Политика конфиденциальности
Дата вступления в силу: 1 мая 2026 года
В случае расхождений между русской и английской версиями данного документа, английская версия имеет приоритет.
1. Кто мы
UClass.one управляется Натальей Аксёненко, индивидуальным предпринимателем, зарегистрированным в Чешской Республике (IČO: 22474650), по адресу: Českobrodská 942, 198 00, Praha 9 — Hostavice, Чешская Республика.
UClass.one — платформа для управления клиентами, созданная для тренеров, преподавателей и других независимых инструкторов («Инструкторы»). По вопросам, связанным с данной Политикой конфиденциальности, обращайтесь по адресу support@uclass.one.
2. Роли и ответственность
- UClass.one как контролёр данных. Мы являемся контролёром персональных данных, которые Инструкторы предоставляют при создании учётной записи и использовании платформы (данные аккаунта, профиля, аналитика использования).
- UClass.one как обработчик данных. Когда Инструктор вносит информацию о своих клиентах (ученики, спортсмены, воспитанники — «Клиенты»), UClass.one выступает в роли обработчика данных от имени Инструктора. Инструктор является контролёром данных Клиентов и несёт ответственность за наличие правового основания (например, согласия или договорной необходимости) для внесения этих данных в UClass.one.
3. Какие данные мы собираем
3.1 Данные аккаунта Инструктора
| Категория | Примеры |
|---|---|
| Учётные данные | Адрес электронной почты, пароль (хранится в виде хеша BCrypt — мы никогда не храним пароли в открытом виде) |
| Данные профиля | Имя, страна, город, фото профиля. Если вы выбираете автозаполнение местоположения через геолокацию устройства, мы обрабатываем её только для определения страны и города; исходные координаты не сохраняются |
| Провайдеры аутентификации | При входе через Google или Apple мы получаем и сохраняем идентификатор провайдера и базовую информацию профиля (имя, URL аватара, язык) |
| Настройки | Язык, рабочие часы, часовой пояс |
| Данные подписки | Тариф подписки, даты покупки и окончания, статус подписки, идентификаторы магазина, идентификаторы продуктов, идентификаторы клиента и подписки RevenueCat, среда и связанные метаданные webhook или синхронизации |
3.2 Данные Клиентов (вносятся Инструктором)
| Категория | Примеры |
|---|---|
| Основная информация | Имя, пол, дата рождения, заметки, достижения |
| Контактные данные | Номер телефона, адрес электронной почты |
| Данные родителей/опекунов | Имя, контактные данные |
| Данные о здоровье | Заметки о состоянии здоровья — см. раздел 4 ниже |
| Расписание и посещаемость | Расписание занятий, записи о посещаемости |
| Платежи | Покупки абонементов, имя плательщика |
3.3 Автоматически собираемые данные
| Категория | Примеры |
|---|---|
| Аналитические события | Идентификатор пользователя, действия в приложении (например, создание клиента), параметры события, идентификатор сессии, платформа, версия приложения, временная метка |
| Сводки ежедневной активности | Идентификатор пользователя, дата, тип активности |
| Отчёты о сбоях | При сбое приложения мы можем собирать идентификатор пользователя, email вашего аккаунта, необязательное сообщение от вас, снимок экрана и техническую трассировку стека для диагностики проблемы |
| Записи об отправке email | Адреса получателей, тема и статус доставки транзакционных писем, отправляемых от вашего имени |
| Данные безопасности и защиты от злоупотреблений | Токен Turnstile, IP-адрес, заголовки запроса, сигналы браузера/устройства, результат проверки и связанные метаданные ограничения частоты запросов для регистрации, удаления аккаунта и других чувствительных форм |
3.4 Данные запросов и поддержки
| Категория | Примеры |
|---|---|
| Запросы на удаление аккаунта и обращения в поддержку | Email-адрес, необязательное сообщение или примечание, статус запроса, связанные операционные метаданные, а также снимки экрана или файлы, которые вы решите отправить |
| Подписка на уведомление о запуске | Email-адрес и источник подписки, если вы просите уведомить вас о запуске |
3.5 Данные, которые мы не собираем
Мы не используем сторонние рекламные трекеры, пиксели социальных сетей или инструменты поведенческого профилирования. Наша продуктовая аналитика создана нами и отправляет данные исключительно на наши собственные серверы.
