Политика конфиденциальности персональных данных

Настоящая Политика конфиденциальности персональных данных (далее – Политика) разработана и утверждена Обществом с ограниченной ответственностью «АЙВЭЙ» (ИНН 1200020662, ОГРН 1251200003559, юридический адрес: 424037, Респ. Марий Эл, г. Йошкар-Ола, ул. Петрова, д. 23, кв. 16, в лице Генерального директора Иванова Владимира Александровича, далее именуемого «Оператор»), в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) и другими нормативными правовыми актами Российской Федерации в области защиты и обработки персональных данных.

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Оператором для защиты прав и свобод субъектов персональных данных (далее – Субъекты Персональных Данных) при их обработке посредством использования онлайн-сервиса «Олимпус», доступного на доменах олимпус.рус, олимпус.tech, олимпус.site, олимпус.com, олимпус.store, schoolofolympus.ru (далее – Сервис или Сайт).

1Основные понятия и термины

В настоящей Политике, если иное не обусловлено требованиями законодательства Российской Федерации, нижеприведенные термины и определения имеют следующие значения:

1.1. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту Персональных Данных).

1.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.3. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

1.4. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному кругу лиц.

1.6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

1.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту Персональных Данных.

1.9. Информационная система персональных данных (СПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.10. Оператор – Общество с ограниченной ответственностью «АЙВЭЙ», осуществляющее обработку персональных данных.

1.11. Лицензиат – физическое или юридическое лицо, осуществившее Акцепт Публичной оферты, предоставляющее свои персональные данные Оператору, и/или являющееся законным представителем Пользователя (школьника).

1.12. Пользователь – физическое лицо (школьник), использующее Сервис в интересах Лицензиата.

1.13. Субъект Персональных Данных – Лицензиат и/или Пользователь (в зависимости от контекста), чьи персональные данные обрабатываются.

1.14. Сайт – совокупность размещенных в сети Интернет web-страниц, объединенных единой темой, дизайном и единым адресным пространством доменов олимпус.рус, олимпус.tech, олимпус.site, олимпус.com, олимпус.store, schoolofolympus.ru.

1.15. Сервис «Олимпус» (Сервис) – программно-аппаратный комплекс, доступный на доменах олимпус.рус, олимпус.tech, олимпус.site, олимпус.com, олимпус.store, schoolofolympus.ru, представляющий собой онлайн-сервис для подготовки школьников к олимпиадам, включающий Тренажер, Бот, Курсы, а также иные функциональные модули. Сервис основан на ИИ-технологиях для персонализации подготовки.

1.16. Тренажер – программный модуль Сервиса с ИИ-технологиями, предназначенный для интерактивной отработки знаний по различным предметам.

1.17. Бот – автоматизированный интерфейс (чат-бот), функционирующий с использованием ИИ, предназначенный для подбора информации об олимпиадах и выдачи заданий.

1.18. Курс (Обучающий Курс) – цифровой контент в формате видеозаписей, текстовых материалов или иных форм, содержащий теоретические и практические материалы для подготовки к олимпиадам.

1.19. Подписка – возмездное, срочное, неисключительное право использования Платного Функционала Сервиса.

1.20. Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия Субъекта Персональных Данных или наличия иного законного основания.

2Принципы обработки персональных данных

Обработка персональных данных Оператором осуществляется на основе следующих принципов (статья 5 Закона о персональных данных):

2.1. Законность и справедливость обработки персональных данных.

2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.

2.5. Точность, достаточность и актуальность персональных данных по отношению к целям обработки. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных.

2.6. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта Персональных Данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект Персональных Данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3Правовые основания обработки персональных данных

Обработка персональных данных осуществляется Оператором на следующих правовых основаниях (статья 6 Закона о персональных данных):

3.1. Согласие субъекта персональных данных. Лицензиат, акцептуя условия Публичной оферты и настоящей Политики, а также проставляя соответствующую отметку (галочку) или нажимая кнопку подтверждения при регистрации/оплате, дает свое конкретное, информированное и сознательное согласие на обработку своих персональных данных и/или персональных данных Субъекта Персональных Данных.

3.2. Исполнение договора. Обработка необходима для исполнения договора (Публичной оферты), стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Персональных Данных (Лицензиат), а также для заключения договора по инициативе Субъекта Персональных Данных.

