← Вернуться на сайт

Политика в отношении обработки персональных данных

1. Общие положения

Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных, а также меры по обеспечению безопасности персональных данных, предпринимаемые оператором.

Оператором персональных данных является: Пахомов Лев Дмитриевич, ИНН: 143529671780, расположенный по адресу: г. Москва, электронная почта: pakhomovlev@gmail.com (далее — Оператор).

Настоящая Политика действует в отношении всех персональных данных, которые Оператор может получить от пользователей веб-приложения «DevOps Mentor» (далее — Платформа).

Важнейшей целью и условием осуществления деятельности Оператора является обеспечение соблюдения прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну, в соответствии с требованиями Федерального закона № 152-ФЗ.

Настоящая Политика вступает в силу с 01.04.2026 и действует бессрочно до замены её новой редакцией.

2. Правовые основания обработки персональных данных

Оператор обрабатывает персональные данные на основании следующих правовых актов и оснований:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Гражданский кодекс Российской Федерации, статьи 421 (свобода договора), 437–438 (публичная оферта и акцепт);
  • Согласие субъекта персональных данных на обработку его персональных данных (ст. 9 Закона о персональных данных);
  • Исполнение договора, стороной которого является субъект персональных данных, в соответствии со ст. 6 ч. 1 п. 5 Закона о персональных данных.

Регистрация на Платформе и использование её функциональности означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки персональных данных. В случае несогласия с условиями Политики пользователь должен воздержаться от использования Платформы.

2.1. Дополнительные положения для пользователей из ЕС и Великобритании (GDPR)

Если пользователь находится на территории Европейского союза или Соединённого Королевства, обработка персональных данных также осуществляется с учётом требований Общего регламента по защите данных (GDPR) и UK GDPR.

В рамках GDPR Оператор выступает в роли контроллера персональных данных (Data Controller).

Правовые основания обработки (Legal Basis)

Оператор обрабатывает персональные данные на следующих основаниях:

  • Исполнение договора (Contract) — обработка необходима для оказания услуг менторства и функционирования Платформы;
  • Согласие (Consent) — при регистрации и использовании Платформы пользователь выражает согласие на обработку персональных данных;
  • Законный интерес (Legitimate Interest) — обеспечение безопасности Платформы, предотвращение злоупотреблений и улучшение пользовательского опыта.

Права пользователя

Пользователь, находящийся в ЕС или Великобритании, имеет следующие дополнительные права:

  • право на переносимость данных (data portability);
  • право на ограничение обработки (restriction of processing);
  • право на возражение против обработки (right to object);
  • право подать жалобу в надзорный орган по защите данных (например, ICO в Великобритании или соответствующий орган в стране ЕС).

Передача данных третьим сторонам

Оператор может использовать сторонних поставщиков инфраструктуры (например, хостинг-провайдеров), которые могут обрабатывать персональные данные от имени Оператора (data processors). Такие лица обязаны обеспечивать надлежащий уровень защиты персональных данных.

Трансграничная передача данных

В отдельных случаях данные могут передаваться за пределы страны пользователя (например, при взаимодействии с внешними сервисами, такими как YouTube при воспроизведении видео). Такая передача осуществляется только при явном действии пользователя и в объёме, необходимом для предоставления соответствующей функциональности.

3. Цели обработки персональных данных

Оператор обрабатывает персональные данные пользователей в следующих целях:

  • а) Регистрация и аутентификация пользователей — создание учётной записи, идентификация пользователя при входе в систему. Обрабатываемые данные: имя пользователя (ФИО), адрес электронной почты, хеш пароля.
  • б) Обеспечение образовательного процесса — проведение тестирования, оценка уровня знаний, отслеживание прогресса обучения. Обрабатываемые данные: результаты тестов, баллы, определённый уровень, прогресс по урокам, домашние задания.
  • в) Взаимодействие «ментор — менти» — обеспечение коммуникации между ментором и менти в рамках образовательного процесса. Обрабатываемые данные: заметки, комментарии, планы обучения, расписание занятий.
  • г) Обеспечение безопасности — предотвращение несанкционированного доступа, защита от злоупотреблений. Обрабатываемые данные: IP-адрес (хранится временно в оперативной памяти), параметры ограничения частоты запросов (rate limiting).
  • д) Уведомления — информирование пользователей о событиях, связанных с образовательным процессом (новые комментарии, оценки домашних заданий, изменения в расписании).

