Политика обработки персональных данных

Редакция 1.3.0 от 2026-05-16

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, принимаемые Оператором.

1. Оператор

Индивидуальный предприниматель Плиев Роберт Аланович
ИНН: 151504691000
ОГРНИП: 326150000019461
Адрес: 362003, РФ, Республика Северная Осетия — Алания, г. Владикавказ, ул. Коцоева, д. 121
E-mail: support@chembioege.ru
Телефон: +7 995 301-18-21
Сайт: https://chembioege.ru
Поддержка: ежедневно 9:00–21:00 (МСК)
(далее — «Оператор»)

2. Основные понятия

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому физическому лицу.
Сайт — совокупность двух доменов Оператора, рассматриваемая как единый информационный ресурс:
  — chembioege.ru — маркетинговый сайт (описание курсов, акции, контакты);
  — study.chembioege.ru — образовательная Платформа (личный кабинет, материалы курсов, тренажёры, оплата).
Субъект ПДн — пользователь Сайта или Платформы.
Обработка — любое действие с ПДн: сбор, запись, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

3. Какие данные обрабатываются

• имя;
• адрес электронной почты;
• хеш пароля (сам пароль не хранится и не передаётся);
• IP-адрес и user-agent браузера (для защиты аккаунта и предотвращения мошенничества);
• изображение аватара (если загружено пользователем);
• описание «О себе» (если заполнено пользователем);
• данные о прохождении курсов: ответы на задания, комментарии преподавателя, оценки;
• данные о платежах: сумма, дата, идентификатор транзакции у платёжного провайдера. Полные реквизиты банковской карты Оператору не передаются и не хранятся;
• идентификатор чата Telegram (chat_id) и/или идентификатор пользователя ВКонтакте (user_id) — только при добровольной привязке этих мессенджеров пользователем в разделе «Настройки» для получения сервисных уведомлений. Привязка обратимая: пользователь может отвязать канал в любой момент.

4. Цели обработки

• регистрация и авторизация пользователя;
• предоставление услуг по оплаченным курсам;
• проверка работ Заказчика кураторами, выставление оценок и предоставление индивидуальной обратной связи;
• контроль качества проверки работ кураторами и обучение новых кураторов;
• обезличенный анализ типичных ошибок учащихся для улучшения программы курсов;
• коммуникация с пользователем в рамках курса (в т.ч. сервисные уведомления о проверке работ, новых уроках, дедлайнах — по email и, при добровольной привязке, через Telegram/ВКонтакте);
• выполнение обязательств по заключённым договорам;
• исполнение требований налогового законодательства РФ;
• фиксация факта и условий согласия субъекта (IP-адрес, user-agent, версия документа, время) — для возможности подтвердить волеизъявление в случае спора;
• при наличии явного согласия пользователя в баннере — обезличенная веб-аналитика посещаемости через Яндекс.Метрику (см. раздел 6 и 7);
• защита аккаунта от несанкционированного доступа.

5. Правовые основания

• согласие субъекта ПДн, выраженное при регистрации (п. 1 ч. 1 ст. 6 152-ФЗ);
• исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6);
• исполнение возложенных на Оператора функций, связанных с налоговым учётом (п. 2 ч. 1 ст. 6).

6. Cookie и технические данные

Сайт использует файлы cookie следующих категорий:

• Необходимые (без согласия, без них работа невозможна): cookie аутентификации (access/refresh token), cookie защиты от CSRF-атак (csrf_token), cookie сохранения настроек интерфейса (тёмная/светлая тема).
• Аналитические (только с согласия пользователя в баннере): cookie Яндекс.Метрики, используемые для обезличенного подсчёта посещений, измерения времени на странице и записи действий пользователя в Вебвизоре. Цель — улучшение удобства Платформы. См. раздел 7.

При первом посещении Платформы пользователю показывается баннер с выбором: «Принять все cookie» или «Только необходимые». Выбор сохраняется в локальном хранилище браузера и в журнале согласий (consent_log) для авторизованных пользователей. Изменить выбор можно очисткой локального хранилища.