3.3. Исполнение обязанностей, предусмотренных законодательством РФ. Обработка необходима для выполнения требований законов, нормативных актов, судебных решений, запросов государственных органов (например, требования налогового законодательства, законодательства о защите прав потребителей).

3.4. Осуществление прав и законных интересов Оператора. При условии, что при этом не нарушаются права и свободы Субъектов Персональных Данных (например, для обеспечения безопасности Сервиса, предотвращения мошенничества, защиты интеллектуальной собственности, обеспечения доказательной базы для разрешения споров).

4Категории обрабатываемых персональных данных

Оператор может собирать и обрабатывать следующие категории персональных данных, предоставленные Лицензиатом в форме(-ах) регистрации/заявки/оплаты на Сайте, а также персональных данных Пользователя, введенных Лицензиатом в соответствующие поля на Сайте:

4.1. Идентификационные данные: Фамилия, имя, отчество (Лицензиата и/или Пользователя); Дата рождения (Пользователя); Класс обучения (Пользователя); Наименование образовательного учреждения (школы, лицея, гимназии Пользователя).

4.2. Контактные данные: Адрес электронной почты (Лицензиата и/или Пользователя); Номер мобильного телефона (Лицензиата и/или Пользователя).

4.3. Платежные данные: Сведения о произведенных платежах, включая суммы, даты и статус транзакций (без данных банковских карт, которые обрабатываются платежным агрегатором).

4.4. Данные об использовании Сервиса «Олимпус» (данные об активности и прогрессе): Логин и пароль (или иные уникальные идентификаторы доступа к Сервису, созданные при регистрации); Сведения о выбранных Тарифных планах и сроках действия Подписок; Статистика активности в Тренажере (количество выполненных заданий, время тренировок, используемые токены); Результаты прохождения входного тестирования и последующих заданий; Информация об ошибках, допущенных в процессе обучения, и их анализ; Прогресс обучения по предметам и темам; Сведения об использовании Бота (количество запросов, тематика запросов, подобранные олимпиады); Технические данные (IP-адрес, тип и версия операционной системы, тип и версия браузера, данные cookie-файлов, сведения о местоположении, время доступа), получаемые автоматически при использовании Сервиса.

5Цели обработки персональных данных

Обработка персональных данных осуществляется Оператором для достижения следующих целей:

5.1. Идентификация и регистрация - идентификация Лицензиата и/или Пользователя и их регистрация в Сервисе «Олимпус» для предоставления доступа к функционалу.

5.2. Исполнение Лицензионного договора - исполнение Оператором обязательств по Публичной оферте (Лицензионному договору), включая предоставление права использования Тренажера, Бота, Курсов и иного функционала Сервиса.

5.3. Предоставление доступа к функционалу Сервиса:

• Обеспечение доступа к оплаченному Платному Функционалу Сервиса (Тренажер, Бот, Курсы);
• Формирование и предоставление персонализированной траектории обучения для Пользователя;
• Анализ ошибок и предоставление Пользователю рекомендаций по их исправлению;
• Автоматизированный подбор олимпиад и выдача информации о них через Бот.

5.4. Обработка платежей - осуществление приема и обработки платежей за Подписку, включая возможное предоставление рассрочки.

5.5. Техническая поддержка и обратная связь - обеспечение технической поддержки Пользователей, обработка запросов, обращений и претензий, осуществление коммуникации по вопросам использования Сервиса.

5.6. Улучшение качества Сервиса - анализ данных об использовании Сервиса для его оптимизации, разработки новых функций, модулей (например, родительский или школьный Личный Кабинет), улучшения контента и алгоритмов ИИ.

5.7. Информационные уведомления - направление информационных сообщений об изменениях в работе Сервиса, условиях Подписки, новостях проекта (без рекламного характера).

5.8. Соблюдение законодательства - выполнение требований законодательства Российской Федерации, включая требования налогового законодательства и законодательства о защите прав потребителей.

5.9. Статистические и исследовательские цели - проведение статистических и иных исследований на основе обезличенных данных, направленных на повышение эффективности работы Сервиса.

6Порядок и условия обработки персональных данных

6.1. Обработка персональных данных осуществляется как с использованием средств автоматизации (в информационных системах персональных данных), так и без использования таких средств (неавтоматизированная обработка), включая смешанную обработку.

