

14. Соответствие международным стандартам (GDPR-ready)

Хотя Платформа в настоящее время ориентирована на пользователей из Российской Федерации, мы стремимся соблюдать международные стандарты защиты персональных данных, включая Общий регламент по защите данных Европейского союза (GDPR):

• Права субъектов данных (GDPR): пользователи из стран ЕС имеют право на доступ к данным, исправление, удаление (право на забвение), ограничение обработки, переносимость данных, возражение против обработки, отзыв согласия
• Право на переносимость данных: вы можете запросить получение ваших персональных данных в структурированном, широко используемом и машиночитаемом формате
• Право на удаление (право на забвение): вы можете запросить удаление ваших персональных данных при определенных обстоятельствах (когда данные больше не нужны для целей, для которых они были собраны, при отзыве согласия, при незаконной обработке)
• Право на ограничение обработки: вы можете запросить ограничение обработки ваших данных в определенных случаях (оспаривание точности данных, незаконная обработка, возражение против обработки)
• Право на возражение: вы можете возразить против обработки ваших персональных данных для целей прямого маркетинга или по основаниям, связанным с вашей конкретной ситуацией
• Автоматизированное принятие решений: мы не используем полностью автоматизированное принятие решений, включая профилирование, которое имеет юридические последствия или существенно влияет на вас, без вашего явного согласия
• Уполномоченный по защите данных (DPO): в случае необходимости мы назначим уполномоченного по защите данных для обеспечения соответствия GDPR и иных требований защиты данных
• Международные передачи данных: при передаче данных в страны за пределами ЕЭЗ мы обеспечиваем соответствующие гарантии (стандартные договорные условия, Privacy Shield, иные механизмы, признанные GDPR)
• Уведомление о нарушениях: в случае нарушения безопасности персональных данных, которое может привести к высокому риску для прав и свобод физических лиц, мы уведомим соответствующий надзорный орган и затронутых пользователей в течение 72 часов
• Право на подачу жалобы: пользователи из ЕС имеют право подать жалобу в надзорный орган по защите данных в своей стране, если считают, что обработка их персональных данных нарушает GDPR

Для реализации ваших прав в соответствии с GDPR, пожалуйста, свяжитесь с нами через контактную информацию, указанную в разделе "Контактная информация".

15. Контактная информация

Если у вас есть вопросы, замечания, запросы, претензии, касающиеся настоящей Политики конфиденциальности или обработки ваших персональных данных, вы можете связаться с нами:

• Индивидуальный предприниматель: Артемьев Павел Александрович
• ОГРНИП: 323237500397392
• ИНН: 861501926637
• Юридический адрес: г. Новороссийск, ул. Виноградная, д. 1А
• Электронная почта: info@sdamex.com
• Телефон: +7 (977) 957-22-02
• Время ответа: мы стремимся отвечать на все запросы в течение 24 (двадцати четырех) часов в рабочие дни
• Рабочие дни: понедельник — пятница, с 9:00 до 18:00 по московскому времени

15.1. Уполномоченный орган:

Вы также можете обратиться в уполномоченный орган по защите прав субъектов персональных данных:

• Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций)
• Адрес: 109074, г. Москва, Китайгородский проезд, д. 7, стр. 2
• Телефон: +7 (495) 987-17-63
• Сайт: https://rkn.gov.ru