7. Передача данных третьим лицам

Персональные данные передаются исключительно в объёме, необходимом для исполнения договора, следующим лицам:

• АО «Тинькофф Банк» (Т-Касса) — для проведения платежа (email и сумма). Договор-оферта: tinkoff.ru/kassa/agreements.
• Mailopost (ООО «Мейлопост», РФ) — для доставки писем с подтверждением регистрации и сервисных уведомлений (email и имя). Оферта: mailopost.ru.
• ФНС России — сумма и факт оплаты при формировании чека самозанятого.
• Кураторы и проверяющие работ — физические лица (самозанятые или ИП), привлечённые Оператором для проверки выполненных Заказчиком заданий и развёрнутых работ. Передача ПДн (имя, e-mail, текст работ, история проверок) куратору осуществляется исключительно на основании письменного договора поручения обработки персональных данных по ч. 3 ст. 6 ФЗ-152, обязывающего куратора: обрабатывать ПДн только в целях проверки и обратной связи, не использовать в собственных целях, не передавать третьим лицам, соблюдать меры защиты, прекратить доступ к Платформе и удалить любые локальные копии ПДн (при их наличии) по окончании действия договора. Перечень привлечённых кураторов и их подписанные договоры хранятся у Оператора и предоставляются по запросу субъекта ПДн или контролирующих органов.
• ООО «Яндекс» (РФ) — для обезличенного учёта посещаемости и анализа поведения пользователей через сервис Яндекс.Метрика (счётчик № 109266019). Передаются: IP-адрес, идентификатор браузера (user-agent, fingerprint), последовательность открытых страниц, длительность сессии. Передача происходит только при явном согласии пользователя на аналитические cookie в баннере. Условия обработки: yandex.ru/legal/metrica_termsofuse.
• ООО «В Контакте» (РФ) — для доставки сервисных уведомлений в мессенджере ВКонтакте. Передаётся только текст уведомления и идентификатор сообщества/пользователя. Передача осуществляется только при добровольной привязке аккаунта пользователем.
• Telegram FZ-LLC (Объединённые Арабские Эмираты) — для доставки сервисных уведомлений в мессенджере Telegram. Передаётся только текст уведомления и идентификатор чата. Передача осуществляется только при добровольной привязке аккаунта пользователем (см. раздел 7.1).

Первичная запись и хранение персональных данных граждан РФ осуществляется на серверах, расположенных на территории Российской Федерации (242-ФЗ).

7.1. Трансграничная передача персональных данных

В соответствии со ст. 12 152-ФЗ, при добровольной привязке мессенджера Telegram пользователем осуществляется трансграничная передача персональных данных в Telegram FZ-LLC, юрисдикция — Объединённые Арабские Эмираты (ОАЭ). ОАЭ не входят в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждённый Роскомнадзором.

Состав передаваемых данных ограничен:

• текстом уведомления (название работы / урока, оценка, ссылка);
• идентификатором чата (chat_id), который Telegram уже имеет в силу того, что пользователь является его клиентом.

Передача осуществляется на основании отдельного согласия пользователя, выраженного действием — нажатием кнопки «Привязать Telegram» в разделе «Настройки» личного кабинета. До нажатия этой кнопки никакая передача данных в Telegram не производится. Согласие может быть отозвано в любой момент путём нажатия кнопки «Отвязать» в том же разделе.

Передача данных в ВКонтакте трансграничной не является (оператор ООО «В Контакте» зарегистрирован в РФ).

8. Сроки хранения

• данные аккаунта — в течение срока существования аккаунта;
• данные об оплатах и акцепте оферты — 3 года после прекращения отношений (для возможных претензий и налогового контроля);
• логи аутентификации и IP — 180 дней;
• журнал платёжных событий — 3 года.

9. Меры защиты

Оператор принимает организационные и технические меры для защиты ПДн от несанкционированного доступа:

• шифрование трафика (HTTPS/TLS 1.2+);
• хеширование паролей (bcrypt);
• хеширование refresh-токенов в БД, ротация токенов с обнаружением повторного использования;
• HTTP-only, Secure, SameSite cookies;
• CSRF-защита и Content-Security-Policy;
• ограничение числа запросов (rate-limit) и защита от брутфорса;
• регулярное резервное копирование.

