Оператор: Общество с ограниченной ответственностью «Диван.Онлайн» (ООО «Диван.Онлайн»)

Утверждена Приказом ООО «Диван.Онлайн» № 1-ПД от «17» апреля 2026г. Сведения в реестре Роскомнадзора: № 77-25-172440 (Приказ № 66 от 27.02.2025)

1. Предмет регулирования, общие положения, понятия и определения

1.1. Предметом регулирования настоящей Политики общества с ограниченной ответственностью «Диван.Онлайн» (ОГРН 1237700617747, ИНН 9717143263, КПП 771701001; Россия, г.Москва, вн.тер.г. Муниципальный округ Алексеевский, пр‑кт Мира, д.102, стр.31, помещ.5н/3) (далее — Оператор, «Диван.Онлайн» соответственно) в отношении обработки персональных данных (далее — Политика конфиденциальности) являются отношения между Оператором и пользователями сайта, находящегося в информационно‑телекоммуникационной сети «Интернет» (далее — Пользователь, субъект персональных данных соответственно; они же — Принципал, Плательщик в значении регулирующих документов Платформы) по адресу: https://mypsyhub.ru (далее — Платформа), возникающие в связи с необходимостью сбора, использования, хранения, распространения и защиты Оператором персональных данных Пользователей Платформы, в том числе при реализации образовательных программ с применением дистанционных образовательных технологий (ДОТ).

1.2. Политика конфиденциальности разработана во исполнение требований:

• пункта2 части1 статьи18.1 Федерального закона от 27.07.2006 №152‑ФЗ «О персональных данных» (далее — Закон о персональных данных);
• Постановления Правительства РФ от 11.10.2023 №1678 «Об утверждении Правил применения организациями, осуществляющими образовательную деятельность, электронного обучения, дистанционных образовательных технологий при реализации образовательных программ»;
• иных нормативных правовых актов Российской Федерации в области защиты персональных данных и регулирования образовательной деятельности.

Цель Политики — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, уважение личной и семейной тайны, а также соблюдение требований к организации образовательного процесса с использованием ДОТ.

Во исполнение требований части2 статьи18.1 Закона о персональных данных настоящая Политика конфиденциальности публикуется в свободном доступе в информационно‑телекоммуникационной сети «Интернет» на сайте Оператора по адресу: https://mypsyhub.ru/documents/personal-agreement.

1.3. Обработка персональных данных Пользователей осуществляется с их осознанного, информированного и прямого согласия, выражаемого посредством:

• Согласия на обработку персональных данных;
• принятия условий Лицензионных соглашений и Публичных оферт об использовании Платформы (сокращённые наименования), расположенных по адресам:
• https://mypsyhub.ru/documents/consent-personal;
• https://mypsyhub.ru/documents/consent-personal-registration;
• https://mypsyhub.ru/documents/user-oferta;
• https://mypsyhub.ru/documents/specialist-oferta;
• https://mypsyhub.ru/documents/payment-oferta;
• https://mypsyhub.ru/documents/user-agreement.

1.4. Пользователь Платформы даёт своё осознанное, информированное и прямое согласие на обработку персональных данных с момента регистрации учётной записи (личного кабинета) на Платформе в электронной форме (путём проставления отметки («галочки») в виде HTML‑флажка (чекбокса) в специальной веб‑форме, расположенной по адресу: https://mypsyhub.ru/registration/, с наименованием: «Даю согласие на обработку персональных данных»).

Текст Согласия на обработку персональных данных расположена по адресу: https://mypsyhub.ru/documents/consent-personal-registration

При регистрации на Платформе Пользователь также даёт согласие с положениями настоящей Политики конфиденциальности.

1.5. В целях упрощения и автоматизации авторизации Пользователя в Платформе Оператор вправе предоставить Пользователю возможность передавать данные учётной записи (личного кабинета) третьим лицам посредством специальных технологий («OpenID», «ЯндексID» и прочих), при условии согласия Пользователя на такую передачу, выражаемого при регистрации учётной записи (личного кабинета).

1.6. Оператор не несёт ответственности за полноту и корректность передачи указанных данных учётной записи (личного кабинета), а также за сохранность данных в процессе передачи при использовании вышеуказанных специальных технологий аутентификации.

1.7. Пользователь Платформы даёт осознанное, информированное и прямое согласие на распространение персональных данных в предусмотренных настоящей Политикой конфиденциальности и документах, указанных в пункте1.3 Политики конфиденциальности, случаях — с момента регистрации учётной записи (личного кабинета) на Платформе в электронной форме (путём проставления отметки («галочки») в виде HTML‑флажка (чекбокса) в специальной веб‑форме, расположенной по адресу: https://mypsyhub.ru/registration, с наименованием: «Даю согласие на обработку и передачу отдельных персональных данных третьим лицам».

Указанное действие считается согласием Пользователя с условиями Согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения (далее — Согласие на распространение данных), разработанного во исполнение:

• положений части1 статьи10.1 Закона о персональных данных;
• положений приказа Роскомнадзора от 24.02.2021 №18 «Об утверждении требований к содержанию согласия на обработку и передачу отдельных персональных данных, разрешённых субъектом персональных данных для передачи третьим лицам».

Текст Согласия на обработку и передачу отдельных персональных данных третьим лицам расположен по адресу: https://mypsyhub.ru/documents/consent-personal.

