AssessLearn
← Документы

Условия обработки персональных данных (DPA)

Дата вступления в силу: 16 апреля 2026 г.

1. Общие положения

1.1. Настоящие Условия обработки персональных данных (далее – «Условия», «DPA») определяют порядок обработки персональных данных, осуществляемой индивидуальным предпринимателем Дербиным Александром Олеговичем (ИНН 773134780009, ОГРНИП 323774600089991, далее – «Обработчик») по поручению организации-клиента (далее – «Оператор») в рамках предоставления доступа к платформе AssessLearn (далее – «Платформа»).

1.2. Настоящие Условия являются неотъемлемой частью Пользовательского соглашения (assesslearn.ru/docs) и Публичной оферты (assesslearn.ru/docs/offer). В случае противоречия между настоящими Условиями и иными документами в части обработки персональных данных сотрудников Оператора приоритет имеют настоящие Условия.

1.3. Настоящие Условия разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), в частности с требованиями ч. 3 ст. 6 152-ФЗ (обработка по поручению оператора).

1.4. Акцептом настоящих Условий является начало использования Оператором функций Платформы, связанных с добавлением данных сотрудников.

2. Роли сторон

2.1. Оператор – организация-клиент (юридическое лицо или индивидуальный предприниматель), зарегистрировавшая учетную запись на Платформе и добавляющая данные своих сотрудников для организации обучения и аттестации.

2.2. Обработчик – ИП Дербин А.О., предоставляющий Платформу как облачный сервис и осуществляющий обработку персональных данных сотрудников Оператора исключительно по его поручению и в его интересах.

2.3. Оператор самостоятельно определяет цели обработки персональных данных своих сотрудников, состав обрабатываемых данных, перечень действий с данными и сроки обработки. Обработчик действует в пределах поручения Оператора, определенного настоящими Условиями и функциональностью Платформы.

3. Предмет обработки

3.1. Категории субъектов данных

Сотрудники Оператора – физические лица, данные которых Оператор добавляет в Платформу для прохождения курсов и аттестаций.

3.2. Категории персональных данных

Идентификационные данные, вносимые Оператором: фамилия, имя, отчество; адрес электронной почты; должность; отдел (подразделение).

Данные учетной записи, создаваемые Платформой: идентификатор пользователя; хеш пароля; дата создания и последнего входа; роль в системе.

Данные о прохождении курсов и аттестаций, генерируемые Платформой автоматически при взаимодействии сотрудника с контентом:

  • дата и время начала и завершения сессии, общая продолжительность, количество попыток, итоговый балл, статус прохождения;
  • тип устройства, операционная система, браузер, разрешение экрана, IP-адрес, часовой пояс, языковые настройки;
  • время нахождения на каждом блоке курса, время до первого взаимодействия, количество и координаты кликов, глубина прокрутки, периоды бездействия;
  • события переключения вкладок и окон, потери и возврата фокуса, изменения размеров окна, копирования и вставки текста;
  • ответы на вопросы, время обдумывания, порядок навигации по блокам;
  • агрегированные показатели добросовестности прохождения (количество нарушений, категории нарушений, итоговый показатель добросовестности);
  • составной идентификатор устройства (canvas fingerprint, WebGL renderer) для сопоставления сессий.

Производные данные, формируемые Платформой на основании первичных данных: протокол аттестации, заключение, поведенческие метрики, аналитические отчеты.

3.3. Цели обработки

Обработчик обрабатывает данные исключительно в следующих целях:

  • предоставление Оператору функций Платформы: назначение курсов, проведение аттестаций, формирование протоколов и отчетов;
  • автоматический сбор и обработка поведенческих метрик в процессе прохождения курсов;
  • формирование аналитики по подразделениям и организации в целом;
  • обеспечение работоспособности Платформы, резервное копирование, устранение технических неполадок.

Обработчик не использует персональные данные сотрудников Оператора в собственных целях, не осуществляет их продажу, не передает третьим лицам для маркетинговых или иных целей, не связанных с предоставлением функций Платформы.

3.4. Действия с данными

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение – в пределах функциональности Платформы.

