ПОЛИТИКА в отношении обработки и защиты персональных данных ООО «ТАВ» (мобильное приложение TAB «Вместе против травли»)

1. Общие положения

1.1. Настоящая Политика определяет порядок и условия обработки персональных данных в мобильном приложении «ТАВ Вместе против травли» (далее — Приложение), права и обязанности ООО «ТАВ» (далее — Оператор) и субъектов персональных данных, а также меры защиты данных.

1.2. Политика распространяется на все персональные данные, обрабатываемые Оператором с использованием средств автоматизации в рамках работы Приложения.

2. Понятия, используемые в Политике

2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации.

2.3. Обработка включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники (серверов, баз данных, мобильных устройств).

2.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

2.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц (например, психологам, кураторам).

2.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители персональных данных.

2.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.

3. Цели обработки персональных данных

3.1. Регистрация и аутентификация пользователей в Приложении.

3.2. Предоставление и поддержка основного функционала Приложения.

3.3. Формирование персонализированных рекомендаций с использованием алгоритмов искусственного интеллекта (ИИ) как вспомогательного инструмента.

3.4. Анализ использования Приложения для его улучшения (на основе обезличенных данных).

3.5. Отправка сервисных уведомлений, связанных с использованием Приложения.

3.6. Формирование статистических отчётов в обезличенном виде.

4. Правовые основания обработки персональных данных

4.1. Правовыми основаниями являются:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

• Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;

• Устав ООО «ТАВ»;

• согласие субъекта персональных данных (или его законного представителя);

• иные основания, предусмотренные законодательством Российской Федерации.

4.2. Согласие на обработку персональных данных является конкретным, информированным, сознательным и однозначным и оформляется в виде отдельного документа.

5. Объём и категории обрабатываемых персональных данных

5.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

• пользователей Приложения (обучающихся, в том числе несовершеннолетних);

• родителей (законных представителей) несовершеннолетних пользователей;

• психологов и кураторов, сотрудничающих с Оператором.

5.2. Биометрические персональные данные Приложение не обрабатывает.

5.3. Объём обрабатываемых персональных данных:

• фамилия, имя, отчество (ФИО);

• дата рождения;

• контактные данные (номер телефона, адрес электронной почты — при наличии);

• данные учётной записи (логин, хеш-пароля);

• данные об образовательной организации (название школы, класс);

• результаты психологических тестов и опросов;

• данные о настроении и эмоциональном состоянии, вводимые пользователем;

• геолокационные данные — исключительно при активации пользователем функции экстренной помощи (S.O.S.), не собираются на постоянной основе, не сохраняются и не формируют историю перемещений;

• обезличенные технические идентификаторы устройства (IP-адрес, тип устройства, версия операционной системы);

• данные, вводимые пользователем в рамках функционала Приложения (например, ответы в тестах и сообщения).

5.4. Приложение не осуществляет скрытого или фонового сбора персональных данных, включая геолокацию.

5.5. Специальные категории персональных данных обрабатываются только в случаях, прямо предусмотренных законодательством РФ.

6. Порядок и условия обработки персональных данных

6.1. Обработка осуществляется автоматизированным способом с использованием мобильного приложения и серверных систем Оператора.

6.2. Хранение и обработка персональных данных осуществляется исключительно на территории Российской Федерации в облачных сервисах Яндекс.Облако на основании договора поручения на обработку персональных данных № 58270450/26 от 11.03.2026.

6.3. Персональные данные не передаются во внешние сервисы (включая системы автоматизации и аналитики) и обрабатываются исключительно в инфраструктуре, расположенной на территории Российской Федерации. Передача данных третьим лицам возможна только в случаях, прямо предусмотренных законодательством РФ и настоящей Политикой.

6.4. Использование искусственного интеллекта (ИИ):

Алгоритмы искусственного интеллекта используются исключительно как вспомогательный инструмент для формирования персонализированных рекомендаций внутри Приложения.

Персональные данные не используются для обучения моделей ИИ и не передаются третьим лицам для целей работы ИИ.

