Политика конфиденциальности

1. Оператор персональных данных

Оператором, осуществляющим сбор и обработку персональных данных пользователей сервиса «Лаборатория чтения» (далее — «Сервис»), является ИП «KHBBLN» (далее — «Оператор», «мы»). Контактный email для запросов по обработке ПДн: oc.tleulin@gmail.com.

2. Цели обработки персональных данных

Мы обрабатываем ваши персональные данные для следующих целей:

• Регистрация и идентификация — email, имя, данные профиля соц-сервиса (при входе через Google / Apple / Telegram / VK / Яндекс);
• Оказание услуг по Программе — зачисление на курс, доступ к материалам, проведение zoom-уроков, выдача обратной связи;
• Приём и обработка платежей — выдача фискального чека (карточные данные мы не получаем и не храним — обрабатывают платёжные провайдеры Kaspi и Halyk);
• AI-обработка развёрнутых ответов — подготовка персональной обратной связи методолога с использованием сервиса Anthropic (только обезличенный текст, см. §8);
• Информирование — напоминания о созвонах, дедлайнах опросников, статусе обратной связи;
• Поддержка пользователей — ответы на обращения, разрешение споров, возвраты;
• Безопасность и аудит — выявление подозрительной активности, расследование инцидентов;
• Исполнение требований законодательства — фискальный чек, отчётность в КГД, ответы на запросы уполномоченных органов.

3. Категории собираемых данных

Мы собираем только те данные, которые необходимы для целей §2:

• Идентификаторы и контакты — email, имя (отображаемое), идентификатор аккаунта; телефон по желанию.
• Учётные данные — хеш пароля (не храним пароль в открытом виде), TOTP-секрет 2FA при включении.
• Платёжные данные — факт и сумма платежа, идентификатор транзакции. Реквизиты карты мы не получаем.
• Контент Пользователя — ответы на опросники, прогресс по фрагментам, реакции на материал.
• Технические данные — IP-адрес, user agent, журнал сессий, cookies.
• Данные о zoom-сессиях — факт подключения, имя при подключении, длительность участия.
• Согласия — версия и факт согласия с каждым документом, timestamp, IP.

4. Правовые основания обработки

Обработка осуществляется на следующих основаниях:

• Согласие субъекта ПДн — регистрация, маркетинговые рассылки, передача обезличенного контента в Anthropic, использование cookies (не строго необходимых).
• Заключение и исполнение договора (публичная оферта) — зачисление на курс, оказание услуг, обработка платежей.
• Исполнение требований законодательства — налоговая отчётность, реагирование на законные запросы органов.
• Защита законных интересов Оператора — журнал согласий, аудит-лог, защита от шеринга доступа.

5. Сроки хранения

Мы храним персональные данные ровно столько, сколько необходимо:

• Учётная запись — до удаления Пользователем + 30 дней технического окна;
• Данные о платежах и фискальные чеки — 5 лет с момента транзакции (срок налогового и бухгалтерского хранения);
• Контент Пользователя — на срок действия аккаунта + до 12 месяцев после прекращения договора;
• Записи zoom-уроков — на срок доступа к курсу + 6 месяцев после окончания потока;
• Журнал согласий — 5 лет после прекращения договора;
• Технические журналы — 90 дней (с возможностью продления при расследовании инцидентов);
• Маркетинговая база — до отзыва согласия.

По истечении срока ПДн уничтожаются или обезличиваются способом, исключающим восстановление.

6. Передача персональных данных третьим лицам

Мы передаём ПДн третьим лицам только в следующих случаях:

• Платёжные провайдеры (Kaspi, Halyk и иные подключённые) — реквизиты платежа для обработки транзакции;
• Сервис видеоконференций Zoom — имя при подключении к уроку, факт участия;
• Сервис Anthropic (США) — обезличенный текст развёрнутых ответов для AI-обработки (только при наличии отдельного согласия, см. §8);
• Уполномоченные государственные органы — при наличии законных оснований и письменного запроса.

Все обработчики связаны с нами договорами о защите данных.

7. Cookies и аналитика

Сайт использует строго необходимые cookies (сессия, согласия) и аналитические cookies (Yandex.Metrika, Vercel Analytics) — только при наличии согласия Пользователя (если оно требуется применимым правом РК). Аналитика собирает обезличенные данные о посещениях для улучшения сервиса.

8. Трансграничная передача в Anthropic (США)

Для подготовки персональной обратной связи методолога мы передаём обезличенный текст ваших развёрнутых ответов сервису Anthropic, Inc. (США). Передача производится только при наличии вашего отдельного согласия (см. страницу согласия).

Перед отправкой текст обезличивается: имя, email, телефон и иные явные идентификаторы автоматически удаляются. С Anthropic заключено соглашение о защите данных (DPA) с режимом Zero Data Retention — текст не сохраняется на стороне Anthropic после обработки.

9. Права субъекта персональных данных

В соответствии с Законом РК вы имеете право:

• получать информацию об обработке ваших ПДн;
• требовать уточнения, блокирования или уничтожения ваших ПДн;
• отозвать согласие на обработку (в части, основанной на согласии);
• обжаловать действия Оператора в уполномоченный орган;
• требовать возмещения убытков и компенсации морального вреда.

Запросы направляйте на oc.tleulin@gmail.com. Срок ответа — 10 рабочих дней.

10. Дополнительные права для резидентов EU (GDPR)

Если вы являетесь резидентом Европейского союза, в дополнение к правам §9 на вас распространяется Общий регламент о защите данных (Regulation (EU) 2016/679, далее — «GDPR»). Вы вправе:

• Право доступа (art. 15 GDPR) — получить подтверждение, обрабатываем ли мы ваши ПДн, и копию обрабатываемых данных.
• Право на исправление (art. 16) — потребовать уточнения неточных или дополнения неполных данных.
• Право на удаление («право быть забытым») (art. 17) — потребовать удаления ваших ПДн при отсутствии законных оснований для дальнейшей обработки.
• Право на ограничение обработки (art. 18) — при оспаривании точности данных или законности обработки.
• Право на портабельность данных (art. 20) — получить ваши данные в структурированном машиночитаемом формате (JSON) и передать их другому оператору.
• Право возражения (art. 21) — возразить против обработки на основе законных интересов или для целей прямого маркетинга.
• Право подать жалобу в надзорный орган (art. 77) — в компетентный орган государства-члена EU вашего обычного проживания или места работы.

Запросы по правам GDPR направляйте на oc.tleulin@gmail.com с пометкой «GDPR» в теме письма. Срок ответа — 30 дней (art. 12 §3 GDPR). Запросы принимаются на русском или английском языке.

11. Меры защиты данных

Мы применяем технические и организационные меры для защиты ваших ПДн: шифрование при передаче (HTTPS / TLS), хранение паролей в виде хеша, ограничение доступа сотрудников по принципу необходимости, регулярный аудит безопасности, резервное копирование с шифрованием.

12. Изменения политики

Мы вправе вносить изменения в Политику. Актуальная редакция всегда публикуется на этой странице. О существенных изменениях мы уведомляем Пользователей по email — не позднее, чем за 14 дней до вступления в силу новой редакции.

13. Контакты

Запросы по обработке персональных данных — на oc.tleulin@gmail.com. Запросы DPO (GDPR) — на тот же адрес с пометкой «GDPR» в теме письма. Полные банковские и регистрационные реквизиты Оператора (ИП «KHBBLN») приведены в блоке «Реквизиты исполнителя» в конце настоящего документа.