Политика конфиденциальности

1. Общие положения

Настоящая Политика конфиденциальности (далее — «Политика») описывает порядок обработки и защиты персональных данных пользователей образовательно- информационной платформы SkillPy, доступной по адресу https://skillpy.ru (далее — «Платформа», «Сайт»).

Оператором персональных данных является Индивидуальный предприниматель Киселёв Егор Михайлович (ОГРНИП: 326554300044235, ИНН: 550621769757; далее — «Оператор»), действующий в рамках проекта «SkillPy». Связаться с Оператором можно по адресу электронной почты support@skillpy.ru.

Регистрируясь на Платформе, вы подтверждаете, что ознакомились с настоящей Политикой и даёте согласие на обработку ваших персональных данных на условиях, описанных ниже.

2. Используемые термины

• Пользователь — физическое лицо, зарегистрированное на Платформе или просматривающее её содержимое.
• Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определённому или определяемому Пользователю.
• Обработка персональных данных — любое действие с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление.
• Cookies — небольшие текстовые файлы, сохраняемые браузером Пользователя при посещении Сайта.

3. Какие персональные данные мы собираем

На Платформе обрабатываются следующие категории персональных данных:

3.1. Данные, которые вы предоставляете самостоятельно

• Логин — уникальный идентификатор для входа в систему. Задаётся при регистрации и не меняется. По умолчанию также используется как публичное имя, если Пользователь не указал отдельное отображаемое имя.
• Адрес электронной почты — используется для авторизации, подтверждения аккаунта, восстановления пароля и важных уведомлений. Не отображается другим пользователям Платформы.
• Пароль — хранится только в виде криптографического хэша, Оператор не имеет доступа к паролю в открытом виде.
• Отображаемое имя (username) — псевдоним, под которым вас видят другие Пользователи Платформы, а также посетители Сайта, включая неавторизованных: в публичном профиле, комментариях, таблице лидеров и иных публичных разделах. Задаётся в настройках; если не задано — используется логин.
• Биография (bio) — короткий текст о себе, отображается в публичном профиле, доступном в том числе неавторизованным посетителям Сайта. Заполняется по желанию.
• Аватар — загружаемое изображение для профиля. Отображается вместе с отображаемым именем в публичном профиле, доступном в том числе неавторизованным посетителям Сайта.

3.2. Данные, собираемые автоматически

• IP-адрес — фиксируется серверами для обеспечения безопасности и анализа нагрузки.
• Данные браузера и устройства — тип и версия браузера, операционная система, разрешение экрана, User-Agent.
• Cookies и технические идентификаторы — используются для авторизации (HttpOnly-cookie с refresh-токеном), запоминания настроек и работы аналитики.
• Данные активности — пройденные лекции, решённые задачи, заработанные очки опыта (XP), монеты, достижения, серии активности (streak), комментарии, оценки к задачам.

3.3. Данные двухфакторной аутентификации (по желанию)

Если вы включаете двухфакторную аутентификацию (2FA), Оператор хранит секретный ключ TOTP, привязанный к вашему аккаунту. Секрет используется исключительно для проверки одноразовых кодов из приложения-аутентификатора при входе.

4. Цели обработки персональных данных

Мы обрабатываем ваши данные для следующих целей:

• Регистрация и идентификация Пользователя на Платформе
• Обеспечение работы сервиса обучения (прогресс, задачи, лекции, AI-ментор)
• Отправка системных уведомлений (подтверждение email, сброс пароля, информация об изменениях в сервисе)
• Обеспечение безопасности Пользователей и защита от злоупотреблений
• Работа социальных функций Платформы (комментарии, оценки, таблица лидеров)
• Анализ поведения пользователей для улучшения сервиса (аналитика)
• Ответы на запросы и обращения Пользователей в службу поддержки
• Исполнение обязанностей, предусмотренных законодательством РФ

5. Правовые основания обработки

Обработка персональных данных осуществляется на следующих основаниях:

• Согласие субъекта персональных данных, выраженное при регистрации
• Необходимость исполнения договора (Пользовательского соглашения), стороной которого является субъект ПДн
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
• Иные нормативные правовые акты Российской Федерации

6. Способы и сроки обработки

Обработка персональных данных осуществляется с использованием средств автоматизации и без таковых. Оператор хранит данные на серверах, расположенных на территории Российской Федерации, что соответствует требованиям ст. 18 ФЗ № 152-ФЗ.

