1. Общие положения
Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей платформы «Сотри Границы» (далее — «Платформа», «Сервис»).
Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также иных применимых нормативных правовых актов Российской Федерации.
Использование Сервиса означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки персональных данных.
Важно: Платформа предназначена для работы с данными детей с особыми потребностями. Мы применяем повышенные требования защиты и обрабатываем данные исключительно в целях сопровождения развития ребёнка.
2. Оператор персональных данных
Оператором персональных данных является:
АНО Инклюзивный центр «Сотри границы»
ОГРН: 1215000057304
ИНН: 5003145290
Адрес: Московская область, г.о. Ленинский, г. Видное, ул. Завидная, д. 8, пом. 9
Email: info@erase.school
Сайт: erase.school
Оператор уведомил Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) об осуществлении обработки персональных данных в порядке, предусмотренном ст. 22 ФЗ-152. Запись в реестре операторов персональных данных: № 77-23-151172.
3. Категории обрабатываемых персональных данных
В зависимости от роли пользователя на Платформе обрабатываются следующие категории данных:
| Роль | Категория данных |
|---|---|
| Специалисты | ФИО, email, телефон, профессиональные квалификации, место работы, фото профиля |
| Родители / законные представители | ФИО, email, телефон, сведения о ребёнке (имя, дата рождения, диагноз), история взаимодействий |
| Дети (подопечные) | Имя, дата рождения, медицинские диагнозы, данные о развитии по 6 зонам, протоколы занятий, рекомендации специалистов |
| Организации | Наименование, ИНН, реквизиты, контактные данные уполномоченных лиц |
| Все пользователи | IP-адрес, cookie-файлы, данные браузера и устройства, история действий на Платформе |
Специальные категории: данные о состоянии здоровья и диагнозах детей относятся к специальным категориям персональных данных (ч. 1 ст. 10 ФЗ-152) и обрабатываются исключительно с явного согласия законного представителя ребёнка.
4. Цели обработки персональных данных
Оператор обрабатывает персональные данные в следующих целях:
- Регистрация и аутентификация пользователей в Сервисе;
- Предоставление функциональных возможностей Платформы (ведение ИОМ, расписания, протоколов занятий);
- Обеспечение коммуникации между специалистами и семьями;
- Формирование аналитики прогресса ребёнка по зонам развития;
- Уведомление пользователей о событиях (занятиях, обновлениях, задачах);
- Техническая поддержка и устранение неисправностей;
- Исполнение требований законодательства Российской Федерации;
- Улучшение качества Сервиса на основе агрегированной и анонимизированной статистики;
- Проведение научных исследований в области детского развития (исключительно на основании отдельного согласия, с полной анонимизацией данных).
5. Правовые основания обработки
Обработка персональных данных осуществляется на следующих правовых основаниях:
- Согласие субъекта (ст. 6, ч. 1, п. 1; ст. 9 ФЗ-152) — основное основание для большинства операций;
- Исполнение договора (ст. 6, ч. 1, п. 5 ФЗ-152) — обработка, необходимая для оказания услуг Платформы;
- Законный интерес (ст. 6, ч. 1, п. 7 ФЗ-152) — обеспечение безопасности, предотвращение мошенничества;
- Исполнение требований законодательства (ст. 6, ч. 1, п. 2 ФЗ-152) — в случаях, предусмотренных нормативными актами РФ.
Специальные категории персональных данных (медицинские данные) обрабатываются исключительно на основании явного согласия субъекта персональных данных или его законного представителя (ст. 10, ч. 2, п. 1 ФЗ-152).
6. Порядок и условия обработки
Обработка персональных данных осуществляется с использованием средств автоматизации. Сбор данных производится непосредственно от субъектов персональных данных при регистрации и использовании Сервиса.
К обработке персональных данных допускаются только уполномоченные сотрудники Оператора, давшие обязательство о соблюдении конфиденциальности.
Оператор не принимает решений, влекущих правовые последствия в отношении субъекта, исключительно на основании автоматизированной обработки его персональных данных.
Сроки хранения персональных данных:
- Данные аккаунта — в течение срока действия учётной записи + 3 года после её удаления;
- Протоколы занятий и медицинские данные — в течение срока оказания услуг + 5 лет;
- Технические логи — не более 12 месяцев;
- Cookie-файлы — в соответствии с п. 11 настоящей Политики.
7. Хранение и защита данных
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения, в том числе:
- Шифрование данных при передаче (TLS/HTTPS) и хранении (AES-256);
- Разграничение прав доступа на основе ролевой модели;
- Регулярное резервное копирование и контроль целостности данных;
- Мониторинг и журналирование событий безопасности;
- Проведение обучения сотрудников по вопросам защиты персональных данных;
- Применение организационных мер и внутренних политик безопасности.