1.8. Оператор осуществляет сбор и обработку персональных данных общей категории.

1.9. Оператором не осуществляется сбор и обработка специальных или иных категорий персональных данных по смыслу положений статьи10 Закона о персональных данных, за исключением случаев, прямо предусмотренных законодательством Российской Федерации, в том числе:

• при реализации образовательных программ, требующих подтверждения квалификации (например, медицинских, психологических специальностей);
• при наличии письменного согласия субъекта персональных данных на обработку специальных категорий данных.

1.10. Оператор не несёт ответственности за ставшие известными третьим лицам и (или) иным Пользователям Платформы вследствие самостоятельных и инициативных действий самого Пользователя при использовании Платформы данные о Пользователе, подпадающие под понятие специальных категорий персональных данных по смыслу положений указанной статьи Закона о персональных данных.

1.11. В предусмотренных настоящей Политикой конфиденциальности случаях Оператором может осуществляться трансграничная передача персональных данных:

• в соответствии с требованиями, установленными статьёй12 Закона о персональных данных;
• положениями Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Российской Федерацией федеральным законом от 19декабря 2005г. №160‑ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
• с согласия субъекта персональных данных.

Оператор не осуществляет трансграничную передачу персональных данных за пределы Российской Федерации, за исключением случаев, когда такая передача необходима:

• для осуществления расчётов через международные платёжные системы (Visa, Mastercard), инфраструктура которых может включать серверы, расположенные за пределами Российской Федерации;
• для интеграции с государственными информационными системами в рамках реализации образовательных программ.

В указанных случаях передача осуществляется с соблюдением требований статьи12 Федерального закона №152‑ФЗ и только в страны, обеспечивающие адекватную защиту прав субъектов персональных данных (в соответствии с Приказом Роскомнадзора от 05.08.2022 №128).

1.12. Трансграничная передача Оператором персональных данных может осуществляться в отношении государств, определённых приказом Роскомнадзора от 05.08.2022 №128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных».

1.13. «Диван.Онлайн» не несёт ответственности за неправомерное разглашение и распространение персональных данных о Пользователе другими Пользователями Платформы и (или) другими пользователями информационно‑телекоммуникационной сети Интернет в случае, если такие лица (распространители) изначально правомерно получили доступ к указанной информации:

• в соответствии с выбранными Пользователем настройками уровня конфиденциальности при регистрации учётной записи (личного кабинета) на Платформе;
• либо в случае нарушения Пользователем сохранности его логина и (или) пароля или иных необходимых для авторизации на Платформе данных.

1.14. Оператор не контролирует и не несёт ответственности за сайты, сервисы третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Платформе Оператора, в том числе за обрабатываемую третьими лицами информацию о Пользователе при переходе по указанным ссылкам.

1.15. С момента регистрации учётной записи (личного кабинета) на Платформе Пользователь даёт согласие на возможность сбора, обработки, хранения и (или) использования его персональных данных, необходимых для выполнения условий документов, указанных в пункте1.3 Политики конфиденциальности, Оператором и (или) уполномоченным Оператором подрядчиком, осуществляющим обработку персональных данных.

1.16. Политика конфиденциальности распространяется в отношении всех персональных данных, которые обрабатывает Оператор, в том числе в процессе реализации образовательных программ с применением ДОТ.

1.17. При любом использовании Платформы Пользователь даёт согласие на использование Платформой cookie‑файлов в порядке, предусмотренном разделом10 настоящей Политики конфиденциальности.

1.18. Оператор вправе в любое время вносить изменения в положения Политики конфиденциальности, уведомив об этом Пользователей по адресу, на котором размещена настоящая Политика конфиденциальности. Изменения вступают в силу с момента их публикации, если иное не предусмотрено законодательством РФ.

1.19. Основные понятия, используемые в Политике конфиденциальности, следует интерпретировать в значении, соответствующем содержанию дефиниций, изложенных в Законе о персональных данных и иных нормативных правовых актах Российской Федерации в области защиты персональных данных, а также регулирующих документах платформы.

2. Принципы обработки персональных данных

2.1. Оператор при обработке персональных данных Пользователей руководствуется принципами, указанными в статье 5 Закона о персональных данных (ФЗ152-ФЗ).

2.2.К принципам, на основе которых Оператором осуществляется обработка персональных данных, относятся:

• Принцип справедливости и законности. Обработка персональных данных осуществляется на законной и справедливой основе. Оператор соблюдает права субъектов данных и не допускает дискриминации или иных нарушений.
• Принцип ограничения целей обработки. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей Платформы. Не допускается обработка данных, несовместимая с целями их сбора.
• Принцип недопущения объединения баз данных. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой (п.3ст.5ФЗ152-ФЗ).
• Принцип целевой обусловленности. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объём обрабатываемых данных соответствуют заявленным целям. Обрабатываемые данные не являются избыточными по отношению к заявленным целям их обработки.
• Принцип достоверности и точности. При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях—актуальность по отношению к целям обработки. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
• Принцип ограничения срока хранения. Хранение Оператором персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором, стороной которого, является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Применимое законодательство

3.1. Рассматриваемые в Политике конфиденциальности отношения, связанные со сбором, хранением, обработкой, распространением и защитой информации о Пользователях Платформы, регулируются в соответствии с действующим законодательством Российской Федерации, прежде всего Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».