Мы не получаем и не храним полные номера платёжных карт, банковские реквизиты или пароли аккаунтов магазинов. Платежи через Apple App Store, Google Play или другой поддерживаемый магазин обрабатываются соответствующим магазином или платёжным провайдером. Мы получаем только информацию о подписке и правах доступа, необходимую для предоставления платного тарифа, ведения записей биллинга, поддержки пользователей и предотвращения злоупотреблений.
4. Данные о здоровье (особая категория)
Инструкторы могут по желанию записывать заметки о здоровье своих Клиентов. В соответствии с GDPR данные о здоровье относятся к «особой категории» персональных данных (статья 9). Мы применяем следующие меры защиты:
- Явное согласие. Данные о здоровье могут быть внесены только после того, как Инструктор зафиксирует получение явного согласия от Клиента (или его родителя/опекуна). Дата, источник и статус согласия отслеживаются.
- Шифрование при хранении. Данные о здоровье шифруются с использованием AES-256-GCM с версионированием ключей шифрования. Они хранятся в зашифрованном виде и расшифровываются только при обращении авторизованного Инструктора.
- Журнал доступа. Каждое чтение и запись данных о здоровье фиксируются в структурированном журнале аудита приложения.
- Автоматическая очистка. При архивации записи Клиента данные о здоровье автоматически и необратимо очищаются (обнуляются) через 6 месяцев. Запись о согласии также помечается как отозванная для целей учёта. Метаданные согласия (дата и источник) сохраняются для отчётности.
- Отзыв согласия. При отзыве согласия данные о здоровье немедленно очищаются, а запись помечается как отозванная.
UClass.one фиксирует подтверждение Инструктора о получении согласия, но не может самостоятельно проверить его действительность. Инструктор несёт полную юридическую ответственность за точность записей о согласии, внесённых в платформу.
5. Правовые основания обработки
В соответствии с европейским законодательством о защите данных, мы обязаны иметь конкретное правовое основание для каждого вида обработки данных. В таблице ниже указаны эти основания.
| Обработка | Правовое основание (GDPR) |
|---|---|
| Создание и управление аккаунтом | Статья 6(1)(b) — исполнение договора |
| Отправка транзакционных писем (подтверждения, сброс пароля) | Статья 6(1)(b) — исполнение договора |
| Необязательное автозаполнение местоположения | Статья 6(1)(a) — согласие. Местоположение обрабатывается только если вы выбираете эту функцию и предоставляете разрешение на устройстве. |
| Проверки безопасности и защиты от злоупотреблений, включая Cloudflare Turnstile и ограничение частоты запросов | Статья 6(1)(f) — законный интерес. Мы имеем законный интерес в защите платформы, публичных форм и аккаунтов пользователей от автоматизированных злоупотреблений, спама и несанкционированного доступа. |
| Аналитика и улучшение сервиса | Статья 6(1)(f) — законный интерес. Мы имеем законный интерес в понимании того, как используется платформа, для её улучшения. Эта обработка включает псевдонимизированные данные событий и ограничена по объёму. Вы можете возразить против этой обработки (см. раздел 10). |
| Сбор отчётов о сбоях | Статья 6(1)(f) — законный интерес. Мы имеем законный интерес в диагностике технических проблем для поддержания качества сервиса. Данные о сбоях хранятся ограниченный период (90 дней). |
| Запросы на удаление аккаунта, обращения в поддержку и запросы субъектов данных | Статья 6(1)(c) — юридическая обязанность, когда это требуется законодательством о защите данных, и статья 6(1)(f) — законный интерес в обработке запросов, предотвращении злоупотреблений и ведении записей для подотчётности. |
| Управление подписками и записи биллинга | Статья 6(1)(b) — исполнение договора, а также статья 6(1)(c) — юридические обязанности, связанные с бухгалтерским, налоговым, потребительским регулированием и обработкой споров, когда это применимо |
| Обработка данных Клиентов от имени Инструктора | Статья 28 — UClass.one обрабатывает данные Клиентов исключительно по документированным инструкциям Инструктора в качестве обработчика данных. Инструктор (как контролёр данных) несёт ответственность за определение собственного правового основания для сбора данных Клиентов. |
