Политика конфиденциальности

Как мы обрабатываем ваши данные

Дата вступления в силу: 23/04/26

1. Общие положения

Настоящая Политика конфиденциальности описывает, какие данные собирает Vector (Вектор) (далее — «Компания», «мы»), при использовании сервиса Vector (далее — «Сервис») — через Telegram Mini App и веб-приложение, и как эти данные обрабатываются. Используя Сервис, Пользователь даёт согласие на обработку персональных данных в соответствии с настоящей Политикой.

2. Какие данные мы собираем

Мы собираем следующие категории данных: Идентификационные данные: email-адрес, указанный при регистрации; Telegram ID, username, firstName, lastName, полученные из Telegram initData при входе через Telegram Mini App. Профильные данные: имя, фамилия, дата рождения, локация (город), цель обучения, род деятельности, краткая информация о себе — указываются Пользователем на экране «Личные данные» и могут быть отредактированы в любой момент. Образовательные данные: курсы, на которые Пользователь записан; прогресс прохождения уроков (статусы COMPLETED/AVAILABLE/LOCKED/MISSED); отметки посещения; результаты голосований. Коммуникационные данные: сообщения Пользователя в чате курса; отправленные обращения в техподдержку; предложения по улучшению. Технические данные: IP-адрес (хэшированный) при запросе email-кода; выбранная локаль интерфейса; время последнего входа; cookie с JWT-сессией.

3. Цели обработки данных

Мы обрабатываем данные для: • предоставления доступа к Сервису и работы его функциональности; • идентификации Пользователя и защиты учётной записи; • отправки сервисных писем (код подтверждения email, уведомления о смене данных); • обеспечения работы чата курса и отображения списка участников; • расчёта прогресса по курсу и статистики посещаемости; • обработки обращений в техподдержку; • соблюдения требований законодательства; • улучшения Сервиса на основе агрегированной статистики.

4. Правовые основания обработки

Обработка данных осуществляется на следующих основаниях: • согласие Пользователя, выраженное через принятие условий при регистрации; • исполнение договора оказания услуг (Пользовательского соглашения); • законные интересы Компании (безопасность, предотвращение мошенничества); • требования законодательства.

5. Где хранятся данные

Основная база данных: PostgreSQL, развёрнутый в инфраструктуре Railway (поставщик облачных услуг). Серверы физически расположены в дата-центрах Railway. Данные защищены на уровне сетевого периметра, TLS-шифрования при передаче и управления доступом на уровне приложения. Email-адреса Пользователей могут временно передаваться поставщику email-сервиса для доставки писем с кодом подтверждения. Резервное копирование базы данных выполняется средствами Railway с шифрованием бэкапов.

6. Как мы защищаем данные

• Соединение Пользователь ↔ Сервис защищено TLS (HTTPS). • Email-коды хранятся только как криптографический хэш (SHA-256 с секретным «перцем»), исходный код восстановить невозможно. • Авторизация через JWT-токены с ограниченным сроком действия в HttpOnly-cookie — токен недоступен клиентскому JavaScript и защищён от XSS-атак. • Telegram initData проверяется на подлинность HMAC-подписью от Telegram. • Доступ к БД Railway ограничен учётными данными, хранящимися в защищённой среде переменных окружения. • Код приложения регулярно аудируется на известные уязвимости.

7. Срок хранения данных

Данные Пользователя хранятся в течение всего периода действия учётной записи. Email-коды подтверждения хранятся до истечения их срока действия или использования, после чего помечаются как consumed и могут быть удалены в течение 90 дней. После удаления учётной записи персональные данные Пользователя удаляются в течение 30 дней, за исключением: • обезличенных агрегированных данных, которые могут храниться неограниченно для аналитики; • данных, хранение которых требуется по закону (финансовая отчётность, налоговые документы — 5 лет).

8. Передача данных третьим лицам

Мы не продаём и не передаём персональные данные Пользователей третьим лицам, за исключением: Поставщики инфраструктуры: Railway (хостинг и БД), Telegram (при использовании Mini App — Telegram имеет доступ только к факту взаимодействия с ботом, но не к содержимому нашей БД), поставщик email-сервиса (только для отправки кода подтверждения). Государственные органы: по мотивированному запросу в рамках применимого законодательства. Правопреемники: в случае реорганизации или продажи бизнеса — с обязательным уведомлением Пользователей и сохранением условий обработки.

9. Трансграничная передача

Данные могут передаваться на серверы за пределами страны проживания Пользователя (например, дата-центры Railway). Такая передача осуществляется с соблюдением требований защиты данных и на основании стандартных договорных условий с поставщиками.

10. Права пользователя

Пользователь имеет право: • получить информацию о своих данных, хранящихся в Сервисе; • исправить неточные данные через экран «Редактировать профиль»; • удалить свою учётную запись и все связанные данные; • отозвать согласие на обработку (это повлечёт удаление аккаунта); • получить свои данные в машиночитаемом виде (portability); • ограничить обработку данных в определённых случаях; • подать жалобу в уполномоченный орган по защите персональных данных. Для реализации прав направьте запрос на shavkat3d@gmail.com — мы ответим в течение 30 дней.

11. Cookies и отслеживание

Сервис использует минимальный набор cookie: • vector_session — JWT-токен авторизации (HttpOnly, Secure, SameSite); • vector_locale — выбранная Пользователем локаль интерфейса. Мы не используем cookie для маркетингового отслеживания и не интегрированы с рекламными сетями.

12. Дети и несовершеннолетние

Сервис предназначен для лиц, достигших 18 лет. Мы не собираем намеренно данные несовершеннолетних. Если Пользователь не достиг совершеннолетия, использование Сервиса возможно только с согласия законного представителя.

