Версия документа: 1.1

Политика обработки персональных данных

Политика в отношении обработки персональных данных

Редакция от: 01.05.2026 Оператор: Индивидуальный предприниматель Хайруллин Мансур Мусавирович (ИНН 165505438406, ОГРНИП 323169000104503), далее — «Оператор».

1. Общие положения

1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые Оператором, с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее — «152-ФЗ»), иными нормативными правовыми актами.

1.3. Политика применяется к любой информации о субъекте персональных данных, полученной Оператором как до, так и после вступления в силу настоящей редакции Политики.

1.4. Ключевые понятия используются в значениях, установленных ст. 3 152-ФЗ.

2. Принципы обработки ПД

Оператор осуществляет обработку ПД на основе следующих принципов:

  • законности и справедливости;
  • ограничения обработки ПД достижением конкретных, заранее определённых и законных целей;
  • недопущения объединения баз данных, обработка ПД в которых осуществляется в целях, несовместимых между собой;
  • соответствия содержания и объёма обрабатываемых ПД заявленным целям обработки;
  • точности, достаточности, актуальности ПД;
  • уничтожения или обезличивания ПД по достижении целей обработки или в случае утраты необходимости в их достижении.

3. Цели обработки ПД

Оператор обрабатывает ПД в следующих целях:

  1. Заключение и исполнение договоров купли-продажи товаров через интернет-магазин shop.mechbox.tech.
  2. Организация доставки товаров, в том числе через третьих лиц (службы доставки).
  3. Исполнение требований Федерального закона №54-ФЗ (формирование и отправка электронных чеков).
  4. Заключение и исполнение договоров возмездного оказания услуг по использованию программного обеспечения и онлайн-сервисов (make.mechbox.tech, edu.mechbox.tech, мобильное приложение BeemApp).
  5. Регистрация, аутентификация и идентификация пользователей сервисов.
  6. Организация образовательного процесса: ведение учёта учащихся, отслеживание прогресса, выдача достижений, коммуникация с законными представителями несовершеннолетних.
  7. Направление пользователям уведомлений технического и маркетингового характера (маркетинговые — с отдельного согласия).
  8. Техническая поддержка пользователей.
  9. Ведение бухгалтерского и налогового учёта.
  10. Статистические и маркетинговые исследования в обезличенном виде.

4. Правовое основание обработки ПД

Оператор обрабатывает ПД на следующих правовых основаниях:

  • согласие субъекта ПД (ст. 6 ч. 1 п. 1 152-ФЗ);
  • договор, стороной которого является субъект ПД (ст. 6 ч. 1 п. 5 152-ФЗ);
  • исполнение обязанностей оператора, возложенных законодательством (ст. 6 ч. 1 п. 2 152-ФЗ — 54-ФЗ, Налоговый кодекс, Закон о защите прав потребителей);
  • Гражданский кодекс РФ, Закон РФ №2300-1 «О защите прав потребителей», Федеральный закон №54-ФЗ.

5. Категории субъектов ПД и объём обрабатываемых ПД

5.1. Покупатели (клиенты интернет-магазина)

  • фамилия, имя, отчество;
  • адрес электронной почты;
  • номер контактного телефона;
  • адрес доставки товаров;
  • сведения о заказах и платежах.

5.2. Пользователи сервисов (личный кабинет, образовательная платформа, мобильное приложение)

  • фамилия, имя, отчество;
  • адрес электронной почты;
  • идентификатор в системе Яндекс ID (при авторизации через OAuth);
  • аутентификационные данные (хеш пароля);
  • ссылка на аватар;
  • данные о действиях в сервисе.

5.3. Учащиеся (в том числе несовершеннолетние)

  • фамилия, имя, отчество;
  • класс, возрастная ступень;
  • данные о прогрессе обучения и достижениях.

5.4. Законные представители несовершеннолетних

  • фамилия, имя, отчество;
  • адрес электронной почты и / или номер телефона.

5.5. Посетители сайтов

  • cookie-идентификаторы;
  • IP-адрес;
  • данные веб-аналитики (Яндекс.Метрика);
  • ПД, указанные в формах обратной связи.

