Политика обработки персональных данных

Версия: 1.0
Дата вступления в силу: 22 марта 2026 г.

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — Политика) определяет порядок обработки и защиты персональных данных пользователей платформы willtalk.ru (далее — Платформа).

1.2. Оператором персональных данных является [ФИО], осуществляющий деятельность в качестве самозанятого (плательщик налога на профессиональный доход в соответствии с Федеральным законом от 27.11.2018 N 422-ФЗ) (далее — Оператор).

1.3. Контактный адрес электронной почты Оператора: [email].

1.4. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и иными нормативными правовыми актами Российской Федерации в области персональных данных.

1.5. Политика действует в отношении всех персональных данных, которые Оператор получает от пользователей Платформы.

1.6. Регистрируясь на Платформе или используя её функционал, пользователь выражает своё согласие с условиями настоящей Политики. В случае несогласия с условиями Политики пользователь должен прекратить использование Платформы.

2. Правовые основания обработки

2.1. Обработка персональных данных осуществляется на следующих правовых основаниях:

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (ст. 6 ч. 1 п. 1, п. 5);
Гражданский кодекс Российской Федерации (в части исполнения договорных обязательств);
Постановление Правительства Российской Федерации от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
согласие субъекта персональных данных на обработку его персональных данных (ст. 9 152-ФЗ);
договор (публичная оферта), стороной которого является субъект персональных данных (ст. 6 ч. 1 п. 5 152-ФЗ).

3. Цели обработки персональных данных

3.1. Оператор осуществляет обработку персональных данных в следующих целях:

регистрация и авторизация пользователей на Платформе;
предоставление образовательных услуг (уроки английского языка онлайн);
отслеживание прогресса обучения и формирование статистики успеваемости;
обеспечение обмена сообщениями между преподавателем и учениками;
работа со словарём и системой перевода в рамках учебного процесса;
обеспечение безопасности Платформы и предотвращение несанкционированного доступа.

4. Категории и перечень обрабатываемых персональных данных

4.1. Оператор обрабатывает следующие категории персональных данных:

4.1.1. Учётные данные:

имя пользователя (username);
отображаемое имя (display_name).

4.1.2. Данные аватара:

загруженное пользователем фото профиля.

4.1.3. Образовательные данные:

уровень владения английским языком (A1–C2);
ответы на упражнения;
оценки и результаты проверки;
прогресс прохождения уроков и курсов;
допущенные ошибки и статистика их анализа;
голосовые записи выполнения упражнений; аудиообратная связь преподавателя.

4.1.4. Данные коммуникации:

сообщения в чате уроков (live-сессии);
асинхронные сообщения (личная и групповая переписка на Платформе);
файлы, прикреплённые к сообщениям (изображения, документы).

4.1.5. Словарные данные:

персональный словарь пользователя;
прогресс заучивания слов (алгоритм интервального повторения SM-2).

4.1.6. Технические данные:

IP-адрес;
cookie авторизации;
данные сессии (токен JWT).

5. Категории субъектов персональных данных

5.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

Преподаватель (1 человек) — администратор и основной пользователь Платформы;
Ученики (до 35 человек) — лица, зарегистрированные на Платформе для получения образовательных услуг. Среди учеников могут быть несовершеннолетние лица; в этом случае регистрация осуществляется с согласия законных представителей;
Посетители сайта — лица, просматривающие общедоступные страницы Платформы (лендинг, страница авторизации).

6. Способы обработки персональных данных

6.1. Обработка персональных данных осуществляется автоматизированным способом с использованием средств вычислительной техники.

6.2. Обработка включает следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, уничтожение.

7. Сроки обработки и хранения персональных данных

7.1. Сроки хранения персональных данных определяются в зависимости от категории данных:

Учётные данные (имя пользователя, отображаемое имя) — до момента удаления учётной записи пользователем или до отзыва согласия на обработку персональных данных;
Образовательные данные (ответы, оценки, прогресс) — до момента удаления учётной записи;
Сообщения (чат уроков, переписка) — до момента удаления учётной записи;
Резервные копии — 30 дней с момента создания (хранятся в зашифрованном виде, GPG AES-256);
Cookie авторизации — 7 дней (автоматическое истечение срока действия);
Серверные логи — не более 30 дней.

7.2. По истечении установленных сроков хранения персональные данные уничтожаются в порядке, предусмотренном разделом 8 настоящей Политики.

8. Порядок уничтожения персональных данных

8.1. Персональные данные подлежат уничтожению в следующих случаях:

при достижении целей обработки персональных данных или утрате необходимости в их достижении;
по запросу субъекта персональных данных;
при отзыве согласия субъекта на обработку персональных данных.

8.2. При отзыве согласия на обработку персональных данных Оператор обязуется уничтожить персональные данные субъекта в течение 30 (тридцати) дней с даты получения соответствующего обращения.

8.3. Уничтожение персональных данных осуществляется в соответствии с требованиями Приказа Роскомнадзора от 28.10.2022 N 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

8.4. Резервные копии, содержащие персональные данные, уничтожаются автоматически по истечении установленного срока хранения (30 дней).

