Политика конфиденциальности и обработки персональных данных

Версия документа: 2.0 от 09.05.2026. Действующая редакция всегда доступна по адресу edumatch.ru/privacy.

1. Термины

• Сервис — программный продукт EduMatch, доступный по адресу edumatch.ru, и связанные с ним поддомены и API.
• Оператор — лицо, организующее обработку персональных данных Пользователей (контактная информация в разделе 10).
• Пользователь — физическое лицо, посещающее Сервис или зарегистрированное на нём.
• Персональные данные (ПД) — любая информация, прямо или косвенно относящаяся к Пользователю.
• Обработка ПД — любые действия с ПД, в т.ч. сбор, хранение, использование, передача, удаление.

2. Правовые основания

Обработка ПД ведётся в соответствии с:

• Конституция РФ (ст. 23, 24)
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
• Федеральный закон от 21.07.2014 № 242-ФЗ (локализация ПД на территории РФ)
• Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»
• Гражданский кодекс РФ (часть 1, ст. 437 — публичная оферта)

3. Какие ПД обрабатываются

В рамках Сервиса собираются и обрабатываются следующие категории данных:

• При регистрации: email (используется как логин), пароль (хранится в виде хеша Argon2id, исходный пароль Оператору недоступен).
• При заполнении профиля абитуриента: уровень образования, специальность интереса, GPA / результаты ЕГЭ, баллы языковых тестов (IELTS, TOEFL, TestDaF и др.), баллы стандартизированных тестов (GRE, GMAT, SAT), бюджет, страны интереса, второе гражданство (опционально).
• При использовании Сервиса: сохранённые университеты, прогресс подачи заявок, сгенерированные мотивационные письма, история переписки с AI-чатом.
• Технические данные: IP-адрес (для rate-limit и логов), User-Agent, язык браузера, время посещения, cookies (сессионные и предпочтения).
• Платёжные данные: Сервис не хранит реквизиты банковских карт. Платежи проводятся через провайдера ЮKassa, который является самостоятельным оператором этих ПД.

Специальные категории ПД (раса, политические взгляды, состояние здоровья и т.п.) Сервисом не запрашиваются и не обрабатываются. Биометрические данные не собираются.

4. Цели обработки ПД

• Регистрация и аутентификация Пользователя
• Подбор зарубежных университетов и оценка вероятности поступления (на основе профиля)
• Генерация AI-черновиков мотивационных писем и адаптация под выбранный университет
• Сохранение прогресса подачи документов и напоминания о дедлайнах
• Отправка транзакционных писем (магическая ссылка, восстановление пароля, уведомления о входе)
• Обработка платежей и предоставление платных функций тарифа Pro / Сопровождение
• Обеспечение безопасности Сервиса (анти-фрод, rate-limit, расследование инцидентов)
• Исполнение требований законодательства РФ

5. Правовое основание обработки

• Согласие Пользователя, предоставляемое при регистрации (галочка «Я принимаю условия» при создании аккаунта = добровольное информированное согласие на обработку ПД в целях, указанных в разделе 4).
• Исполнение договора (публичной оферты) — в части предоставления платных функций.
• Законные интересы Оператора (защита от злоупотреблений, ведение логов).

6. Локализация и места хранения

В соответствии со ст. 18 ч. 5 152-ФЗ и 242-ФЗ, обработка ПД граждан РФ осуществляется с использованием баз данных, расположенных на территории Российской Федерации (хостинг-провайдер ООО «Таймвэб», дата-центр в Москве). Email-инфраструктура — сервер mail.hosting.reg.ru (территория РФ).

Трансграничная передача персональных данных Пользователей не осуществляется. Для генерации черновиков писем (опционально, тариф Pro) LLM-провайдеру передаются только обезличенные фрагменты профиля - без email, имени и иных идентификаторов аккаунта, по которым можно определить личность; такая передача не является передачей персональных данных. Пользователь информируется об использовании AI перед запуском функции.

7. Сроки хранения

• Аккаунт — до отзыва Пользователем согласия или удаления аккаунта (через интерфейс или письмо на info@edumatch.ru).
• Транзакционные логи — 1 год с момента действия (для расследования инцидентов).
• Платёжные документы — 4 года в соответствии с НК РФ.
• Файлы cookie — до 1 года (зависит от типа cookie).
• После удаления аккаунта ПД анонимизируются в течение 30 дней. Email и хеш пароля удаляются полностью; обезличенные агрегированные данные могут сохраняться для статистики.

8. Передача ПД третьим лицам

Оператор не продаёт и не передаёт ПД третьим лицам, кроме случаев:

• Передача данных платёжному провайдеру (ЮKassa) — в объёме, необходимом для обработки платежа.
• Передача части профильных данных (без идентификаторов аккаунта) AI-провайдеру для генерации мотивашек — только в тарифе Pro и только при использовании функции.
• Передача email-провайдеру (Reg.Ru SMTP) — для доставки транзакционных писем.
• В случаях, прямо предусмотренных законодательством РФ (запрос правоохранительных органов с надлежащим оформлением).

9. Права Пользователя

В соответствии с гл. 3 152-ФЗ Пользователь имеет право:

• Получать информацию об обработке его ПД
• Требовать уточнения, блокирования или уничтожения ПД, если они являются неполными, устаревшими или незаконно полученными
• Отозвать согласие на обработку ПД в любой момент
• Удалить свой аккаунт и связанные с ним ПД (по запросу письмом на info@edumatch.ru)
• Получить копию своих ПД в машиночитаемом формате (по запросу на email Оператора, обработка в течение 10 рабочих дней)
• Обратиться с жалобой в Роскомнадзор: rkn.gov.ru

10. Технические и организационные меры защиты

• HTTPS / TLS 1.3 на всех соединениях
• Хеширование паролей через Argon2id (OWASP Top-recommended параметры)
• Сессионные cookies HttpOnly + Secure + SameSite
• JWT-токены с подписью HMAC-SHA256, срок жизни 30 дней
• Rate-limit на критичные endpoints (auth, magic-link, AI-генерация)
• Бэкапы БД с шифрованием
• Журналирование доступа к ПД
• Принцип минимизации: собираются только данные, необходимые для целей раздела 4

11. Cookies и аналитика

Сервис использует следующие категории cookies:

• Строго необходимые (em_session) — для работы аутентификации. Согласие не требуется, без них Сервис не работает.
• Функциональные — сохранение темы интерфейса, языка, прогресса заполнения анкеты. Локально в браузере.
• Аналитические — Yandex.Metrika с анонимизацией IP. Включаются только при согласии в cookie-баннере; отказаться можно, выбрав «Только необходимые», либо через настройки браузера.

12. Несовершеннолетние

Сервис ориентирован на абитуриентов от 16 лет. Обработка ПД лиц младше 14 лет не осуществляется. Лица в возрасте от 14 до 18 лет используют Сервис с согласия законных представителей; ответственность за это согласие несёт сам Пользователь.

13. Изменения политики

Оператор имеет право вносить изменения. Существенные изменения публикуются с минимум 14-дневным уведомлением через email и интерфейс Сервиса. Продолжение использования после уведомления = принятие новой редакции.

14. Оператор и контакты

Срок ответа на запросы по правам субъекта ПД (доступ, уточнение, удаление) — не более 10 рабочих дней с момента получения письма (152-ФЗ ст. 14, 20).

Уведомление об обработке ПД направлено в Роскомнадзор (pd.rkn.gov.ru) в порядке ст. 22 152-ФЗ; реестровый номер будет опубликован здесь после внесения сведений в реестр операторов.