6.2. Сбор персональных данных осуществляется напрямую от Лицензиата (при заполнении форм, регистрации, оформлении Подписки, обращении в службу поддержки) или автоматически (при использовании Сайта/Сервиса – технические данные).

6.3. Персональные данные Субъектов Персональных Данных хранятся в базах данных на территории Российской Федерации. Сроки хранения определяются целями обработки, сроком действия Подписки (в течение которой данные могут быть необходимы для предоставления доступа к Сервису) и требованиями законодательства РФ. После достижения целей обработки или истечения сроков хранения (например, срока исковой давности по сделкам), персональные данные подлежат уничтожению или обезличиванию.

6.4. Передача персональных данных третьим лицам:

6.4.1. Платежным агрегаторам

При оплате Подписки онлайн, данные, необходимые для проведения платежа (без полных платежных данных карты), передаются непосредственно в ПАО Банк «Точка» (лицензия ЦБ РФ № 3545 от 12.01.2023 г.) и/или иные уполномоченные платежные агенты. Оператор не хранит и не обрабатывает полные платежные данные Лицензиата (номер карты, CVC/CVV).

6.4.2. Хостинг-провайдерам и поставщикам IT-услуг

В случае размещения Сервиса и баз данных на внешних серверах или использования облачных сервисов (например, для обеспечения функционирования Сайта, работы Бота, Тренажера), Оператор вправе передавать данные в минимально необходимом объеме для обеспечения функционирования Сервиса, при условии обязательного заключения с такими лицами договоров, предусматривающих конфиденциальность и защиту персональных данных.

6.4.3. Государственным органам

По запросу уполномоченных государственных органов в соответствии с законодательством Российской Федерации.

6.4.4. Иным третьим лицам

В случаях, предусмотренных законодательством РФ, или с явного согласия Лицензиата.

6.5. Оператор не осуществляет трансграничную передачу персональных данных Субъектов Персональных Данных.

6.6. Лицензиат обязан своевременно обновлять свои данные, предоставленные Оператору, в случае их изменения. Оператор также может по собственной инициативе или по запросу Лицензиата уточнять ПДн.

6.7. Использование файлов cookie и аналитических систем:

• Сайт и Сервис используют файлы cookie (небольшие текстовые файлы, хранящиеся на устройстве пользователя) и аналогичные технологии для улучшения пользовательского опыта, персонализации контента, анализа трафика и показа релевантной рекламы (если таковая будет внедрена).
• Лицензиат может управлять настройками cookie в своем браузере. Отключение cookie может привести к ограничению функционала Сайта/Сервиса.
• На Сайте/Сервисе могут быть установлены счетчики (например, Яндекс.Метрика) и другие аналитические системы, которые собирают обезличенные данные о поведении Субъектов Персональных Данных для улучшения работы Сервиса.

7Меры по обеспечению безопасности персональных данных

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц, в соответствии с требованиями Федерального закона № 152-ФЗ, в том числе:

7.1. Назначение лица, ответственного за организацию обработки персональных данных.

7.2. Издание локальных нормативных актов по вопросам обработки и защиты персональных данных (например, Положение об обработке ПДн, Инструкции по работе с ПДн).

7.3. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований статьи 19 Закона о персональных данных.

7.4. Оценка вреда, который может быть причинен Субъектам Персональных Данных в случае нарушения Закона о персональных данных, и определение угроз безопасности персональных данных в соответствии с требованиями законодательства.

7.5. Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных, и обучение указанных работников.

7.6. Использование защищенных протоколов передачи данных (HTTPS) для Сайта и соответствующих технологий для Сервиса.

7.7. Хранение персональных данных в зашифрованном виде (при необходимости) и на защищенных серверах с ограниченным доступом.

7.8. Регулярное резервное копирование данных для предотвращения их потери.

7.9. Контроль доступа к информационным системам персональных данных, включая использование логинов, паролей и других средств аутентификации.

7.10. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по их пресечению.

7.11. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

8Права субъекта персональных данных

Субъект Персональных Данных (Лицензиат и/или Пользователь, в зависимости от его статуса) имеет право на (статьи 14-17, 21 Закона о персональных данных):

8.1. Получение информации, касающейся обработки его персональных данных, в соответствии с законодательством Российской Федерации.