| Обработка данных о здоровье | Инструктор (как контролёр данных) обязан получить явное согласие субъекта данных в соответствии со статьёй 9(2)(a). UClass.one обрабатывает данные о здоровье исключительно как обработчик по инструкциям Инструктора и в соответствии со статьёй 28. |
| AI-анализ данных при импорте | Статья 28 — если импортируемые файлы содержат данные Клиентов, UClass.one обрабатывает эти данные как обработчик по документированным инструкциям Инструктора. |
| Журнал аудита доступа к данным о здоровье | Статья 6(1)(f) — законный интерес (безопасность и подотчётность) |
6. Как мы используем ваши данные
Мы используем собранные данные для:
- Предоставления, поддержки и улучшения платформы UClass.one
- Аутентификации вашей личности и защиты вашего аккаунта
- Отправки транзакционных писем (подтверждение аккаунта, сброс пароля, уведомления)
- Проверки, что чувствительные формы заполняет человек, и предотвращения автоматизированных злоупотреблений
- Обработки запросов на удаление аккаунта, обращений в поддержку и запросов по защите данных
- Помощи с анализом файлов при импорте данных, если вы используете инструменты импорта
- Диагностики и устранения технических проблем (через отчёты о сбоях)
- Понимания использования платформы для её улучшения (через аналитику)
- Исполнения наших договорных обязательств в рамках вашей подписки, включая предоставление, синхронизацию, продление, истечение, отмену и восстановление доступа к платному тарифу
Мы не продаём ваши данные, не используем их для рекламы и не передаём третьим лицам для их собственных маркетинговых целей.
7. Субобработчики
Для работы UClass.one мы используем следующие сторонние сервисы:
| Субобработчик | Обрабатываемые данные | Назначение | Расположение |
|---|---|---|---|
| Cloudflare R2 | Фотографии профиля, загруженные файлы импорта, снимки экрана из обращений/отчётов о сбоях и другие файлы, загружаемые через функции продукта | Объектное хранилище и доставка файлов | Сеть Cloudflare; расположение bucket зависит от конфигурации Cloudflare R2 (применяются Cloudflare DPA и Стандартные договорные условия) |
| Cloudflare Turnstile | Токен Turnstile, IP-адрес, заголовки запроса, сигналы браузера/устройства, результат проверки | Защита от ботов, мошенничества и злоупотреблений при регистрации, удалении аккаунта и работе других чувствительных форм | Глобально / США (применяются Cloudflare DPA и Стандартные договорные условия) |
| Google OAuth | Идентификатор аккаунта Google, имя, URL аватара | Аутентификация | США (применяются Стандартные договорные условия) |
| Apple ID | Идентификатор аккаунта Apple, имя | Аутентификация | США (применяются Стандартные договорные условия) |
| Apple App Store | Информация о покупке, продлении, отмене, возврате и правах доступа для iOS-подписок | Обработка покупок в приложении и управление подписками | Инфраструктура Apple; см. условия конфиденциальности и оплаты Apple |
| Google Play | Информация о покупке, продлении, отмене, возврате и правах доступа для Android-подписок | Обработка покупок в приложении и управление подписками | Инфраструктура Google; см. условия конфиденциальности и оплаты Google |
| RevenueCat | Идентификатор пользователя приложения, идентификаторы продуктов, статус прав доступа, даты покупки и окончания, идентификаторы транзакций магазина, статус подписки, webhook-события и связанные метаданные подписки | Управление правами доступа по подписке, агрегация webhook магазинов и синхронизация биллинга | США / глобальная инфраструктура (применяются RevenueCat DPA и Стандартные договорные условия) |
| Resend | Адреса электронной почты, содержимое писем | Доставка транзакционных писем | США (применяются Стандартные договорные условия) |
| Supabase | Email-адрес для списка ожидания и источник подписки | Хранение списка ожидания для уведомления о запуске | ЕС, в соответствии с конфигурацией проекта списка ожидания (применяется Supabase DPA) |
| Anthropic (Claude API) | Маскированная/псевдонимизированная выборка файлов, загружаемых при импорте данных (например, расписания, списки клиентов). Значения частично редактируются перед отправкой, но выборка всё ещё может содержать персональные данные. | AI-анализ данных при импорте | США (применяются Стандартные договорные условия) |
Стандартные договорные условия (SCC) — это правовой механизм, утверждённый Европейской комиссией, который обязывает эти компании защищать ваши данные в соответствии с европейскими стандартами, даже если они расположены за пределами ЕС.