Сроки хранения:

• Учётная запись и связанные с ней данные — в течение всего срока использования Платформы Пользователем.
• Данные прогресса обучения — до момента удаления аккаунта Пользователем или по его запросу.
• Cookies и технические данные — согласно срокам, установленным в настройках cookies (от одной сессии до 1 года).
• Логи серверов — до 90 дней, далее обезличиваются.
• Токены верификации email, сброса пароля — удаляются после использования или по истечении срока действия (от 1 часа до 24 часов).

После удаления аккаунта Пользователя его персональные данные удаляются или обезличиваются в течение 30 дней, за исключением данных, которые Оператор обязан хранить в силу закона.

7. Инфраструктура и передача данных третьим лицам

Оператор не продаёт персональные данные Пользователей и не передаёт их третьим лицам в маркетинговых целях.

7.1. Собственная инфраструктура Оператора

Основное хранение и обработка персональных данных осуществляются в рамках собственной серверной инфраструктуры Оператора, расположенной на территории Российской Федерации (включая базы данных, сервис аутентификации и файловое хранилище для аватаров). Такая обработка не является передачей данных третьим лицам.

7.2. Сторонние сервисы-обработчики

Ограниченный набор данных передаётся следующим внешним сервисам, необходимым для ключевых функций Платформы:

• Почтовый сервис (Яндекс 360 для бизнеса) — используется для отправки системных писем (подтверждение email, сброс пароля, уведомления). Передаётся email-адрес получателя и текст письма. Отправка ведётся с доменного адреса noreply@skillpy.ru.
• Система веб-аналитики (Яндекс.Метрика) — собирает обезличенные данные о поведении на Сайте (просмотренные страницы, источники переходов, технические характеристики устройства, IP). Подробнее — в условиях использования Яндекс.Метрики.
• Поставщики языковых моделей (LLM) — для работы AI-ментора (проверка кода, ответы на вопросы) Оператор использует сторонние API языковых моделей. В такие сервисы передаётся только текст задания и код, который Пользователь отправил на проверку. Персональные данные (email, логин, IP) не передаются. Не рекомендуется вводить в код свои персональные данные — они могут попасть в сторонние сервисы при проверке кода AI-ментором.

Также персональные данные могут быть раскрыты уполномоченным государственным органам в случаях, прямо предусмотренных законодательством Российской Федерации.

7.3. Публичная информация

Для работы социальных функций Платформы (комментарии, рейтинги, таблица лидеров) и в целях демонстрации активности сообщества часть персональных данных Пользователя является публично доступной — её могут видеть как другие зарегистрированные Пользователи, так и неавторизованные посетители Сайта.

К публично доступной информации относятся:

• Отображаемое имя (никнейм)
• Аватар
• Биография (если заполнена Пользователем)
• Публичные показатели прогресса: заработанные очки опыта (XP), монеты, достижения, серия активности (streak), позиция в таблице лидеров
• Комментарии и оценки, оставленные Пользователем к публикациям Платформы

Адрес электронной почты, пароль, IP-адрес, история действий и иные служебные данные публично не отображаются и остаются известны только Оператору.

Регистрируясь на Платформе и принимая настоящую Политику, Пользователь даёт согласие на публичное отображение указанных выше данных в соответствии со ст. 10.1 Федерального закона № 152-ФЗ. Если Платформа в дальнейшем предоставит инструменты управления приватностью отдельных полей профиля, Пользователь сможет ограничить публичный показ этих полей в любой момент через настройки. Полное удаление публичных данных возможно в любой момент путём удаления учётной записи в порядке, описанном в разделе 9 настоящей Политики.

8. Cookies, локальное хранилище и аналитика

8.1. Cookies

Платформа использует cookies для:

• Обеспечения работы авторизации (HttpOnly-cookie с refresh-токеном) — обязательны
• Работы Яндекс.Метрики — аналитические

Вы можете управлять cookies в настройках своего браузера. Отключение авторизационных cookies сделает невозможным вход на Платформу.