4. Обязанности Обработчика

4.1. Обрабатывать персональные данные сотрудников Оператора исключительно в целях и способами, определенными настоящими Условиями и функциональностью Платформы. Не обрабатывать данные в иных целях без письменного согласия Оператора.

4.2. Обеспечивать конфиденциальность персональных данных. Не раскрывать персональные данные третьим лицам без поручения Оператора, за исключением случаев, предусмотренных разделом 6 настоящих Условий и законодательством РФ.

4.3. Принимать организационные и технические меры для защиты персональных данных в соответствии с разделом 7 настоящих Условий.

4.4. Уведомлять Оператора об инцидентах безопасности в соответствии с разделом 8 настоящих Условий.

4.5. Содействовать Оператору в исполнении запросов субъектов персональных данных в соответствии с разделом 9 настоящих Условий.

4.6. По прекращении договора удалить или возвратить персональные данные в соответствии с разделом 10 настоящих Условий.

4.7. Предоставлять Оператору информацию, необходимую для подтверждения соблюдения обязательств по настоящим Условиям, по обоснованному запросу Оператора.

5. Обязанности Оператора

5.1. Обеспечить правовые основания для обработки персональных данных своих сотрудников на Платформе в соответствии с требованиями 152-ФЗ и трудового законодательства РФ, в том числе:

  • ознакомление сотрудников с порядком и целями использования Платформы;
  • ознакомление сотрудников с локальными нормативными актами, регулирующими проведение аттестации и использование средств автоматизации;
  • получение необходимых согласий на обработку персональных данных, включая согласие на сбор поведенческих метрик, если это требуется применимым законодательством;
  • уведомление сотрудников о составе собираемых данных (в том числе о сборе данных о переключениях вкладок, вставках из буфера обмена, таймингах ответов и иных поведенческих метриках).

5.2. Гарантировать, что данные сотрудников, передаваемые в Платформу, получены и обрабатываются на законных основаниях.

5.3. Самостоятельно определять сроки хранения данных сотрудников и своевременно удалять данные, цель обработки которых достигнута. Платформа предоставляет инструменты для удаления данных сотрудников через интерфейс Администратора.

5.4. Своевременно уведомлять Обработчика о запросах субъектов персональных данных, требующих участия Обработчика.

6. Субобработчики

6.1. Для предоставления функций Платформы Обработчик привлекает следующих субобработчиков:

СубобработчикИНННазначениеРазмещение данных
ООО «Таймвэб.Клауд»7810945525Хостинг, хранение данных, вычислительные ресурсыРоссийская Федерация

6.2. Обработчик заключает с субобработчиками соглашения, обеспечивающие уровень защиты персональных данных не ниже установленного настоящими Условиями.

6.3. Обработчик несет перед Оператором ответственность за действия привлеченных субобработчиков как за свои собственные.

6.4. При привлечении новых субобработчиков Обработчик обновляет настоящие Условия и уведомляет Оператора по электронной почте не менее чем за 14 дней до начала передачи данных новому субобработчику. Если Оператор в течение 14 дней с момента получения уведомления направит мотивированное возражение, Стороны обсудят альтернативные варианты. При невозможности достижения согласия Оператор вправе расторгнуть договор.

7. Меры безопасности

7.1. Обработчик принимает следующие организационные и технические меры для защиты персональных данных:

Контроль доступа

  • разграничение доступа к данным на основе ролей (platform_admin, org_admin, employee);
  • изоляция данных организаций: каждая организация имеет доступ только к своим данным;
  • хеширование паролей (bcrypt, 10 раундов);
  • ограничение попыток авторизации (rate limiting – 5 попыток за 15 минут);
  • поддержка авторизации по одноразовой ссылке (magic link) с ограниченным сроком действия (15 минут).

Передача данных

  • все соединения защищены протоколом HTTPS/TLS;
  • данные передаются между клиентом и сервером только по зашифрованному каналу.

Хранение данных

  • данные хранятся на серверах, расположенных на территории Российской Федерации;
  • резервное копирование данных;
  • разделение сред (production, development).

Мониторинг

  • журналирование действий администраторов (AuditLog);
  • журналирование входов в систему.