Применение к ним норм иностранного права возможно исключительно в случаях, предусмотренных законодательством Российской Федерации, на основании имеющих силу для Российской Федерации международных договоров. При этом Конституция Российской Федерации имеет высшую юридическую силу, и никакие нормы, включая международные договоры, не могут противоречить ей.

Для применения международного договора в России необходимо соблюдение следующих условий:

• договор должен быть официально опубликован;
• он не должен противоречить Конституции РФ;
• для некоторых договоров требуется ратификация федеральным законом (если они касаются прав и свобод человека, границ, обороны и безопасности).

Трансграничная передача данных регулируется специальными нормами ФЗ 152-ФЗ. Оператор обязан убедиться в адекватной защите прав субъектов данных в стране-получателе или иметь иные законные основания для передачи.

4. Правовые основания обработки персональных данных

4.1. Договор оферты на оказание образовательных услуг (акцепт пользователем). 4.2. Согласие на обработку ПД, выраженное путем проставления отметки («галочки») в регистрационной форме. 4.3. Выполнение возложенных на Оператора законом обязанностей (в т.ч. ФЗ «Об образовании в РФ»). 4.4. Перечень основополагающих правовых актов и ведомственных документов:

• Конституция РФ от 12.12.1993 (с изменениями от 4 октября 2022 года);
• Гражданский кодекс РФ (ГК РФ) от 30.11.1994 (часть 1) (с изменениями от 31 июля 2025 года);
• Семейный кодекс РФ (СК РФ) от 29 декабря 1995 года (№223-ФЗ) (в редакции от 23 ноября 2024 года (с изменениями и дополнениями, вступившими в силу с 5 февраля 2025 года);
• Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (в редакции: от 24 июня 2025 года (вступила в силу с 1 сентября 2025 года);
• Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (в ред. от 29 декабря 2025 года (вступила в силу с 1 марта 2026 года);
• Постановления Правительства РФ от 15 сентября 2008 года № 687 (в редакции: от 18 января 2025 года (вступила в силу с 26 января 2025 года) и от 25 июля 2020 года № 1119 (в редакции: от 4 мая 2024 года);
• Приказ ФСТЭК от 18 февраля 2013 года № 21 (в редакции: от 14 мая 2020 года (вступил в силу с 1 января 2021 года);
• Приказ ФСБ от 18 августа 2023 года № 378 (в редакции: от 18 августа 2023 года (вступил в силу: 10 сентября 2023 года);
• Приказ Роскомнадзора от 24 февраля 2021 года № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения»;
• Приказ Роскомнадзора от 19 июня 2025 года № 140 «Требования к обезличиванию персональных данных и методы их обезличивания. Он действует в случаях, которые не подпадают под пункт 9.1 части 1 статьи 6 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»;
• Приказ Роскомнадзора от 28 октября 2022 года №179 «Об утверждении Требований к подтверждению уничтожения персональных данных». (Вступил в силу: 1 марта 2023 года. Действует до: 1 марта 2029 года).
• Лицензия на образовательную деятельность № Л035-01298-77/04084706 от 25 декабря 2025 года.

5. Цели сбора персональных данных

5.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

5.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

Цель	Категории субъектов	Правовое основание
Идентификация Пользователя при регистрации и использовании Платформы	Плательщики, Принципалы	Согласие на обработку
Предоставление доступа к функционалу Платформы, включая поиск специалистов, запись на сессии, проведение онлайн-консультаций	Плательщики	Согласие на обработку
Исполнение Агентом обязательств перед Плательщиками как стороной по сделкам (ст. 1005 ГК РФ)	Плательщики	Согласие на обработку, договор
Организация расчетов и возвратов через Банк, включая передачу необходимых данных в АО «ТБанк»	Плательщики, Принципалы	Согласие на обработку, договор с Банком
Верификация специалистов (проверка документов об образовании, квалификации) для присвоения статуса Принципала	Принципалы	Согласие на обработку
Формирование Публичного профиля Принципала для информирования Плательщиков	Принципалы	Согласие на распространение
Коммуникация с Пользователями (направление уведомлений, ответы на запросы, информирование о новых услугах и акциях)	Плательщики, Принципалы	Согласие на обработку
Улучшение качества работы Платформы, проведение статистических и аналитических исследований (с использованием обезличенных данных)	Плательщики, Принципалы	Согласие на обработку
Защита прав и законных интересов Оператора и Пользователей, предотвращение мошеннических действий	Плательщики, Принципалы	Согласие на обработку
Заключение и исполнение договора об оказании платных образовательных услуг (в том числе с Учебным центром)	Обучающиеся (включая несовершеннолетних)	Согласие на обработку, договор
Ведение кадрового делопроизводства и исполнение трудовых договоров	Сотрудники и кандидаты	Трудовой кодекс РФ, согласие на обработку

5.4. При передаче персональных данных для статистических и исследовательских целей Оператор осуществляет их обезличивание в соответствии с Приказом Роскомнадзора от 19.06.2025 № 140. Методы обезличивания: удаление идентифицирующих атрибутов (ФИО, телефон, email), замена их на уникальные коды-идентификаторы (при необходимости), агрегация данных (группировка по интервалам).

Обезличенные данные не позволяют определить принадлежность к конкретному субъекту без использования дополнительной информации, которая хранится отдельно и не предоставляется третьим лицам.

