Политика конфиденциальности
Версия 2.0. Последнее обновление: 2 мая 2026 г.
Юрисдикции: применимы Регламент (ЕС) 2016/679 (GDPR), Закон Республики Кипр
о защите физических лиц при обработке персональных данных № 125(I)/2018,
и Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ
«О персональных данных».
1. Оператор персональных данных
Платформа учебных курсов ai-learning-platform.com (далее — «Платформа») управляется автором как физическим лицом, не зарегистрированным в качестве индивидуального предпринимателя или юридического лица.
- Имя автора (контролёр данных): Лев Неганов
- Контактный email по вопросам данных: [email protected]
- Доменное имя сервиса: ai-learning-platform.com
Регистрационный номер у Роскомнадзора как оператора персональных данных не присвоен — обработка осуществляется в объёме, не требующем уведомления в соответствии с ч. 2 ст. 22 152-ФЗ (для целей заключения и исполнения договора с субъектом ПДн), либо производится оператором — физическим лицом в личных и семейных нуждах в той части, где это допустимо.
2. Правовые основания обработки
| Категория данных | Основание (GDPR) | Основание (152-ФЗ) |
|---|---|---|
| Имя, @username, аватар, Telegram ID, факт авторизации | Art. 6(1)(b) — исполнение договора | п. 5 ч. 1 ст. 6 — исполнение договора, стороной которого является субъект |
| Прогресс уроков, ответы тестов, история обучения | Art. 6(1)(b) — функциональность сервиса | п. 5 ч. 1 ст. 6 |
| Платёжные данные (см. п. 3.4) | Art. 6(1)(b), Art. 6(1)(c) — налоговые/учётные обязательства | п. 5 ч. 1 ст. 6, п. 2 ч. 1 ст. 6 |
| IP-адрес, User-Agent, идентификатор устройства | Art. 6(1)(f) — законный интерес: предотвращение злоупотреблений и угона сессий | п. 7 ч. 1 ст. 6 — законный интерес оператора |
| Согласие на обработку (отметка чек-бокса при регистрации) | Art. 6(1)(a) | ч. 1 ст. 9 |
3. Какие данные мы собираем
3.1. Данные авторизации (Telegram OAuth)
При входе через Telegram мы получаем:
- Отображаемое имя — имя и фамилия из Telegram
- Имя пользователя — @username (если указан)
- URL аватара — ссылка на фото профиля
- Telegram ID — числовой идентификатор аккаунта
Эти данные передаются нам компанией Telegram FZ-LLC (Дубай, ОАЭ) на основании вашего отдельного согласия в Telegram. Перечень и формат полей определяются интерфейсом Telegram Login Widget / Telegram OAuth 2.0 и не зависят от Платформы.
3.2. Данные обучения
- Идентификатор курса и урока, метка завершения и время
- Ответы и оценки по тестам, попытки выполнения заданий
- Сертификаты, если они выпущены вашему аккаунту
3.3. Технические данные сессии
- IP-адрес (на момент создания сессии)
- Идентификатор устройства / User-Agent браузера
- Время и факт входа, ротация refresh-токенов
3.4. Платёжные данные
При оплате доступа к платным курсам через Telegram Stars мы сохраняем в собственной базе данных:
- Идентификатор платежа Telegram (telegram_payment_charge_id)
- Telegram ID плательщика, привязка к нашему пользователю
- Сумма в Stars, идентификатор курса, статус (completed / refunded)
- Дата создания и дата возврата (если применимо)
Реквизиты банковских карт не обрабатываются и не хранятся на нашей стороне — расчёт целиком проходит в инфраструктуре Telegram FZ-LLC.
4. Cookies и аналогичные технологии
Мы используем исключительно технически необходимые cookies, не требующие согласия в соответствии с recital 30 Директивы ePrivacy 2002/58/EC и устоявшейся практикой Cyprus Commissioner / EDPB. Маркетинговая или аналитическая трекинг-инфраструктура (Google Analytics, Yandex Metrika, Plausible, Mixpanel и т. п.) на Платформе отсутствует.
| Cookie | Назначение | Срок | Атрибуты |
|---|---|---|---|
refresh_token | Поддержание сессии (refresh JWT с детекцией кражи) | 30 дней | HttpOnly; Secure; SameSite=Strict; Path=/v1/auth |
ssr_token | Серверный рендеринг страниц с проверкой доступа | 15 минут | HttpOnly; Secure; SameSite=Lax; Domain=.ai-learning-platform.com |
oidc_state | Защита OIDC-флоу (PKCE state + code_verifier) | 5 минут | HttpOnly; Secure; SameSite=Lax; Path=/v1/auth |
admin_session | Доступ к админ-панели (только для администратора) | 7 дней | HttpOnly; Secure; SameSite=Lax; Path=/admin |
В localStorage сохраняется только локальный кэш прогресса
обучения, кэш доступа к курсам и состояние UI — без идентификаторов
пользователя в открытом виде.