6. Порядок и условия обработки ПД

6.1. Обработка ПД осуществляется как с использованием средств автоматизации, так и без использования таких средств (смешанная обработка).

6.2. Перечень действий с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

6.3. Хранение ПД осуществляется в базах данных, расположенных на территории Российской Федерации (инфраструктура ООО «Яндекс.Облако», регион ru-central1).

6.4. Сроки хранения:

  • ПД, связанные с заказами и исполнением договоров, — в течение сроков, установленных законодательством о бухгалтерском учёте (не менее 5 лет) и Налоговым кодексом РФ;
  • ПД, обрабатываемые на основании согласия, — до отзыва согласия или до достижения целей обработки;
  • ПД учащихся — в течение периода обучения и 1 (одного) года после его окончания.

6.5. Уничтожение ПД осуществляется путём стирания с электронных носителей и уничтожения бумажных носителей в установленные сроки.

7. Передача ПД третьим лицам

7.1. Оператор передаёт ПД третьим лицам только в случаях, когда это необходимо для достижения целей обработки и/или предусмотрено законодательством:

  • ООО НКО «ЮMoney» (YooKassa) — данные, необходимые для проведения платежа (сумма, e-mail для чека);
  • ООО «Интернет Решения» (Ozon) — ФИО, телефон получателя, адрес доставки — при оформлении доставки через маркетплейс;
  • ООО «Яндекс» — идентификатор Yandex ID при авторизации пользователя через OAuth; в рамках сервиса Яндекс.Метрика — обезличенные данные веб-аналитики;
  • ООО «Яндекс.Облако» — как оператор дата-центра, обеспечивающий хранение и обработку ПД от имени Оператора (в рамках отдельного договора об обработке ПД);
  • ООО «Яндекс» (сервис Яндекс 360 / Postbox) — адреса электронной почты для отправки транзакционных и маркетинговых писем;
  • службы доставки (СДЭК, Почта России) — контактные данные получателя по факту оформления заказа;
  • уполномоченные государственные органы — по запросам в рамках их компетенции.

7.2. Перечень третьих лиц может изменяться. Актуальный перечень публикуется в настоящей Политике.

8. Трансграничная передача ПД

Оператор не осуществляет трансграничную передачу персональных данных. В случае, если в дальнейшем такая передача потребуется (например, для целей доставки push-уведомлений), Оператор предварительно уведомит уполномоченный орган по защите прав субъектов ПД и получит отдельное согласие субъектов в порядке, установленном ст. 12 152-ФЗ.

9. Права субъекта ПД

Субъект имеет право:

  • получать сведения об обработке его ПД;
  • требовать уточнения, блокирования или уничтожения его ПД, если они неполны, устарели, недостоверны, незаконно получены или не являются необходимыми для заявленной цели обработки;
  • отозвать согласие на обработку ПД;
  • обжаловать действия или бездействие Оператора в Роскомнадзор или в суд.

10. Обращения субъектов ПД

Для реализации своих прав субъект может направить обращение:

  • по электронной почте: whatdidu@gmail.com;
  • почтой по адресу регистрации Оператора.

Срок ответа — не более 30 дней с даты получения обращения.

11. Меры по обеспечению безопасности ПД

Оператор принимает организационные и технические меры в соответствии со ст. 18.1 и ст. 19 152-ФЗ, Постановлением Правительства РФ №1119 от 01.11.2012, Приказом ФСТЭК России №21 от 18.02.2013. Перечень мер раскрыт в уведомлении, поданном в Роскомнадзор.

12. Заключительные положения

12.1. Политика подлежит обновлению в случае изменения законодательства или перечня обрабатываемых ПД.

12.2. Актуальная редакция Политики всегда доступна на сайтах Оператора в разделе «Политика конфиденциальности» / /privacy.

12.3. По всем вопросам, связанным с обработкой ПД, обращаться: whatdidu@gmail.com.

Оператор: ИП Хайруллин М.М., ИНН 165505438406