5.5. Цели сбора персональных данных с учётом специфики дистанционного обучения (ДОТ)

Обработка персональных данных в рамках использования Платформы для дистанционного обучения осуществляется для следующих целей:

• Идентификация и аутентификация обучающихся при доступе к образовательным ресурсам Платформы, включая использование систем прокторинга и видео‑конференц‑связи для подтверждения личности.
• Обеспечение взаимодействия между обучающимися, преподавателями и администрацией в рамках онлайн‑курсов (обмен сообщениями, участие в вебинарах, обсуждение материалов).
• Предоставление доступа к электронным образовательным ресурсам (учебным материалам, тестам, экзаменационным заданиям, видеолекциям).
• Отслеживание прогресса обучения (фиксация результатов тестирования, экзаменов, выполнения заданий, посещаемости онлайн‑занятий).
• Формирование электронных документов об образовании (дипломов, удостоверений, сертификатов) и их передача в государственные информационные системы (при необходимости).
• Организация обратной связи и поддержки (направление уведомлений, ответов на запросы, информирование о новых курсах и акциях).
• Улучшение качества образовательных услуг (анализ обезличенных данных для оптимизации учебных программ и методик обучения).
• Соблюдение требований законодательства (ведение отчётности, предоставление данных в уполномоченные органы).

6. Передача персональных данных третьим лицам

6.1. В целях обеспечения и поддержания деятельности Платформы с «Диван.Онлайн» разными способами и в различных целях могут быть связаны третьи лица, участие которых в работе Платформы связано лишь с единственной правомерной и пропорциональной целью – обеспечение исполнение обязательств Оператора перед Пользователями.

6.2. Оператором осуществляется передача персональных данных (фамилия, имя, отчество, адрес электронной почты, данные о квалификации и (или) иные сведения, в отношении которых Верифицированный специалист дал согласие на распространение) следующему лицу:

а) ООО «Ю-ВЕБ» (Юридический адрес: 300000, г. Тула, ул. Тургеневская, д. 50; тел.: +7 (920) 275-20-85; ИНН 7100056708, КПП 710001001).

б) Для целей организации расчетов и возвратов Оператор передает необходимые персональные данные (фамилия, имя, отчество Плательщика, номер карты/счета, а для Принципалов – фамилия, имя, отчество, ИНН, номер банковского счета) в Акционерное общество «ТБанк» (АО «ТБанк») на основании Договора об организации расчетов № МР-02.26/ДИВ_01 от 11 февраля 2026 г. Передача осуществляется исключительно в целях исполнения обязательств по договорам между Плательщиками и Принципалами, а также для проведения возвратов.

Целью передачи указанным лицам является осуществление технической поддержки Платформы.

6.3. Третьи лица-партнеры, связанные с Платформой и «Диван.Онлайн» договорными обязательствами гарантируют:

что обработка персональных данных на их стороне осуществляется с использованием баз данных на территории Российской Федерации, конфиденциальность персональных данных при их обработке и использовании;

соблюдение следующих мер по обеспечению безопасности персональных данных при их обработке: использование средств защиты информации; обнаружение и фиксация фактов несанкционированного доступа к персональным данным и принятие мер по восстановлению персональных данных; ограничение доступа к персональным данным; регистрация и учет действий с персональными данными; контроль и оценка эффективности применяемых мер по обеспечению безопасности персональных данных.

6.4. Третьи лица не имеют права на передачу и распространение персональных данных пользователей Платформы.

7. Права и обязанности

7.1. Основные права и обязанности Оператора.

7.1.1. Оператор имеет право:

самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с Пользователем договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;

в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

7.1.2. Оператор обязан:

организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;

в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.

7.2. Субъект персональных данных имеет право:

получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных

требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг.

7.3. Контроль за исполнением требований настоящей Политики конфиденциальности осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

7.4. Ответственность за нарушение требований законодательства Российской Федерации и локальных нормативных актов «Диван.Онлайн» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

В целях урегулирования разногласия, связанных с реализацией Политики конфиденциальности, Пользователь и Оператор прибегают к переговорному процессу.

7.5. Субъект персональных данных вправе требовать прекращения выдачи сведений об указателе страницы сайта в сети «Интернет», позволяющих получить доступ к информации о нем, распространяемой с нарушением законодательства РФ, являющейся недостоверной или неактуальной, в порядке, предусмотренном статьей 15.3 Федерального закона от 27.07.2006 № 149-ФЗ. Требование направляется Оператору по электронной почте info@mypsyhub.ru с приложением документов, удостоверяющих личность, и указанием ссылок на страницы, содержащие информацию, подлежащую удалению.

8. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

8.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 5 настоящей Политики конфиденциальности. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

8.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.

8.2.1. Пользователи, претендующие на получение статуса Верифицированного специалиста (Принципала), предоставляют следующие сведения:

идентификационные данные: фамилия, имя, отчество (полностью); дата и место рождения; гражданство; пол.

контактные данные: номер мобильного телефона; адрес электронной почты.

данные документа, удостоверяющего личность: серия, номер, дата выдачи, наименование органа, выдавшего документ (паспорт гражданина РФ/иного государства).

регистрационные данные (статус): свидетельство ОГРНИП / ИНН (для самозанятых), дата постановки на учёт в налоговом органе, номер налогового органа, справка о постановке на учёт (для самозанятых).

финансовые данные: банковские реквизиты (наименование банка, БИК, корреспондентский счёт, номер расчётного счёта); ИНН; СНИЛС (при необходимости для отчётности).