8.2. Локальное хранилище браузера (localStorage)

Для удобства работы часть неконфиденциальных данных сохраняется непосредственно в браузере Пользователя (без отправки на серверы Оператора). Это касается:

• Настроек внешнего вида (тема, состояние боковой панели)
• Кэша прогресса по задачам и серий активности (streak)
• Временного кода в редакторе и виртуальной файловой системы
• Технических флагов для улучшения UX в текущей сессии

В localStorage не хранятся пароли, токены авторизации или иные чувствительные данные. Вы можете очистить его в любой момент через настройки браузера — на работу Платформы это не повлияет (потеряются только локальные предпочтения).

9. Удаление аккаунта и данных

На Платформе предусмотрены два режима прекращения использования:

9.1. Деактивация аккаунта (обратимо)

Пользователь может в любой момент деактивировать свой аккаунт в настройках профиля. При деактивации:

• Вход в аккаунт блокируется
• Данные сохраняются в базе данных на случай восстановления

Для восстановления деактивированного аккаунта нужно обратиться в службу поддержки.

9.2. Полное удаление данных (необратимо)

Для полного удаления всех персональных данных необходимо направить запрос на support@skillpy.ru с почтового адреса, указанного в аккаунте. Оператор обязан удалить персональные данные в течение 30 дней с момента получения запроса (ч. 3 ст. 21 ФЗ № 152-ФЗ).

При полном удалении удаляются: учётная запись, данные профиля, прогресс, загруженные файлы, комментарии. Сохраняются только те данные, которые Оператор обязан сохранить в силу закона (например, логи факта удаления).

10. Меры защиты персональных данных

Оператор принимает организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования и распространения:

• Шифрование трафика по протоколу HTTPS (TLS)
• Хранение паролей исключительно в виде криптографических хэшей
• Использование HttpOnly-cookie для refresh-токенов
• Поддержка двухфакторной аутентификации (2FA) на основе TOTP для Пользователей, желающих дополнительно защитить свой аккаунт
• Регулярное резервное копирование баз данных
• Ограничение доступа к персональным данным — только тем сотрудникам проекта, которым это необходимо для выполнения их обязанностей
• Мониторинг инфраструктуры и реагирование на инциденты информационной безопасности

11. Права субъекта персональных данных

Вы имеете право:

• Получить информацию о том, какие ваши данные обрабатываются Оператором
• Требовать уточнения, блокирования или удаления ваших персональных данных, если они неполные, устаревшие, неточные или избыточные
• Отозвать ранее данное согласие на обработку персональных данных
• Получить копию ваших персональных данных в структурированном формате
• Удалить свой аккаунт вместе со связанными персональными данными
• Обжаловать действия Оператора в уполномоченном органе по защите прав субъектов ПДн (Роскомнадзор) или в судебном порядке

Для реализации любого из перечисленных прав отправьте запрос на support@skillpy.ru. Оператор обязан ответить на запрос в течение 30 дней с момента получения.

12. Изменения Политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная версия всегда публикуется по адресу https://skillpy.ru/privacy. При существенных изменениях Оператор уведомит зарегистрированных Пользователей по электронной почте либо через уведомление на Платформе.

13. Передача прав правопреемнику

Оператор вправе передать персональные данные Пользователей правопреемнику в случаях, предусмотренных разделом 14 Пользовательского соглашения, включая, но не ограничиваясь:

• Изменение организационно-правовой формы Оператора (например, переход с индивидуального предпринимателя на общество с ограниченной ответственностью)
• Реорганизация, слияние или поглощение Оператора
• Продажа Платформы как бизнеса или передача исключительных прав на программное обеспечение Платформы

При такой передаче правопреемник принимает на себя все обязательства Оператора по защите персональных данных в полном объёме. Цели обработки, перечень обрабатываемых данных, сроки хранения и права субъектов персональных данных не изменяются.

Регистрируясь на Платформе и принимая настоящую Политику, Пользователь даёт согласие на передачу своих персональных данных правопреемнику Оператора в указанных выше случаях. Получение отдельного дополнительного согласия в момент передачи прав не требуется. Уведомление о смене Оператора направляется на электронную почту Пользователя не позднее чем за 7 дней до фактической передачи прав. Если Пользователь не согласен с переходом своих персональных данных к правопреемнику, он вправе отозвать согласие и потребовать удаления данных в соответствии с разделом 11 настоящей Политики.

14. Реквизиты Оператора