Мы заключаем соответствующие соглашения об обработке данных с каждым субобработчиком для обеспечения защиты ваших данных в соответствии с GDPR (подробнее о международных передачах — в разделе 13).
Если мы включим другого AI-провайдера для production-импорта, мы обновим эту таблицу до того, как такой провайдер начнёт обрабатывать персональные данные.
8. Сроки хранения данных
| Тип данных | Срок хранения |
|---|---|
| Данные аккаунта | До удаления аккаунта |
| Неактивированные аккаунты | Приостановлены через 48 часов бездействия; окончательно удалены после дополнительного 30-дневного периода |
| Идентификаторы сторонней аутентификации (Google, Apple) | До удаления аккаунта |
| Записи подписки и биллинга | Пока это необходимо для предоставления доступа, решения вопросов биллинга или поддержки, предотвращения мошенничества или злоупотреблений, а также соблюдения применимых бухгалтерских, налоговых, потребительских или иных юридических обязанностей |
| Данные Клиентов | До удаления Инструктором или до удаления аккаунта |
| Данные о здоровье (архивированные клиенты) | Автоматически очищаются через 6 месяцев после архивации |
| Данные о здоровье (активные клиенты) | Хранятся, пока запись Клиента активна и согласие не отозвано |
| Данные о здоровье (отзыв согласия) | Очищаются немедленно при отзыве |
| Данные анкет (новые клиенты) | Автоматически удаляются через 30 дней |
| Данные сессий импорта и загруженные файлы импорта | Автоматически удаляются через 7 дней |
| Загруженные файлы, используемые активными функциями продукта | До удаления Инструктором, замены пользователем или удаления в рамках удаления аккаунта |
| Токены сессий | Автоматически удаляются по истечении срока действия |
| Токены Turnstile и данные проверки | Токены Turnstile недолговечны и используются только для проверки; мы сохраняем только ограниченные записи безопасности/ограничения частоты запросов, необходимые для защиты сервиса |
| Аналитические события | Хранятся до 12 месяцев, затем удаляются |
| Отчёты о сбоях | Хранятся до 90 дней, затем удаляются |
| Записи об отправленных письмах | Хранятся до 90 дней, затем удаляются |
| Записи запросов на удаление аккаунта, обращений в поддержку и запросов субъектов данных | Хранятся столько, сколько необходимо для обработки запроса, поддержания безопасности, предотвращения злоупотреблений, разрешения споров или соблюдения закона |
| Email-адреса списка ожидания | Хранятся до отправки уведомления о запуске; после этого вы можете запросить удаление в любое время |
При запросе удаления аккаунта мы сначала проверяем, связана ли с аккаунтом активная подписка через App Store, Google Play или другой магазин. Если у вас есть активная подписка через App Store, Google Play или другой магазин, удаление аккаунта не будет обработано, пока подписка не отменена в соответствующем магазине и текущий период доступа не завершён. Когда обработка удаления может начаться, ваш аккаунт немедленно деактивируется, и все сессии завершаются. Подлежащие удалению данные продукта безвозвратно удаляются в течение 30 дней, включая рабочие пространства, записи клиентов, файлы и настройки. Ограниченные записи биллинга, предотвращения мошенничества, поддержки, отчётности и соблюдения закона могут храниться дольше в сроки, описанные выше, если это необходимо.
9. Безопасность данных
Мы применяем соответствующие технические и организационные меры для защиты ваших данных:
- Пароли хешируются с помощью BCrypt и никогда не хранятся в открытом виде
- Данные о здоровье шифруются при хранении с помощью AES-256-GCM с версионированием ключей шифрования
- Загруженные файлы хранятся в Cloudflare R2; данные о здоровье дополнительно шифруются на уровне приложения, как описано выше
- Токены аутентификации хранятся в зашифрованном хранилище устройства на мобильных платформах (iOS Keychain, Android EncryptedSharedPreferences). На вебе токены хранятся в локальном хранилище браузера и сохраняются между сессиями
- Cloudflare Turnstile и ограничение частоты запросов помогают защищать чувствительные публичные формы от автоматизированных злоупотреблений
- Внутренняя коммуникация между сервисами использует шифрованные заголовки
- Доступ к данным о здоровье фиксируется в структурированном журнале аудита приложения
10. Ваши права
В соответствии с GDPR у вас есть следующие права:
Права, которые вы можете реализовать непосредственно в приложении
- Право на доступ — просматривайте данные аккаунта и профиля в любое время
- Право на исправление — обновляйте профиль, настройки и записи клиентов
- Право на удаление — запросить окончательное удаление аккаунта (Настройки → Удалить аккаунт). Активные подписки через App Store, Google Play или другой магазин должны быть отменены в соответствующем магазине и больше не быть активными, прежде чем удаление аккаунта может быть обработано. Когда обработка удаления может начаться, ваш аккаунт немедленно деактивируется, и подлежащие удалению данные продукта безвозвратно удаляются в течение 30 дней, с учётом ограниченных записей биллинга, предотвращения мошенничества, поддержки, отчётности и соблюдения закона, описанных в разделе 8.