профессиональные данные: сведения об образовании (дипломы, сертификаты, подтверждающие квалификацию психолога), сведения о повышении квалификации, данные для верификации (специализация), ссылки на профессиональные аккаунты в социальных сетях (передаются Специалистом добровольно для целей продвижения).

данные об электронных средствах платежа: информация, необходимая для подключения к системе быстрых платежей или иным способам выплат.

изображение (фотография).

8.2.2. Пользователи, не являющиеся Верифицированными специалистами, и не претендующие на получение указанного статуса, предоставляют следующие сведения:

фамилия, имя, отчество;

номер контактного телефона;

адрес электронной почты (E-mail);

пол (по желанию);

дата и место рождения (по желанию);

платежная информация (обрабатывается исключительно платежным партнером Оператора, Оператор не видит и не хранит полные данные банковских карт).

Платежная информация (в том числе данные банковских карт) обрабатывается исключительно АО «ТБанк» (Банком) в соответствии с Договором об организации расчетов № МР-02.26/ДИВ_01 от 11 февраля 2026 г. Оператор не видит и не хранит полные реквизиты банковских карт Плательщиков. Все расчеты осуществляются через защищенные каналы связи с использованием средств криптографической защиты информации (СКЗИ).

8.2.3. Обучающиеся (в том числе несовершеннолетние) по программам Учебного центра Оператора предоставляют следующие сведения:

фамилия, имя, отчество (при наличии);

год, месяц, дата и место рождения;

СНИЛС (при заключении договора об оказании платных образовательных услуг);

адрес электронной почты;

номер контактного телефона;

данные документа, удостоверяющего личность (при необходимости);

данные об образовании (при необходимости);

данные по оплатам образовательных услуг.

8.2.4. Сотрудники и кандидаты на вакантные должности предоставляют сведения, предусмотренные трудовым законодательством Российской Федерации (включая паспортные данные, ИНН, СНИЛС, сведения о доходах, семейном положении, образовании, опыте работы, воинском учете и иные сведения, необходимые для заключения и исполнения трудового договора).

8.3. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

9. Порядок и условия обработки персональных данных

9.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

9.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

9.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:

неавтоматизированная обработка персональных данных;

автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

смешанная обработка персональных данных.

9.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

9.5. Обработка персональных данных для каждой цели обработки, указанной в разделе 5 Политики конфиденциальности, осуществляется путем:

получения персональных данных в письменной форме непосредственно от субъектов персональных данных;

внесения персональных данных в журналы, реестры и информационные системы Оператора;

использования иных способов обработки персональных данных.

9.6. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

9.7. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

определяет угрозы безопасности персональных данных при их обработке;

принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;

создает необходимые условия для работы с персональными данными;

организует учет документов, содержащих персональные данные;

организует работу с информационными системами, в которых обрабатываются персональные данные;

хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

организует обучение работников Оператора, осуществляющих обработку персональных данных.

9.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

9.8.1. Документы об образовании и договоры об оказании платных образовательных услуг хранятся в течение 5 лет с момента окончания срока действия договора (в соответствии со статьей 23 Налогового кодекса РФ и требованиями к хранению документов об образовании).

9.9. Оператор прекращает обработку персональных данных в следующих случаях:

выявлен факт их неправомерной обработки. Срок – в течение трех рабочих дней с даты выявления;

достигнута цель их обработки;

истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.

9.10. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:

иное не предусмотрено договором, стороной которого, является субъект персональных данных;

Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

9.11. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

9.12. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

10. Использование cookie-файлов

10.1. При любом использовании Платформы Пользователь дает согласие на использование Платформой cookie-файлов следующих категорий:

эксплуатационные cookie-файлы (собирающие информацию об использовании веб-сайтов). Эксплуатационные cookie-файлы не используются для сбора личной информации о Пользователе. Вся информация, собранная с их помощью, предназначена для статистических целей и остается анонимной;

функциональные cookie-файлы (собирающие информацию о выборе Пользователя на Платформе). Информация, предоставляемая функциональными cookie-файлами, не позволяет идентифицировать пользователя и отследить работу пользователя на веб-сайтах, не имеющих отношение к Платформе.

10.2. Cookie-файлы могут включать в себя следующие сведения:

запросы Пользователя как посетителя сайта;

IP-адрес;

идентификатор Пользователя, присваиваемый Платформой;

посещенные страницы;

количество посещений страниц;

длительность пользовательской сессии;

точки входа (сторонние сайты, с которых пользователь по ссылке переходит на сайт);

точки выхода (ссылки на сайте, по которым пользователь переходит на сторонние сайты);

страна пользователя;

регион пользователя;

часовой пояс, установленный на устройстве пользователя;

параметры WebGL браузера;

перечень поддерживаемых языков на устройстве пользователя;

ОС пользователя;

информация об использовании средств автоматизации при доступе на сайт;

дата и время посещения сайта;

уникальный идентификатор, присваиваемый интернет-сторонним сервисом, обеспечивающим обработку статистических данных.

10.3. Пользователь вправе отключить использование cookie-файлов в настройках своего браузера. Однако это может привести к некорректной работе отдельных функций Платформы, в том числе к невозможности авторизации и проведения платежей.

11. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

11.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в части 7 статьи 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя путем направления соответствующего уведомления на адрес электронной почты, указанной при регистрации учетной записи (личного кабинета) Пользователя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

11.2. Запрос субъекта персональных данных на доступ к персональным данным может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Оператор предоставляет сведения, указанные в части 7 статьи 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

11.3. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

11.4. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

11.5. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:

в течение 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;

в течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

11.6. Порядок уничтожения персональных данных Оператором.

11.7. Условия и сроки уничтожения персональных данных Оператором:

достижение цели обработки персональных данных либо утрата необходимости достигать эту цель – в течение 30 дней;

достижение максимальных сроков хранения документов, содержащих персональные данные, – в течение 30 дней;

предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, – в течение 7 рабочих дней;

отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, – в течение 30 дней.

11.7.1. Оператор не несет ответственности за достоверность, законность полученных правомерным способом от Пользователя персональных данных.

11.8. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

иное не предусмотрено договором, стороной которого, является субъект персональных данных;

Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

11.9. Уничтожение персональных данных осуществляется в порядке, предусмотренном законодательством о персональных данных.

11.10. Способы уничтожения персональных данных могут устанавливаться в локальных нормативных актах Оператора.

11.11. Вопросы и предложения, касающиеся настоящей Политики конфиденциальности, могут быть направлены на электронный адрес: info@mypsyhub.ru.

12. Особенности обработки персональных данных несовершеннолетних

12.1.Оператор допускает использование Платформы и её функционала несовершеннолетними лицами (лицами, не достигшими возраста 18лет) исключительно при наличии согласия их законных представителей (родителей, усыновителей, опекунов или попечителей) в соответствии с ч.1ст.64Семейного кодексаРФ и ч.1ст.18.1ФЗ152-ФЗ. После вступления в брак или эмансипации несовершеннолетний приобретает полную дееспособность и даёт согласие на обработку данных самостоятельно (ст.21,27Гражданского кодексаРФ).

12.2.При регистрации на Платформе несовершеннолетнего лица законный представитель предоставляет письменное согласие на обработку персональных данных, которое должно содержать:

• данные о законном представителе (Ф.И.О., данные паспорта и сведения о наличии соответствующей взаимосвязи с несовершеннолетним);
• данные об Операторе (наименование, адрес);
• цель обработки данных;
• перечень обрабатываемых сведений;
• способы обработки данных;
• срок действия согласия или способ его прекращения;
• подпись законного представителя и дату составления.

Законный представитель также подтверждает, что ознакомлен с условиями настоящей Политики и обязуется контролировать действия несовершеннолетнего при использовании Платформы.

12.3.Обработка персональных данных несовершеннолетних осуществляется исключительно в целях, предусмотренных разделом5настоящей Политики, и не может превышать объём данных, необходимых для оказания услуг (в том числе образовательных) или исполнения договора.

12.4.Оператор не осуществляет сбор и обработку специальных категорий персональных данных несовершеннолетних (состояние здоровья, интимная жизнь, расовая принадлежность, политические взгляды, религиозные убеждения ит.п.) без отдельного информированного согласия законных представителей, выраженного в письменной форме. Обработка таких данных возможна также в случаях, предусмотренных законом (например, для защиты жизни и здоровья несовершеннолетнего).

12.5.Оператор принимает все разумные и достаточные меры для ограничения доступа несовершеннолетних к информации, причиняющей вред их здоровью и (или) развитию, в соответствии с требованиями ФЗ436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию» и ФЗ149-ФЗ «Об информации, информационных технологиях и о защите информации». При предоставлении доступа к интернету применяются технические и организационные меры защиты (ст.14ФЗ436-ФЗ).

12.6.Обработка персональных данных несовершеннолетних, проходящих обучение по программам Учебного центра Оператора, осуществляется на основании договора об оказании образовательных услуг, заключаемого с законным представителем, либо с самим несовершеннолетним при наличии письменного согласия законного представителя. Если услуги оказываются бесплатно, основанием может служить соответствующий договор или иной документ, регулирующий отношения между оператором и законным представителем.

12.7.Хранение и уничтожение персональных данных несовершеннолетних осуществляются в порядке, предусмотренном разделом11настоящей Политики, с учётом требований законодательства об образовании (в части хранения документов об обучении). Данные хранятся не дольше, чем это требуется для целей обработки, а при достижении целей или по иным законным основаниям подлежат уничтожению или обезличиванию.

12.8.Оператор вправе ограничить или заблокировать доступ несовершеннолетнего к Платформе (или к отдельным её разделам), если содержание информации, распространяемой через Платформу, может причинить вред здоровью и (или) развитию несовершеннолетнего в соответствии с ФЗ436-ФЗ. Ограничение доступа осуществляется на основании внутренних процедур Оператора и с уведомлением законного представителя несовершеннолетнего.

13. Внутренние организационные меры по обеспечению безопасности персональных дан-ных

13.1. Назначение ответственных лиц

Приказом руководителя образовательной организации назначаются:

• Ответственный за организацию обработки персональных данных — координирует работу по защите данных, контролирует соблюдение законодательства и внутренних документов.
• Ответственный за эксплуатацию ИСПДн — контролирует техническое функционирование системы, отсутствие посторонних лиц в зонах обработки данных, использование средств защиты информации.
• Ответственный за безопасность ИСПДн — осуществляет обслуживание и настройку средств защиты информации (межсетевые экраны, системы контроля доступа).