4. Объём и категории обрабатываемых персональных данных

Оператор обрабатывает следующие категории персональных данных:

Категория Состав данных Цель обработки
Идентификационные данные Фамилия, имя, отчество (ФИО) Идентификация пользователя
Контактные данные Адрес электронной почты (email) Связь с пользователем, восстановление доступа
Данные аутентификации Хеш пароля (PBKDF2-HMAC-SHA256) и соль (salt) Аутентификация при входе в систему
Образовательные данные Ответы на тестовые вопросы, баллы и уровень (Junior/Middle/Senior), отправленные домашние задания, оценки и обратная связь по домашним заданиям, прогресс по урокам, планы обучения, комментарии к планам Образовательный процесс, оценка прогресса
Данные менторства Заметки к сессиям, запланированные занятия Организация менторского взаимодействия
Технические данные Сессионный токен (cookie), IP-адрес (временно, в оперативной памяти) Поддержание сессии, обеспечение безопасности
Данные уведомлений Тип уведомления, заголовок, текст сообщения Информирование пользователя о событиях

5. Принципы обработки персональных данных

Обработка персональных данных осуществляется Оператором в соответствии с принципами, установленными ст. 5 Закона о персональных данных:

  • Законность и справедливость — обработка персональных данных осуществляется на законной и справедливой основе (ст. 5 ч. 1 п. 1).
  • Ограничение целью — обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (ст. 5 ч. 1 п. 2).
  • Недопустимость объединения баз данных — не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой (ст. 5 ч. 1 п. 3).
  • Соответствие объёма и характера — обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки (ст. 5 ч. 1 п. 4).
  • Точность и актуальность — Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных (ст. 5 ч. 1 п. 5).
  • Ограничение срока хранения — хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных (ст. 5 ч. 1 п. 6).
  • Уничтожение по достижении цели — персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом (ст. 5 ч. 1 п. 7).

6. Условия обработки персональных данных

Обработка персональных данных осуществляется при наличии следующих условий:

  • Согласие субъекта — обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных в соответствии со ст. 9 Закона о персональных данных. Согласие выражается путём совершения конклюдентных действий — регистрации на Платформе.
  • Исполнение договора — обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных (ст. 6 ч. 1 п. 5 Закона о персональных данных). Пользовательское соглашение (оферта) определяет условия предоставления образовательных услуг.
  • Автоматизированная обработка — обработка персональных данных осуществляется с использованием средств автоматизации, включая хранение в базе данных SQLite на сервере Оператора.

7. Порядок сбора, хранения и уничтожения персональных данных

7.1. Сбор персональных данных

Персональные данные собираются в следующих случаях:

  • при регистрации пользователя на Платформе (ФИО, email, пароль);
  • при прохождении тестирования (ответы на вопросы, результаты);
  • при отправке домашних заданий (тексты работ, файлы);
  • при взаимодействии с ментором (заметки, комментарии к планам, расписание занятий).

7.2. Хранение персональных данных

Персональные данные хранятся в базе данных SQLite на сервере, расположенном на территории Российской Федерации. Файл базы данных защищён правами доступа файловой системы (permissions 0600 — чтение и запись только владельцем процесса).

Сроки хранения персональных данных:

  • Данные учётной записи (ФИО, email, хеш пароля) — в течение всего срока существования учётной записи и 30 календарных дней после запроса на удаление.
  • Сессионные токены — не более 24 часов с момента создания.
  • IP-адреса — хранятся исключительно в оперативной памяти сервера, не более 10 минут, не записываются в базу данных и не сохраняются на постоянных носителях.
  • Образовательные данные (результаты тестов, домашние задания, прогресс, планы) — в течение всего срока существования менторских отношений между пользователем и ментором.

7.3. Уничтожение персональных данных

Персональные данные подлежат уничтожению при отзыве субъектом согласия на обработку персональных данных, а также по запросу субъекта на удаление учётной записи. При удалении учётной записи производится каскадное удаление всех связанных записей из всех таблиц базы данных: результаты тестов, домашние задания, прогресс по урокам, планы обучения, комментарии, заметки, уведомления и сессионные данные.

8. Передача персональных данных третьим лицам

Оператор не передаёт персональные данные пользователей третьим лицам. Все шрифты, скрипты и иные ресурсы размещены на собственном сервере Оператора (self-hosted) и не загружаются с внешних CDN или сторонних серверов. Оператор может использовать инфраструктурных провайдеров (например, хостинг), которые обрабатывают данные от имени Оператора.

Видеоматериалы YouTube загружаются исключительно по явному действию пользователя (паттерн click-to-load): встроенный iframe с видеоплеером YouTube не инициализируется до тех пор, пока пользователь самостоятельно не нажмёт кнопку воспроизведения. Данное действие является осознанным волеизъявлением пользователя и не является передачей персональных данных Оператором.

9. Трансграничная передача персональных данных

Оператор не осуществляет трансграничную передачу персональных данных. Все ресурсы Платформы (шрифты, скрипты, стили, изображения) размещены на сервере Оператора на территории Российской Федерации.