Права, требующие ручного запроса
Для следующих запросов, пожалуйста, напишите на support@uclass.one. Мы ответим в течение одного месяца (этот срок может быть продлён ещё на два месяца для сложных запросов, с уведомлением).
- Право на переносимость данных — запрос на экспорт ваших данных в машиночитаемом формате
- Право на ограничение обработки — запрос на ограничение обработки ваших данных
- Право на возражение — возражение против обработки на основе законного интереса (аналитика)
- Право на отзыв согласия — если обработка основана на согласии (например, данные о здоровье), вы можете отозвать его в любое время. Отзыв не влияет на законность обработки, выполненной до отзыва.
- Экспорт или удаление данных Клиентов — если вам необходим массовый экспорт или удаление записей клиентов, недоступные через приложение
Вы также имеете право подать жалобу в надзорный орган (см. раздел 15).
Для Клиентов Инструкторов
Если вы являетесь Клиентом (учеником, спортсменом, воспитанником), чьи данные были внесены Инструктором, контролёром ваших данных является Инструктор. Пожалуйста, обращайтесь непосредственно к вашему Инструктору для реализации своих прав на защиту данных. Если связаться с Инструктором не удаётся, вы можете написать нам на support@uclass.one, и мы окажем содействие в рамках возможного.
11. Автоматизированное принятие решений
Мы не используем ваши персональные данные для автоматизированного принятия решений или профилирования, которое порождает правовые или аналогично значимые последствия.
12. Данные детей
Аккаунты в UClass.one могут создаваться только взрослыми. Мы сознательно не предлагаем наш сервис непосредственно детям. Инструкторы могут вносить данные о несовершеннолетних клиентах (например, учениках, юных спортсменах) в качестве контролёров данных. Инструкторы несут ответственность за соблюдение всех применимых законов в отношении обработки данных несовершеннолетних, включая получение согласия родителей или опекунов, когда это требуется.
13. Международная передача данных
Мы стремимся хранить основные данные приложения в Европейском союзе там, где это предусмотрено конфигурацией нашей инфраструктуры. Некоторые субобработчики используют глобальные сети или находятся за пределами ЕС (см. раздел 7). В случаях передачи данных за пределы ЕС мы опираемся на Стандартные договорные условия (SCC), утверждённые Европейской комиссией, и другие применимые гарантии для обеспечения надлежащего уровня защиты данных.
14. Изменения в данной Политике
Мы можем время от времени обновлять данную Политику конфиденциальности. Существенные изменения включают изменения в категориях собираемых персональных данных, целях обработки, правовых основаниях обработки или добавление новых субобработчиков. При внесении существенных изменений мы уведомим вас по электронной почте или через уведомление в приложении не менее чем за 14 дней до вступления изменений в силу. Дата вступления в силу в верхней части этой страницы указывает, когда политика была последний раз обновлена.
15. Контакты
- Вопросы о конфиденциальности и общей поддержке: support@uclass.one
- Почтовый адрес: Natalia Aksenenko, Českobrodská 942, 198 00, Praha 9 — Hostavice, Czech Republic
UClass.one не назначала Ответственного за защиту данных (DPO), так как это не требуется в соответствии с применимыми критериями статьи 37 GDPR.
Если вы считаете, что ваши права на защиту данных были нарушены, вы имеете право подать жалобу в надзорный орган. В Чешской Республике таким органом является Управление по защите персональных данных (ÚOOÚ).