10. Права субъекта ПДн (ст. 14 152-ФЗ)

Вы имеете право:

• получить информацию об обработке ваших ПДн;
• требовать уточнения, блокирования или уничтожения ваших ПДн;
• отозвать согласие на обработку в любой момент (ч. 2 ст. 9 152-ФЗ);
• обжаловать действия Оператора в Роскомнадзоре или в суде.

10.1. Удаление учётной записи и связанных ПДн

Для удаления аккаунта направьте письменный запрос на e-mail support@chembioege.ru с того же адреса, который указан в вашей учётной записи (это подтверждает идентичность субъекта обращения). В теме письма укажите «Запрос на удаление аккаунта».

Сроки:

• 10 рабочих дней — рассмотрение запроса и фактическое уничтожение ПДн (ч. 3 ст. 21 152-ФЗ);
• в исключительных случаях (необходимость проверки личности обратившегося, технические сложности) срок может быть продлён, но не более чем до 30 календарных дней с обязательным уведомлением субъекта (ч. 5 ст. 21).

Что будет удалено: ФИО, e-mail, телефон, аватар, описание «о себе», прогресс по урокам, ответы на задания, фото-вложения к работам, привязки мессенджеров (Telegram/VK), кэш токенов и сессий, согласия в журнале (анонимизируются).

Что сохраняется после удаления и почему: обезличенные записи о платежах (сумма, дата, идентификатор операции у Т-Кассы, без привязки к физическому лицу) — на срок 3 года в соответствии с п. 8 ч. 1 ст. 23 НК РФ и требованиями налогового учёта самозанятого; запись в журнале уничтожения ПДн с SHA-256-хэшем e-mail (ч. 7 ст. 21 152-ФЗ — для подтверждения факта исполнения запроса). После истечения срока хранения эти записи также уничтожаются.

Подтверждение исполнения: на e-mail заявителя направляется уведомление об исполнении запроса с указанием даты и состава уничтоженных данных.

Кто исполняет: уничтожение ПДн выполняется ответственным за организацию обработки ПДн (см. раздел «Реквизиты» Оферты) после идентификации заявителя. Самостоятельное self-service удаление в личном кабинете отключено в целях защиты от несанкционированных удалений (например, при компрометации пароля) — все обращения проходят через подтверждение по e-mail.

Для реализации иных прав (получение информации об обработке, исправление неточных данных, ограничение обработки) — обратитесь на тот же e-mail. Срок ответа — до 30 (тридцати) календарных дней с момента получения обращения (ч. 5 ст. 21 ФЗ-152).

11. Уведомление об инцидентах

В случае нарушения безопасности ПДн Оператор уведомляет Роскомнадзор в течение 24 часов и затрагиваемых пользователей — не позднее 72 часов с момента обнаружения.

12. Несовершеннолетние субъекты ПДн

Платформа предназначена для лиц от 14 лет. Возраст Пользователя подтверждается при принятии Публичной оферты (раздел 3 Оферты): Пользователь заявляет, что ему исполнилось 14 лет, и, если он младше 18 лет, что его законные представители осведомлены об использовании Платформы и не возражают (ст. 26 ГК РФ).

Если Оператору станет известно, что Пользователь не достиг 14 лет, либо что у Пользователя 14–18 лет отсутствует согласие законных представителей, Оператор:

• прекращает обработку персональных данных такого Пользователя;
• удаляет его учётную запись и все связанные ПДн в течение 3 (трёх) рабочих дней;
• возвращает денежные средства за неиспользованный период обучения по письменному заявлению законного представителя на адрес support@chembioege.ru.

Сообщить о факте использования Платформы лицом младше 14 лет можно на e-mail support@chembioege.ru.

13. Изменение Политики

Актуальная редакция Политики всегда доступна по адресу: https://chembioege.ru/privacy. О существенных изменениях пользователь уведомляется по email.

Редакция 1.3.0, действует с 2026-05-16.