При загрузке видеоматериалов YouTube по явному действию пользователя (нажатие кнопки воспроизведения) IP-адрес пользователя может быть передан серверам Google (YouTube). Данная передача происходит на основании осознанного действия самого пользователя и не является трансграничной передачей, осуществляемой Оператором.

10. Права субъекта персональных данных

Субъект персональных данных имеет право:

  • Право на доступ (ст. 14 Закона о персональных данных) — получать информацию, касающуюся обработки его персональных данных, в том числе содержащую: подтверждение факта обработки, правовые основания и цели обработки, применяемые способы обработки, наименование и адрес Оператора, сведения о лицах, которые имеют доступ к персональным данным.
  • Право на уточнение (ст. 14 ч. 3 п. 4 Закона о персональных данных) — требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными.
  • Право на удаление (ст. 14 ч. 3 п. 5, ст. 21 Закона о персональных данных) — требовать от Оператора уничтожения персональных данных в случае, если персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
  • Право на отзыв согласия (ст. 9 ч. 2 Закона о персональных данных) — отозвать своё согласие на обработку персональных данных в любой момент. Отзыв согласия не влияет на законность обработки, основанной на согласии, до момента его отзыва.
  • Право на блокирование обработки (ст. 21 ч. 1 Закона о персональных данных) — требовать блокирования персональных данных при выявлении неправомерной обработки.

Для реализации указанных прав субъект персональных данных может направить запрос на электронную почту Оператора: pakhomovlev@gmail.com. Ответ на запрос предоставляется Оператором в течение 10 рабочих дней с момента получения запроса (ст. 20 ч. 3 Закона о персональных данных).

Пользователям также доступны функции самообслуживания в личном кабинете Платформы: экспорт персональных данных и подача запроса на удаление учётной записи.

11. Меры по обеспечению безопасности персональных данных

11.1. Организационные меры

  • Назначено ответственное лицо за организацию обработки персональных данных.
  • Определён круг лиц, имеющих доступ к персональным данным (ментор — к данным своих менти).
  • Утверждена настоящая Политика в отношении обработки персональных данных.

11.2. Технические меры

  • Хеширование паролей — пароли пользователей не хранятся в открытом виде. Используется алгоритм PBKDF2-HMAC-SHA256 со 100 000 итерациями и уникальной случайной солью для каждого пароля.
  • Защита сессионных cookie — cookie с сессионным токеном устанавливаются с атрибутами HttpOnly (недоступны для JavaScript), SameSite=Lax (защита от CSRF-атак при межсайтовых запросах) и Secure (передача только по HTTPS).
  • Защита от CSRF — валидация CSRF-токена на всех запросах, изменяющих состояние.
  • Ограничение частоты запросов — реализован механизм rate limiting с экспоненциальным увеличением задержки (exponential backoff) для предотвращения атак перебором.
  • Content Security Policy — установлены HTTP-заголовки Content Security Policy (CSP), ограничивающие источники загрузки ресурсов и предотвращающие XSS-атаки.
  • X-Frame-Options: DENY — запрет на встраивание страниц Платформы в iframe, предотвращение атак типа clickjacking.
  • HSTS (HTTP Strict Transport Security) — принудительное использование HTTPS для всех соединений с Платформой.
  • Защита файла базы данных — файл базы данных SQLite защищён правами доступа файловой системы (permissions 0600), что исключает доступ со стороны других пользователей операционной системы.
  • Ограничение размера запросов — максимальный размер тела HTTP-запроса ограничен 1 МБ для предотвращения атак на исчерпание ресурсов.

12. Файлы cookie

Платформа использует единственный файл cookie:

Название Тип Назначение Срок действия Атрибуты
mentee_session Технический / авторизационный Поддержание сессии авторизованного пользователя 24 часа HttpOnly, SameSite=Lax

Платформа не использует аналитические, рекламные, маркетинговые и иные отслеживающие cookie. Сбор данных о поведении пользователя с помощью сторонних аналитических систем не осуществляется.

13. Актуализация и изменение Политики

Оператор имеет право вносить изменения в настоящую Политику. Актуальная редакция Политики всегда доступна по адресу /legal/privacy на Платформе.

При внесении существенных изменений пользователи информируются об этом при следующем входе в систему. Продолжение использования Платформы после получения уведомления об изменении Политики означает согласие пользователя с новой редакцией Политики.

В случае несогласия с изменениями пользователь вправе прекратить использование Платформы и запросить удаление своей учётной записи и персональных данных.

14. Контактная информация

По всем вопросам, связанным с обработкой персональных данных, можно обратиться к Оператору:

  • Ответственное лицо: Пахомов Лев Дмитриевич
  • Электронная почта: pakhomovlev@gmail.com
  • Адрес: г. Москва