8.2. Требование уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

8.3. Отзыв согласия на обработку персональных данных.

8.4. Принятие предусмотренных законом мер по защите своих прав.

8.5. Обжалование действия или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

8.6. Доступ к своим персональным данным через Личный Кабинет (при его наличии) или по запросу к Оператору.

8.7. Получение копии информации, относящейся к нему, в структурированном, общепринятом и машиночитаемом формате (право на переносимость данных), если это технически возможно и не противоречит законодательству.

9Порядок осуществления прав и отзыв согласия

9.1. Для реализации своих прав, предусмотренных разделом 8 настоящей Политики, Лицензиат может:

• Самостоятельно изменить или удалить часть своих персональных данных в Личном Кабинете Сервиса (если такая функция будет доступна).
• Направить письменное обращение или запрос Оператору по контактам, указанным в разделе 10 настоящей Политики. Запрос должен содержать ФИО Лицензиата (и Пользователя, если запрос касается его данных), номер телефона или адрес электронной почты, использованные при регистрации/оплате, суть запроса и подпись Лицензиата (для письменного запроса). Оператор обязуется рассмотреть запрос в срок, не превышающий 10 рабочих дней с даты его получения, с возможностью продления до 5 рабочих дней в случае необходимости получения дополнительной информации.

9.2. Отзыв согласия на обработку персональных данных:

• Согласие может быть отозвано Лицензиатом в любое время путем направления письменного заявления Оператору на электронную почту .
• В случае отзыва согласия на обработку персональных данных Оператор обязуется прекратить их обработку и уничтожить персональные данные в срок, не превышающий 30 (тридцати) календарных дней с даты поступления указанного отзыва, если иное не предусмотрено Публичной офертой (Лицензионным договором) между Лицензиатом и Оператором или законодательством РФ (например, хранение данных для исполнения договорных обязательств или требований законодательства, или если данные обезличены).
• Обработка персональных данных может быть продолжена без согласия субъекта персональных данных в случаях, предусмотренных Законом о персональных данных.
• Отзыв согласия на обработку персональных данных может повлечь за собой невозможность использования Сервиса «Олимпус» или его отдельных функций.

10Ответственность

10.1. Оператор несет ответственность за неисполнение или ненадлежащее исполнение своих обязанностей по обработке и защите персональных данных в соответствии с законодательством Российской Федерации.

10.2. Лицензиат несет ответственность за достоверность предоставленных им персональных данных и за последствия их предоставления, в том числе за нарушение прав третьих лиц.

10.3. Оператор не несет ответственности за обработку персональных данных третьими лицами (например, платежными агрегаторами, хостинг-провайдерами), которым персональные данные были переданы Оператором с согласия Лицензиата в рамках исполнения обязательств, если такие третьи лица нарушили правила обработки персональных данных, при условии, что Оператором были приняты все необходимые и достаточные меры для надлежащей передачи и контроля.

11Заключительные положения и контакты Оператора

11.1. Оператор вправе вносить изменения в настоящую Политику конфиденциальности. Новая редакция Политики вступает в силу с момента ее размещения на Сайте с доменами олимпус.рус, олимпус.tech, олимпус.site, олимпус.com, олимпус.store, schoolofolympus.ru, если иное не предусмотрено новой редакцией Политики. Продолжение использования Сервиса после публикации новой редакции Политики означает согласие Лицензиата с ее условиями.

11.2. Во всем остальном, что не предусмотрено настоящей Политикой, Стороны руководствуются действующим законодательством Российской Федерации.

11.3. Все предложения, вопросы, замечания, запросы и претензии, связанные с обработкой персональных данных, Лицензиат может направлять в службу поддержки Оператора:

• По электронной почте:
• По телефону: (Пн-Пт: 9:00 - 20:00; Сб: 10:00 - 16:00)
• Почтовый адрес для письменных запросов: 424037, РЕСПУБЛИКА МАРИЙ ЭЛ, Г.О. ГОРОД ЙОШКАР-ОЛА, Г ЙОШКАР-ОЛА, УЛ. ПЕТРОВА, Д. 23, КВ. 16 (для ООО «АЙВЭЙ»).