13. Изменения в Политике

Компания вправе обновлять настоящую Политику. Актуальная версия публикуется в разделе «Юридические соглашения» приложения. О существенных изменениях Пользователи уведомляются по email или внутри приложения за 14 дней до вступления в силу.

14. Контакты

По вопросам обработки данных: Компания: Vector (Вектор) Email: shavkat3d@gmail.com Юридический адрес: не предоставляется (правообладатель — физическое лицо, Российская Федерация)

Обработка персональных данных

GDPR / 152-ФЗ / AAPP

Дата вступления в силу: 23/04/26

1. Согласие на обработку

Регистрируясь в Сервисе, Пользователь даёт Vector (Вектор) осознанное, конкретное, информированное согласие на обработку своих персональных данных в целях, описанных в Политике конфиденциальности. Согласие предоставляется отдельно для каждой категории обработки, является свободным и может быть отозвано в любой момент.

2. Перечень действий с данными

Под обработкой персональных данных понимаются следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление поставщикам инфраструктуры), обезличивание, блокирование, удаление, уничтожение. Обработка осуществляется как с использованием средств автоматизации (серверная обработка, автоматические расчёты прогресса), так и без — при ручной работе с обращениями Пользователей.

3. Категории обрабатываемых данных

Обрабатываемые категории персональных данных: • Идентификаторы: email, Telegram ID, username. • Биографические: имя, фамилия, дата рождения. • Геолокация (городского уровня): указанный город/страна. • Профессиональные: род деятельности, цели обучения. • Поведенческие внутри Сервиса: прогресс обучения, история сообщений в чате, участие в голосованиях. • Технические: хэш IP-адреса (для rate-limit), выбранная локаль, cookie сессии. Специальные категории (расовая, этническая принадлежность, политические взгляды, состояние здоровья) — Сервисом не обрабатываются.

4. Принципы обработки (GDPR art. 5)

Компания соблюдает принципы: • Законности, справедливости и прозрачности. • Ограничения цели — данные собираются для определённых, явных, легитимных целей. • Минимизации данных — собираем только то, что необходимо для работы Сервиса. • Точности — поддерживаем актуальность данных через возможность редактирования профиля. • Ограничения хранения — удаляем данные после прекращения необходимости. • Целостности и конфиденциальности — защита от несанкционированного доступа. • Подотчётности — документирование процессов обработки.

5. Права субъекта данных

В соответствии с GDPR и применимым законодательством, Пользователь имеет следующие права: Право на информацию (art. 13, 14): получить сведения о целях, категориях данных, получателях, сроках хранения. Право на доступ (art. 15): получить копию своих персональных данных. Право на исправление (art. 16): исправить неточные или дополнить неполные данные. Право на удаление / «право быть забытым» (art. 17): потребовать удаления данных (при отсутствии законных оснований для их дальнейшего хранения). Право на ограничение обработки (art. 18): временно приостановить обработку. Право на переносимость (art. 20): получить свои данные в структурированном машиночитаемом формате и передать другому оператору. Право на возражение (art. 21): возразить против обработки на основаниях законного интереса. Право не подвергаться автоматизированному решению (art. 22): решения, значительно затрагивающие Пользователя, не принимаются исключительно автоматически. Право подать жалобу: в надзорный орган по защите данных страны проживания.

6. Как реализовать свои права

Для реализации прав направьте запрос на shavkat3d@gmail.com с указанием: • вашего email / Telegram username для идентификации; • конкретного права, которое вы хотите реализовать; • обстоятельств запроса. Мы рассмотрим запрос в течение 30 дней (с возможным продлением до 60 дней для сложных случаев — с уведомлением). Значительная часть прав доступна в самом приложении: • исправление данных — экран «Редактировать профиль»; • удаление аккаунта — экран «Профиль» → «Удалить аккаунт» (при наличии функции) или запрос на shavkat3d@gmail.com; • ознакомление с условиями — раздел «Юридические соглашения».

7. Отзыв согласия

Пользователь вправе в любой момент отозвать согласие на обработку персональных данных, направив запрос на shavkat3d@gmail.com. Отзыв согласия влечёт удаление учётной записи и связанных данных в установленные сроки. Отзыв согласия не распространяется на обработку, уже законно осуществлённую до момента отзыва.

8. Трансграничная передача данных

Данные Пользователей могут передаваться за пределы страны их проживания — в страны, где расположены дата-центры поставщиков инфраструктуры (Railway). Такая передача осуществляется: • на основании стандартных договорных условий (SCC) с поставщиками; • в страны с признанным адекватным уровнем защиты данных; • при наличии согласия Пользователя на такую передачу.

9. Меры безопасности

Технические и организационные меры защиты: • TLS-шифрование всего трафика; • хэширование критичных данных (email-коды, IP-адреса); • HttpOnly / Secure / SameSite-cookie для JWT-сессий; • HMAC-верификация Telegram initData; • ролевая модель доступа на уровне БД; • логирование доступа к чувствительным операциям; • периодический аудит безопасности; • обучение сотрудников работе с данными.

10. Утечки данных

В случае инцидента с несанкционированным доступом к персональным данным Компания: • немедленно принимает меры по локализации утечки; • уведомляет надзорный орган в течение 72 часов (в соответствии с GDPR art. 33); • уведомляет затронутых Пользователей при высоком риске для их прав (art. 34); • проводит расследование и устранение причин.

11. Представитель и DPO

Контактное лицо по вопросам защиты данных: shavkat3d@gmail.com. Data Protection Officer (DPO) — назначается Компанией при достижении объёмов обработки, требующих его наличия согласно GDPR.