8.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов персональных данных, Оператор обязуется:

уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в течение 24 (двадцати четырёх) часов с момента выявления инцидента;
направить результаты внутреннего расследования причин инцидента в Роскомнадзор в течение 72 (семидесяти двух) часов с момента выявления инцидента (ст. 21 ч. 3.1 Федерального закона от 27.07.2006 N 152-ФЗ в ред. Федерального закона от 14.07.2022 N 266-ФЗ).

9. Использование внешних сервисов

9.1. Для перевода слов и фраз в рамках учебного процесса Платформа обращается к внешнему API (OpenRouter, маршрутизация на Google Gemini). В запросах к API передаются исключительно:

отдельные слова для перевода;
фрагменты учебного текста, составленного преподавателем (контекст для точного перевода).

Персональные данные пользователей (имя, идентификатор, IP-адрес, cookie, данные сессии) не передаются во внешний API. Запросы формируются сервером Платформы (server-to-server); браузер пользователя не взаимодействует с внешним API напрямую. В коде Платформы реализована трёхуровневая система защиты от случайного попадания персональных данных в запросы к API перевода.

9.2. Данный обмен данными не является трансграничной передачей персональных данных по смыслу ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ, поскольку передаваемая информация (слова и учебные тексты) не относится к сведениям, позволяющим прямо или косвенно определить физическое лицо (ст. 3 п. 1 152-ФЗ).

9.3. Сторонние сервисы аналитики (Google Analytics, Яндекс.Метрика и т.п.) на Платформе не используются.

9.4. Сторонняя авторизация (OAuth через Google, ВКонтакте и т.п.) на Платформе не используется. Авторизация осуществляется исключительно средствами Платформы.

10. Меры по защите персональных данных

10.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

10.2. Организационные меры:

назначение ответственного лица за организацию обработки персональных данных;
установление внутренних правил доступа к персональным данным;
ограничение круга лиц, имеющих доступ к персональным данным.

10.3. Технические меры:

шифрование передаваемых данных по протоколу SSL/TLS (HTTPS);
хеширование паролей пользователей (алгоритм bcrypt);
ограничение скорости запросов (rate limiting) для защиты от перебора паролей и DDoS-атак;
межсетевой экран (UFW: разрешены только порты 22, 80, 443);
система предотвращения вторжений (fail2ban) для автоматической блокировки подозрительной активности;
заголовки безопасности (Content-Security-Policy, HSTS с preload, X-Content-Type-Options, X-Frame-Options);
санитизация пользовательского ввода (DOMPurify) для предотвращения XSS-атак;
валидация загружаемых файлов по сигнатуре содержимого (magic bytes);
зашифрованные резервные копии базы данных (GPG AES-256);
база данных расположена на сервере, физически находящемся на территории Российской Федерации (Timeweb Cloud).

11. Права субъекта персональных данных

11.1. В соответствии со ст. 14, 15, 16, 17 Федерального закона от 27.07.2006 N 152-ФЗ субъект персональных данных имеет право:

на получение информации, касающейся обработки его персональных данных (ст. 14 152-ФЗ);
на доступ к своим персональным данным (ст. 14 152-ФЗ);
требовать от Оператора уточнения (исправления) своих персональных данных в случае, если они являются неполными, неточными или неактуальными (ст. 14 152-ФЗ);
требовать от Оператора удаления своих персональных данных (ст. 14 152-ФЗ);
отозвать своё согласие на обработку персональных данных путём направления письменного обращения Оператору (ст. 9 152-ФЗ);
обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных — Роскомнадзор — или в судебном порядке (ст. 17 152-ФЗ);
требовать прекращения обработки персональных данных в целях продвижения товаров, работ, услуг на рынке (ст. 15 152-ФЗ);
не быть объектом решения, основанного исключительно на автоматизированной обработке персональных данных, порождающего юридические последствия (ст. 16 152-ФЗ).

11.2. Для реализации своих прав субъект персональных данных может направить обращение на адрес электронной почты Оператора: [email].

11.3. Оператор обязан предоставить ответ на обращение субъекта в течение 10 (десяти) рабочих дней с даты получения обращения (ст. 20 152-ФЗ).

12. Использование файлов cookie

12.1. Платформа использует исключительно cookie авторизации (next-auth.session-token) для поддержания сессии авторизации пользователя.

12.2. Характеристики cookie авторизации:

Тип: HttpOnly, Secure (при подключении через HTTPS), SameSite;
Срок действия: 7 дней;
Назначение: поддержание авторизованной сессии пользователя.

12.3. Сторонние cookie (аналитика, реклама, трекинг) не используются на Платформе.

12.4. Пользователь вправе отключить cookie в настройках своего браузера, однако это сделает невозможным авторизацию и использование защищённых разделов Платформы.

13. Порядок обращений и контактная информация

13.1. По всем вопросам, связанным с обработкой персональных данных, в том числе для реализации прав, предусмотренных разделом 11 настоящей Политики, субъект персональных данных может обратиться к Оператору по адресу электронной почты: [email].

13.2. В случае несогласия с действиями Оператора субъект персональных данных вправе обратиться в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):

Почтовый адрес: 109992, г. Москва, ул. Садовая-Сухаревская, д. 16;
Сайт: https://rkn.gov.ru.

Дата публикации: 22 марта 2026 г.
Версия документа: 1.0

← На главную