ИИ не принимает автоматических решений, затрагивающих права и законные интересы пользователя (в том числе ребёнка).

Все рекомендации носят исключительно справочный характер и при необходимости проверяются специалистом (психологом или куратором).

6.5. Геолокационные данные:

Используются только при активации функции экстренной помощи (S.O.S.), не используются для постоянного отслеживания, не сохраняются и не формируют историю перемещений. Передача осуществляется только законному представителю при наличии согласия.

6.6. Сроки обработки и хранения определяются целями и не превышают необходимый период.

6.7. Прекращение обработки и уничтожение данных происходит при достижении целей, отзыве согласия или выявлении нарушений.

6.8. Механизм отзыва согласия: через службу поддержки или кнопку «Отозвать согласие» в личном кабинете. Данные блокируются и удаляются в течение 30 дней.

7. Защита персональных данных

7.1. Оператор принимает необходимые нормативные, организационные и технические меры защиты персональных данных в соответствии с требованиями законодательства РФ.

7.2. Нормативные меры:

• разработка локальных актов по обработке персональных данных;

• соблюдение требований законодательства РФ.

7.3. Организационные меры:

• назначение ответственного за обработку персональных данных;

• обучение сотрудников;

• разграничение доступа к данным в зависимости от роли пользователя.

7.4. Технические меры:

• шифрование данных при передаче и хранении;

• резервное копирование;

• логирование действий с персональными данными;

• защита от несанкционированного доступа (брандмауэры, системы обнаружения вторжений);

• регулярное обновление программного обеспечения.

7.5. Контроль и аудит:

• внутренний контроль за соблюдением Политики;

• реагирование на инциденты (утечки, несанкционированный доступ);

• уведомление Роскомнадзора в течение 24 часов при выявлении утечки данных (ч. 3.1 ст. 21 ФЗ № 152‑ФЗ);

• проведение периодических внутренних и внешних аудитов соответствия обработки ПДн требованиям законодательства и Политики.

7.6. Логирование удаления данных: в журнале аудита фиксируются:

• дата и время удаления;

• ФИО ответственного лица;

• перечень удалённых данных (или идентификатор записи);

• способ удаления (программный, физическое уничтожение носителя).

8. Права и обязанности

8.1. Субъекты персональных данных (включая законных представителей несовершеннолетних) имеют право:

• получать информацию об обработке своих данных (или данных ребёнка);

• требовать уточнения, блокирования или уничтожения данных;

• отозвать согласие в любой момент.

8.2. Для несовершеннолетних обработка осуществляется только при наличии согласия законного представителя. Если ребёнок достиг 14 лет, дополнительно требуется его личное согласие.

9. Передача персональных данных третьим лицам

9.1. Передача данных школам — только по договору поручения (ст. 6 ФЗ-152).

9.2. Передача данных психологам и кураторам — только при наличии согласия и договора.

9.3. Персональные данные не передаются третьим лицам для целей, не связанных с функционированием Приложения, и не передаются никаким внешним сервисам искусственного интеллекта.

9.4. Трансграничная передача персональных данных не осуществляется. Допускается передача только обезличенных технических данных, не позволяющих идентифицировать пользователя.

10. Уведомления в Роскомнадзор

10.1. Оператор обязан подать уведомление о начале обработки ПДн до старта проекта (ст. 22 ФЗ № 152‑ФЗ), указав, что данные хранятся на серверах в России.

10.2. При выявлении инцидента, связанного с утечкой данных, уведомление в Роскомнадзор направляется в течение 24 часов (ч. 3.1 ст. 21 ФЗ № 152‑ФЗ).

10.3. Уведомление о трансграничной передаче не требуется, так как данные не покидают территорию РФ.

11. Заключительные положения

11.1. Политика является локальным нормативным актом ООО «ТАВ», утверждается приказом генерального директора.

11.2. Политика размещается в открытом доступе в Приложении (в настройках) и на сайте ООО «ТАВ».

11.3. Все изменения публикуются в Приложении и на сайте с указанием даты вступления в силу.