Политика конфиденциальности

1. Общие положения

Настоящая Политика конфиденциальности определяет порядок обработки и защиты персональных данных пользователей веб-сервиса Sirius.Achievements (далее — Сервис), разработанного для сбора студенческого портфолио и анализа достижений обучающихся Университета «Сириус».

Использование Сервиса означает согласие пользователя с настоящей Политикой и условиями обработки его персональных данных.

2. Персональные данные, подлежащие обработке

В рамках работы Сервиса обрабатываются следующие персональные данные:

• Фамилия, имя
• Адрес электронной почты
• Номер телефона (при указании)
• Фотография профиля (при загрузке)
• Сведения об образовании (уровень, курс)
• Загруженные документы (грамоты, сертификаты, дипломы)
• Данные об учебных и внеучебных достижениях

3. Цели обработки персональных данных

• Регистрация и аутентификация пользователей в Сервисе
• Формирование портфолио достижений студентов
• Модерация загруженных документов
• Формирование рейтинга студентов
• Генерация аналитических отчётов и сводок
• Обеспечение работы службы поддержки
• Уведомление пользователей о статусе заявок

4. Правовые основания обработки

Обработка персональных данных осуществляется на основании:

• Согласия субъекта персональных данных (ст. 6, ч. 1, п. 1 ФЗ-152)
• Необходимости исполнения договора, стороной которого является субъект (ст. 6, ч. 1, п. 5 ФЗ-152)

5. Защита персональных данных

Оператор принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения:

• Хеширование паролей (bcrypt)
• Защита сессий с использованием CSRF-токенов
• Шифрование передачи данных (HTTPS/TLS)
• Аутентификация по JWT-токенам для API
• Ограничение доступа по ролям (RBAC)
• Журналирование действий (аудит-лог)
• Ограничение попыток входа (rate limiting)

6. Права субъекта персональных данных

Пользователь имеет право:

• Получить информацию об обработке своих персональных данных
• Требовать уточнения, блокирования или уничтожения персональных данных
• Отозвать согласие на обработку персональных данных
• Обжаловать действия оператора в Роскомнадзоре

7. Передача данных третьим лицам

Персональные данные не передаются третьим лицам, за исключением случаев:

• Обработка обезличенных текстов достижений сервисом YandexGPT для формирования AI-сводки (при включении данной функции)
• Требования законодательства Российской Федерации

8. Хранение данных

Персональные данные хранятся в зашифрованной базе данных PostgreSQL на серверах, расположенных на территории Российской Федерации. Срок хранения — на протяжении периода использования Сервиса. При удалении аккаунта все персональные данные пользователя удаляются.

9. Контактная информация

По вопросам, связанным с обработкой персональных данных, пользователь может обратиться через систему поддержки Сервиса или по адресу электронной почты, указанному в разделе «Поддержка».