Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — Политика) составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон) и определяет порядок обработки персональных данных, а также меры по обеспечению их безопасности, предпринимаемые ООО «Институт Навыков» (ИНН: 6670508841, ОГРН: 1226600029578, Регистрационный номер в реестре: 66-25-035182, далее — Оператор) в лице генерального директора Москвитина Кирилла Владиславовича.

1.2. Оператор обрабатывает персональные данные в соответствии с:

• Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании» (хранение данных учащихся);
• Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

1.3. Оператор обрабатывает персональные данные в целях:

• Предоставления дистанционных образовательных услуг через платформу skill-x.ru;
• Организации просветительских мероприятий (вебинаров, мастер-классов);
• Проведения очных занятий (при необходимости);
• Информирования о новых курсах, акциях и обновлениях;
• Анализа использования платформы для улучшения качества услуг.

1.4. Политика применяется ко всем данным, полученным через:

• веб-сайт https://skill-x.ru/;
• формы регистрации, оплаты и обратной связи;
• сервисы аналитики (Яндекс.Метрика).

2. Основные понятия, используемые в Политике

1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://skill-x.ru/;
4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;
6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://skill-x.ru/;
9. Пользователь – любой посетитель веб-сайта https://skill-x.ru/;
10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
11. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
13. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
14. При обработке ПДн субъектов моложе 18 лет требуется согласие законного представителя (для лиц до 14 лет — обязательно; 14–18 лет — с учётом дееспособности по ГК РФ).

3. Оператор может обрабатывать следующие персональные данные Пользователя

1. ФИО, e-mail, телефон — для регистрации и связи
2. Год, месяц, дата рождения — только для подтверждения возраста при доступе к курсам 18+;
3. Фотографии — только при наличии отдельного согласия на обработку биометрических ПДн и исключительно для подтверждения личности при выдаче сертификатов; без применения технологий распознавания — как обычные ПДн;
4. Для оплаты услуг: данные банковских карт (обрабатываются через защищенные платежные шлюзы партнеров — ЮKassa (ООО НКО «ЮМани», ИНН 7750005725, ОГРН 1127711000031) и ООО «Робокасса» (ИНН 5047063929, ОГРН 1055009302215). Оператор не хранит реквизиты карт);
5. Автоматически собираемые данные: IP-адрес, cookie/online-идентификаторы, параметры сессии (псевдонимизированные ПДн). Используются для аналитики и улучшения сервиса; управление — через настройки cookie/баннера и браузера.
6. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные Данные (ПДн).

4. Цели обработки персональных данных

1. Цель обработки персональных данных Пользователя — предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте.
2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты info@skill-x.ru с пометкой «Отказ от уведомлениях о новых продуктах и услугах и специальных предложениях».
3. Обработка данных платежных карт осуществляется исключительно для проведения транзакций через сервисы-посредники (ЮKassa (ООО НКО «ЮМани», ИНН 7750005725, ОГРН 1127711000031) и ООО «Робокасса» (ИНН 5047063929, ОГРН 1055009302215)). Оператор не хранит реквизиты карт.
4. Псевдонимизированные данные пользователей (IP-адрес, cookie/online-идентификаторы, параметры сессии), собираемые с помощью сервисов интернет-статистики, используются для анализа работы сайта и улучшения сервиса. Управление — через баннер/настройки cookie и настройки браузера.

5. Правовые основания обработки персональных данных

1. Обработка осуществляется на основании:
   1. Согласия субъекта (п. 1 ч. 1 ст. 6 152-ФЗ) — для рассылки рекламных уведомлений;
   2. Исполнения договора (п. 5 ч. 1 ст. 6 152-ФЗ) — для предоставления образовательных услуг;
   3. Законных интересов Оператора (п. 7 ч. 1 ст. 6 152-ФЗ) — для анализа использования платформы и предотвращения технических сбоев.
   4. Отдельного письменного согласие субъекта на биометрические ПДн (ст. 11 152-ФЗ) — для идентификации по фото, если применяется.
2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://skill-x.ru/. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой. Согласие оформляется отдельно от иных документов, содержит: оператора (полное наименование, юр. адрес), цели, перечень ПДн, действия/способы обработки, срок действия, способ отзыва, сведения о третьих лицах-обработчиках и о трансграничной передаче (при наличии). Оператор хранит доказательства получения согласия (лог-записи/копии).
3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

6. Порядок сбора, хранения, передачи и других видов обработки персональных данных

1. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
2. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц, в том числе:

• SSL-шифрование передачи данных;
• двухфакторная аутентификация для доступа сотрудников;
• регулярные аудиты безопасности;
• хранение данных на серверах, расположенных на территории РФ.