7.2. Обработчик периодически пересматривает и совершенствует меры безопасности с учетом актуальных угроз.

8. Уведомление об инцидентах

8.1. Обработчик уведомляет Оператора о любом установленном факте неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий (далее – «инцидент») в кратчайший возможный срок, не превышающий 24 часов с момента обнаружения инцидента.

8.2. Уведомление направляется на адрес электронной почты Администратора организации-Оператора, указанный при регистрации, и содержит:

  • описание характера инцидента;
  • предполагаемые категории и примерное количество затронутых субъектов данных;
  • возможные последствия инцидента;
  • принятые и планируемые меры по устранению последствий.

8.3. Обработчик содействует Оператору в уведомлении Роскомнадзора и субъектов данных, если такое уведомление требуется в соответствии с законодательством РФ.

9. Запросы субъектов данных

9.1. Если сотрудник Оператора обращается непосредственно к Обработчику с запросом о своих персональных данных (получение информации, уточнение, удаление, блокирование), Обработчик:

  • уведомляет Оператора о поступившем запросе в течение 3 рабочих дней;
  • информирует сотрудника о необходимости направить запрос своему работодателю (Оператору).

9.2. По запросу Оператора Обработчик содействует в исполнении прав субъектов данных, предусмотренных ст. 14 152-ФЗ, в том числе:

  • предоставляет информацию о составе обрабатываемых данных конкретного сотрудника;
  • осуществляет уточнение (обновление, изменение) данных;
  • осуществляет блокирование данных;
  • осуществляет удаление данных.

9.3. Платформа предоставляет Оператору инструменты для самостоятельного выполнения действий по п. 9.2 через интерфейс Администратора (просмотр, редактирование, деактивация и удаление учетных записей сотрудников).

10. Возврат и удаление данных

10.1. При прекращении договора между Оператором и Обработчиком (расторжение Публичной оферты, отмена подписки, удаление учетной записи организации) Обработчик:

  • в течение 30 календарных дней с момента прекращения предоставляет Оператору возможность экспорта данных в машиночитаемом формате (по запросу Оператора);
  • по истечении 30 календарных дней удаляет все персональные данные сотрудников Оператора, включая: учетные записи сотрудников, данные сессий и поведенческие метрики, протоколы аттестаций, назначения и результаты, загруженные файлы и контент курсов, журналы действий, связанные с сотрудниками;
  • резервные копии, содержащие данные Оператора, удаляются в рамках планового цикла ротации резервных копий, но не позднее 90 календарных дней с момента прекращения договора.

10.2. По письменному запросу Оператора данные могут быть удалены досрочно (до истечения 30-дневного срока). В этом случае восстановление данных невозможно.

10.3. Обработчик подтверждает факт удаления данных по запросу Оператора.

11. Проверка соблюдения условий

11.1. Оператор вправе направить Обработчику письменный запрос о предоставлении информации, подтверждающей соблюдение обязательств по настоящим Условиям. Обработчик предоставляет запрошенную информацию в течение 15 рабочих дней.

11.2. Информация может включать: описание применяемых мер безопасности, перечень субобработчиков, сведения о порядке обработки данных конкретных сотрудников.

11.3. При заключении дополнительного соглашения в рамках тарифного плана «Корпоративный» Стороны вправе предусмотреть дополнительные механизмы проверки, включая проведение аудита при условии предварительного согласования сроков и объема.

12. Срок действия

12.1. Настоящие Условия вступают в силу с момента добавления Оператором первого сотрудника в Платформу и действуют в течение всего срока использования Платформы Оператором.

12.2. Обязательства по удалению данных (раздел 10), конфиденциальности (п. 4.2) и содействию в исполнении запросов субъектов (раздел 9) сохраняют силу после прекращения действия настоящих Условий до полного удаления данных.

13. Реквизиты Обработчика

Индивидуальный предприниматель Дербин Александр Олегович
ИНН: 773134780009
ОГРНИП: 323774600089991
Адрес: г. Москва, муниципальный округ Кунцево
Email: contact@aslearn.ru
Сайт: assesslearn.ru

г. Москва
16 апреля 2026 г.