13.2. Утверждение внутренних документов

В образовательной организации ДПО утверждаются:

• Положение о защите персональных данных слушателей, сотрудников и преподавателей.
• Инструкция по работе с персональными данными, учитывающая особенности дистанционного обучения и использования электронных образовательных ресурсов.
• Положение о разграничении прав доступа к учебным материалам, электронным журналам, системам дистанционного обучения.
• Акт классификации ИСПДн с учётом специфики обрабатываемых данных (данные о программах обучения, результатах аттестации).
• Модель угроз безопасности, включающая риски, связанные с дистанционным обучением и использованием сторонних платформ.
• Положение об электронном документообороте с требованиями к защите данных при передаче через интернет.

13.3. Особенности обработки данных в ДПО

• Защита учебных материалов и методических пособий от несанкционированного доступа, включая контроль прав доступа к электронным курсам и базам данных.
• Конфиденциальность результатов тестирования и экзаменов, особенно при использовании онлайн-платформ.
• Безопасность персональных данных слушателей, включая защиту информации о их профессиональной деятельности и личных данных.
• Защита информации о программах обучения, включая условия договоров с партнёрами и спонсорами.
• Контроль доступа к системе дистанционного обучения, включая аутентификацию пользователей и мониторинг активности.

13.4. Технические меры защиты

Помимо базовых мер (идентификация, управление доступом, регистрация событий, антивирусная защита, резервное копирование), в ДПО применяются:

• Системы контентной фильтрации для ограничения доступа к нежелательному контенту при использовании интернет-ресурсов в учебном процессе.
• Защита от несанкционированного доступа к учебным материалам, размещённым на облачных платформах или сторонних сервисах.
• Шифрование данных при передаче между слушателями, преподавателями и образовательной организацией, особенно при использовании открытых сетей.
• Мониторинг активности пользователей в системах дистанционного обучения для выявления подозрительных действий.

13.5. Контроль и аудит

• Ежеквартальный контроль соблюдения требований безопасности, включая проверку настроек доступа и состояния средств защиты.
• Внутренний аудит не реже 1 раза в 3 года с привлечением внешних экспертов, специализирующихся на защите данных в образовательных организациях.
• Тестирование на проникновение для выявления уязвимостей в системах дистанционного обучения и электронных журналах.

13.6. Обучение персонала

• Регулярные инструктажи по информационной безопасности для сотрудников, работающих с данными слушателей и учебными материалами.
• Обучение правилам работы с ПДн в контексте дистанционного обучения, включая использование электронных подписей и защищённых каналов связи.
• Проверка знаний требований безопасности при аттестации сотрудников.

13.7. Защита данных слушателей

• Ограничение доступа к персональным данным слушателей, включая запрет на их распространение без согласия субъектов.
• Контроль распространения информации об обучении, особенно в открытых источниках или при взаимодействии с партнёрами.
• Защита сведений о результатах аттестации и других конфиденциальных данных, связанных с образовательной деятельностью.

13.8. Документация системы защиты

• Журналы учёта обращений субъектов персональных данных, включая запросы на доступ к учебным материалам.
• Документация по инцидентам безопасности с анализом причин и мерами по предотвращению повторных случаев.
• Договоры с обработчиками данных (например, с провайдерами облачных услуг или системами электронного документооборота).
• Акты классификации и категорирования ИСПДн с учётом специфики ДПО.

13.9. Сроки хранения документов

• Журналы учёта — 5 лет.
• Акты уничтожения — 3 года.
• Внутренняя документация по ИБ — 5 лет.
• Договоры с обработчиками — 5 лет после прекращения действия.

13.10. Обновление документации

• Пересмотр документов — ежегодно.
• Актуализация при изменении законодательства (например, при введении новых требований к защите данных в онлайн-обучении).
• Внесение изменений при выявлении новых угроз, связанных с развитием технологий дистанционного обучения.

13.11. Процедуры реагирования на инциденты

При инцидентах осуществляется:

• Немедленное информирование ответственных лиц и руководства.
• Локализация угрозы, например, отключение доступа к скомпрометированным системам.
• Уведомление Роскомнадзора в течение 24 часов при нарушении прав субъектов ПДн.
• Внутреннее расследование в течение 72 часов с составлением акта.
• Разработка мер по предотвращению повторных случаев, включая обновление политик безопасности и обучение персонала.

14. Технические меры защиты данных при использовании ДОТ

Оператор принимает следующие технические меры для защиты персональных данных при использовании Платформы для дистанционного обучения:

• Использование межсетевых экранов для фильтрации входящего и исходящего трафика, предотвращения несанкционированного доступа.
• Внедрение систем контроля доступа с разграничением прав пользователей (обучающиеся, преподаватели, администраторы) и многофакторной аутентификацией.
• Антивирусная защита с регулярным обновлением баз данных и мониторингом угроз.
• Резервное копирование данных с хранением копий на отдельных серверах для предотвращения потери информации.
• Шифрование данных при передаче (использование протоколов TLS/SSL) и хранении (шифрование баз данных).
• Контент‑фильтрация для ограничения доступа к нежелательному контенту при использовании интернет‑ресурсов в учебном процессе.
• Мониторинг активности пользователей для выявления подозрительных действий (необычные запросы, множественные попытки входа и т. д.).
• Защита облачных платформ и сторонних сервисов, используемых для размещения учебных материалов и проведения онлайн‑занятий (проверка соответствия требованиям безопасности).
• Регулярное тестирование на уязвимости (пентест, сканирование сетей) для своевременного устранения слабых мест в системе защиты.