3. Персональные данные передаются третьим лицам в случаях, предусмотренных законом, а также обработчикам по договору поручения (ч. 3 ст. 6 152-ФЗ) — строго в пределах целей и действий, указанных в договоре, при соблюдении требований к ИБ и конфиденциальности.
4. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора info@skill-x.ru с пометкой «Актуализация персональных данных».
5. Персональные данные хранятся:
   1. Для учащихся — 5 лет с момента окончания обучения (в соответствии с ФЗ «Об образовании»);
   2. Для подписчиков рассылки — до отзыва согласия;
   3. Платежные данные — не хранятся.
6. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора info@skill-x.ru с пометкой «Отзыв согласия на обработку персональных данных»;
7. Оператор назначает ответственного за обработку ПДн в соответствии со ст. 22.1 152-ФЗ. Контакты ответственного: security@skill-x.ru;
8. В случае инцидента утечки ПДн Оператор направляет первичное уведомление в Роскомнадзор в течение 24 часов с момента выявления, и дополнительное уведомление — в течение 72 часов по итогам внутреннего расследования. При риске причинения вреда уведомляются и субъекты ПДн.
9. Обработка может поручаться лицам по договору поручения (ч. 3 ст. 6 152-ФЗ): платежные шлюзы ЮKassa (ООО НКО «ЮМани», ИНН 7750005725, ОГРН 1127711000031) и ООО «Робокасса» (ИНН 5047063929, ОГРН 1055009302215), облачный хостинг, сервисы аналитики и рассылок; сервис аналитики: ООО «ЯНДЕКС» (Россия, 119021, Москва, ул. Льва Толстого, 16) — «Яндекс.Метрика» (обработка псевдонимизированных online-идентификаторов). Договоры содержат перечень ПДн, цели, действия, требования к ИБ и обязанность уведомлять об инцидентах ПДн.
10. Меры ИБ применяются с учётом уровней защищённости ИСПДн (ПП РФ № 1119) и состава мер по приказу ФСТЭК № 21; при применении СКЗИ — приказ ФСБ № 378.

7. Трансграничная передача персональных данных

1. На дату 02.11.2025 трансграничная передача персональных данных Оператором не осуществляется. В случае изменения этого статуса до начала такой передачи Оператор направит уведомление в Роскомнадзор в порядке, установленном ст. 12 152-ФЗ.
2. До начала трансграничной передачи ПДн Оператор направляет уведомление в Роскомнадзор с указанием стран и получателей (единое уведомление). Трансграничная передача ведётся при соблюдении требований ст. 12 152-ФЗ и локализации ПДн граждан РФ (242-ФЗ);
3. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных;
4. Данные, собранные через Яндекс.Метрика, обезличиваются. Передача осуществляется с согласия пользователя, выраженного через настройки браузера;
5. Передача обезличенных данных через Яндекс.Метрика осуществляется при включенном согласии на cookie. Пользователь может отключить сбор данных в настройках браузера.

8. Права субъектов ПДн

1. Пользователь вправе:
   1. отозвать согласие на обработку данных;
   2. требовать уточнения, блокирования или удаления данных;
   3. получать информацию о третьих лицах, которым переданы данные.
2. Ответ предоставляется в той же форме, в какой поступил запрос, в течение 30 дней; срок может быть продлён до 5 рабочих дней с направлением мотивированного уведомления субъекту.
3. Для реализации прав направьте запрос на info@skill-x.ru

9. Заключительные положения

1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты info@skill-x.ru.
2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://skill-x.ru/privacy-policy.
4. При существенных изменениях Политики (например, изменение целей обработки) Оператор уведомляет пользователей через email и pop-уведомления на платформе.