5. Передача данных третьим лицам и трансграничная передача
Мы не продаём и не передаём ваши данные сторонним рекламным сетям. Состав получателей данных в рамках работы сервиса:
- Telegram FZ-LLC (ОАЭ, Дубай) — обработка авторизации и приём платежей в Stars. Ваши данные передаются Telegram при входе и оплате согласно их Privacy Policy (telegram.org/privacy).
- Хостинг данных — серверная часть Платформы и база данных физически размещены на личном вычислительном устройстве автора, находящемся на территории Республики Кипр (ЕС / Европейская экономическая зона). Сторонние облачные хостинг-провайдеры для хранения персональных данных не используются.
Для пользователей — резидентов Российской Федерации: часть данных передаётся за рубеж в страну с адекватным уровнем защиты ПДн (страны ЕС). Передача осуществляется на основании вашего согласия (ч. 4 ст. 12 152-ФЗ), оформляемого при регистрации. Если вы хотите, чтобы ваши данные не передавались за пределы РФ — пожалуйста, не используйте Платформу.
6. Срок хранения данных
| Категория | Срок | Основание |
|---|---|---|
| Профиль, прогресс обучения, сертификаты | Период активного использования + 24 месяца после последнего входа, затем автоудаление | Минимизация по GDPR Art. 5(1)(e), 152-ФЗ ч. 7 ст. 5 |
| Refresh-сессии (таблица sessions) | До 30 дней с момента создания, либо до отзыва | Безопасность сессий |
| Платёжные записи (таблица payments) | Срок до 4 лет с момента платежа (для возможных возвратов и налогового учёта плательщика) | Законные интересы / общая практика учёта операций |
| Логи приложения, метаданные сессий | До 90 дней | Безопасность, диагностика |
Автоудаление неактивных профилей через 24 месяца реализовано в виде регулярного фонового задания на стороне сервера.
7. Ваши права
Вы можете в любой момент:
- Получить копию ваших данных (право на доступ / переносимость) — через экспорт данных в настройках аккаунта.
- Удалить аккаунт и все связанные данные — через настройки аккаунта. Удаление необратимо и каскадно затрагивает прогресс, сессии и платёжные записи (с учётом предельных сроков, требуемых законом).
- Отозвать согласие на обработку — на тех же условиях, что и удаление аккаунта. Отзыв согласия не влияет на обработку, произведённую до момента отзыва.
- Управлять активными сессиями — просматривать и завершать каждую сессию из настроек аккаунта.
- Подать жалобу в надзорный орган:
- Республика Кипр и страны ЕЭЗ — Office of the Commissioner for Personal Data Protection of Cyprus (dataprotection.gov.cy);
- Российская Федерация — Роскомнадзор (rkn.gov.ru);
- Иные страны — соответствующий национальный надзорный орган.
8. Безопасность
- Все соединения защищены TLS;
- Access-токены не сохраняются в
localStorageи не передаются в URL; - Refresh-токены хранятся в БД только в виде SHA-256 хеша; реализована детекция кражи и каскадный отзыв семейства токенов при подозрении на компрометацию;
- Доступ к платежам и админ-функциям ограничен whitelist'ом Telegram ID администратора.
9. Несовершеннолетние
Платформа не предназначена для лиц младше 16 лет (по GDPR Art. 8 / Cyprus Data Protection Law) и младше 14 лет в Российской Федерации (152-ФЗ ч. 1 ст. 9). Регистрируясь, вы подтверждаете достижение установленного возраста; для лиц младше указанного возраста обработка возможна только при наличии согласия родителя/законного представителя — получите его перед использованием Платформы.
10. Изменения политики
Мы можем обновлять настоящую политику. Существенные изменения публикуются на этой странице с обновлением даты «Последнее обновление». Продолжение использования Платформы после публикации изменений означает их принятие.
11. Контакты
По любым вопросам обработки персональных данных, реализации ваших прав,
запросам экспорта или удаления данных:
[email protected]
Срок ответа на запросы субъектов данных: до 30 календарных дней (GDPR Art. 12(3)) / 30 календарных дней (152-ФЗ ч. 1 ст. 14).