Персональные данные пользователей хранятся на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ст. 18.1 ФЗ-152 и ст. 22.1 ФЗ-149.
8. Передача персональных данных третьим лицам
Оператор не передаёт персональные данные третьим лицам без согласия субъекта, за исключением следующих случаев:
- Поставщики инфраструктуры — облачные провайдеры и хостинг-компании, обеспечивающие работу Сервиса, на основании договора поручения обработки;
- Платёжные системы — в части данных, необходимых для проведения платежей;
- Уполномоченные органы — по требованию суда, правоохранительных органов или иных государственных органов в порядке, установленном законодательством РФ.
Трансграничная передача персональных данных не осуществляется. Все данные обрабатываются и хранятся на территории Российской Федерации.
Поставщики услуг, получающие доступ к персональным данным, обязуются соблюдать требования конфиденциальности и меры защиты, не менее строгие, чем предусмотренные настоящей Политикой.
9. Права субъектов персональных данных
В соответствии с ФЗ-152 каждый субъект персональных данных имеет право:
- Право на доступ — получить подтверждение факта обработки своих данных и копию обрабатываемых данных (ст. 14 ФЗ-152);
- Право на исправление — потребовать уточнения неточных или неполных данных (ст. 21 ФЗ-152);
- Право на удаление — потребовать удаления данных при наличии оснований (ст. 21 ФЗ-152);
- Право на ограничение обработки — потребовать блокирования данных до выяснения обстоятельств;
- Право на возражение — возразить против обработки в определённых целях;
- Право на отзыв согласия — отозвать ранее данное согласие на обработку (ст. 9 ФЗ-152). Отзыв не влияет на законность обработки, осуществлённой до отзыва;
- Право на обжалование — обратиться с жалобой в Роскомнадзор (rkn.gov.ru) или в суд.
Для реализации прав необходимо направить письменное заявление на адрес: privacy@erase.school. Срок рассмотрения — не более 30 дней.
10. Особые условия обработки данных детей
Платформа предназначена для работы с данными детей в целях сопровождения их развития. К обработке данных детей применяются следующие правила:
- Персональные данные детей обрабатываются исключительно с письменного согласия их законных представителей (родителей или опекунов);
- Медицинские диагнозы и данные о здоровье вносятся только уполномоченными специалистами с явного согласия законного представителя;
- Доступ к данным ребёнка предоставляется только специалистам, непосредственно участвующим в его сопровождении, и законным представителям;
- Данные детей не используются в рекламных целях и не передаются третьим лицам без отдельного явного согласия;
- При достижении ребёнком 14 лет законный представитель информируется о возникновении у ребёнка самостоятельных прав субъекта персональных данных.
Законный представитель вправе в любое время запросить полный перечень данных, внесённых в профиль ребёнка, а также потребовать их удаления, направив обращение на privacy@erase.school.
11. Файлы cookie и технические данные
Платформа использует файлы cookie для обеспечения работы Сервиса, улучшения пользовательского опыта и аналитики. Виды cookie:
- Обязательные — необходимы для аутентификации и безопасной работы Сервиса. Не могут быть отключены;
- Функциональные — сохраняют пользовательские настройки (тема интерфейса, язык);
- Аналитические — помогают понять, как пользователи взаимодействуют с Платформой (только агрегированные данные).
Пользователь может управлять cookie через настройки браузера. Отключение обязательных cookie может нарушить работу Сервиса.
Также автоматически собираются технические данные: IP-адрес (в целях безопасности), тип браузера, операционная система, разрешение экрана. Эти данные не используются для идентификации личности.
12. Изменения Политики
Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке без предварительного уведомления пользователей. Новая редакция вступает в силу с момента её публикации на Платформе.
При существенных изменениях, затрагивающих права пользователей, Оператор уведомляет об этом по электронной почте не менее чем за 7 дней до вступления изменений в силу.
Продолжение использования Сервиса после вступления в силу новой редакции Политики означает согласие пользователя с внесёнными изменениями.
13. Контакты
По всем вопросам, связанным с обработкой персональных данных, обращайтесь:
Ответственный за обработку персональных данных
АНО Инклюзивный центр «Сотри границы»
Email: privacy@erase.school
Общие вопросы: info@erase.school
Тема письма: «Персональные данные — [Ваше имя]»
Срок ответа: до 30 рабочих дней
Роскомнадзор (надзорный орган)
Сайт: rkn.gov.ru
Вы вправе обратиться с жалобой, если считаете, что ваши права нарушены.