15. Процедуры реагирования на инциденты безопасности при использовании ДОТ

При выявлении инцидента, связанного с нарушением безопасности персональных данных (несанкционированный доступ, утечка данных, кибератака и т. п.), Оператор предпринимает следующие действия:

1. Немедленное информирование ответственных лиц:
• ответственный за организацию обработки персональных данных;
• ответственный за безопасность ИСПДн;
• руководство Оператора.
2. Локализация угрозы:
• отключение скомпрометированных систем или сервисов;
• блокировка учётных записей, через которые осуществлён несанкционированный доступ;
• изоляция сегментов сети для предотвращения распространения угрозы.
3. Уведомление Роскомнадзора:
• в течение 24часов с момента выявления инцидента направляется уведомление с указанием:
• характера инцидента;
• предполагаемых причин;
• объёма и категорий затронутых персональных данных;
• предполагаемого вреда, нанесённого правам субъектов персональных данных;
• принятых мер по устранению последствий;
• контактных данных лица, уполномоченного на взаимодействие с Роскомнадзором.
4. Внутреннее расследование:
• проводится в течение 72часов с момента инцидента;
• включает анализ журналов событий, логов доступа, действий пользователей;
• по итогам составляется акт с указанием:
• причин инцидента;
• лиц, действия которых привели к инциденту (при наличии);
• мер по предотвращению повторных случаев.
5. Информирование субъектов персональных данных:
• если инцидент может привести к высокому риску для прав и свобод субъектов, они уведомляются без необоснованных задержек;
• уведомление содержит описание инцидента, его последствий и рекомендаций для минимизации вреда.
6. Устранение последствий и профилактика:
• внедрение дополнительных мер защиты (обновление ПО, усиление парольной политики, настройка межсетевых экранов);
• обучение персонала по вопросам информационной безопасности;
• актуализация внутренних документов по защите данных.

16. Требования к программному обеспечению для реализации образовательных программ

Программное обеспечение, используемое Оператором для реализации образовательных программ с применением ДОТ, должно соответствовать следующим требованиям:

• Включено в Единый реестр российских программ для электронных вычислительных машин и баз данных (в соответствии с Постановлением Правительства РФ от 11.10.2023 №1678).
• Обеспечивает защиту персональных данных в соответствии с требованиями Федерального закона №152‑ФЗ и Постановления Правительства РФ №687.
• Поддерживает функции идентификации и аутентификации пользователей с использованием надёжных методов (логин/пароль, двухфакторная аутентификация, биометрия).
• Имеет механизмы шифрования данных при передаче и хранении.
• Позволяет вести журналы учёта действий пользователей и администраторов.
• Регулярно обновляется для устранения уязвимостей и соответствия актуальным требованиям безопасности.
• Интегрируется с государственными информационными системами (при необходимости), обеспечивая безопасный обмен данными.
• Предоставляет инструменты для мониторинга и контроля доступа к учебным материалам и результатам обучения.

12.9. Особенности обработки данных несовершеннолетних при дистанционном обучении

При обработке персональных данных несовершеннолетних (лиц, не достигших 18лет) в рамках дистанционного обучения Оператор дополнительно обеспечивает:

• Усиленный контроль доступа к учебным материалам: ограничение доступа к информации, которая может причинить вред здоровью и развитию несовершеннолетних, в соответствии с Федеральным законом №436‑ФЗ.
• Подтверждение согласия законного представителя на обработку персональных данных несовершеннолетнего, включая данные, необходимые для доступа к образовательным ресурсам и участия в онлайн‑занятиях.
• Ограничение сбора специальных категорий данных (состояние здоровья, интимная жизнь и т. п.) без отдельного письменного согласия законного представителя.
• Мониторинг активности несовершеннолетних в системе дистанционного обучения для выявления подозрительных или небезопасных действий.
• Возможность ограничения или блокировки доступа несовершеннолетнего к Платформе (или её разделам), если содержание информации может причинить вред его здоровью и развитию (в соответствии с ФЗ №436‑ФЗ и ФЗ №149‑ФЗ).

Хранение и уничтожение данных несовершеннолетних с учётом требований законодательства об образовании и сроков хранения документов об обучении.

17. Обучение персонала по работе с персональными данными в условиях ДОТ

Оператор организует регулярное обучение персонала, работающего с персональными данными слушателей и учебными материалами, с акцентом на аспекты, связанные с ДОТ:

• Инструктажи по информационной безопасности не реже 1раза в год, включая:
• правила работы с персональными данными при использовании электронных образовательных ресурсов;
• методы защиты данных при передаче через интернет (шифрование, защищённые каналы);
• порядок реагирования на инциденты безопасности.
• Обучение правилам работы с ПДн в контексте дистанционного обучения, включая:
• использование электронных подписей;
• работу с системами прокторинга и видео‑конференц‑связи;
• обеспечение конфиденциальности результатов тестирования и экзаменов.
• Проверка знаний требований безопасности при аттестации сотрудников.
• Ознакомление с внутренними документами по защите данных (Положение о защите персональных данных, Инструкция по работе с ПДн, Положение о разграничении прав доступа).
• Тренинги по выявлению и предотвращению киберугроз, специфичных для образовательной среды (фишинг, социальная инженерия, атаки на системы дистанционного обучения).