Политика конфиденциальности

Редакция от 17 мая 2026 г. (заменяет редакцию от 09 апреля 2026 г.)

1. Общие положения

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных физических лиц (далее — «Субъекты»), предоставляемых при использовании веб-сайта berfort.ru, образовательной платформы LMS, Telegram-бота и иных сервисов, принадлежащих:

Реквизит	Значение
Полное наименование	Общество с ограниченной ответственностью «Учебный центр «БЕРФОРТ»»
Сокращённое	ООО «УЦ «БЕРФОРТ»»
ИНН	7203433524
ОГРН	1177232031591
Адрес	625000, г. Тюмень, ул. Республики, д. 61, оф. 907
Лицензия	№ 057 от 05.09.2018, серия 72Л01 №0002080 (образовательная деятельность, Департамент образования и науки Тюменской области)

Оператор обрабатывает персональные данные в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», подзаконными актами и настоящей Политикой.

2. Термины и определения

Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных — любое действие или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.

Оператор — ООО «УЦ «БЕРФОРТ»».

3. Цели обработки персональных данных

Предоставление доступа к образовательной платформе LMS и курсам дополнительного профессионального образования.
Идентификация обучающегося (слушателя) при входе в личный кабинет.
Оформление и выдача документов об обучении (удостоверений о повышении квалификации, дипломов о профессиональной переподготовке).
Регистрация выданных документов в государственных реестрах (ФИС ФРДО, ЕИСОТ).
Осуществление расчётов за образовательные услуги (физлица — СБП-QR / банковская карта; юрлица — счёт + УПД 5.03).
Направление уведомлений о ходе обучения, дедлайнах переаттестации, готовности документов.
Обработка обращений и заявок, поступающих через формы на сайте, Telegram-бот, телефонию, email.
Подсчёт прогресса, ведение статистики и достижений обучающегося (заметки, серии активности, опыт).
Обеспечение информационной безопасности и устойчивости сервиса (выявление и устранение ошибок, защита от атак).
Исполнение требований законодательства РФ.

4. Перечень обрабатываемых персональных данных

4.1. Идентификационные

Фамилия, имя, отчество.
Дата рождения, СНИЛС (для регистрации в ФИС ФРДО).
Серия и номер паспорта (при выдаче документов установленного образца).
Адрес электронной почты, номер телефона.

4.2. Учётные

Данные об образовании и квалификации.
Должность, наименование организации-работодателя (для корпоративных слушателей).
Зашифрованный пароль (bcrypt, оригинал не сохраняется).

4.3. Учебные

Прогресс по курсам, ответы на тесты, оценки.
Личные заметки, оставленные субъектом в личном кабинете (привязаны к урокам, могут содержать таймкоды видео).
Сертификаты и регистрационные номера выданных документов.
Серия недельной активности, опыт (XP), достижения (badges).

4.4. Финансовые

Информация о фактах и суммах оплат.
Реквизиты банковских карт не хранятся — обработка осуществляется платёжными провайдерами (Точка-Банк, ЮKassa) в рамках стандарта PCI DSS.

4.5. Техническая

IP-адрес, данные браузера (User-Agent), технические cookie-файлы (см. § 8).
Логи действий в системе — для целей безопасности и устранения ошибок.
UTM-метки источника трафика (если переход с рекламной кампании).

5. Правовые основания обработки

Согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 152-ФЗ) — фиксируется при регистрации и хранится в реестре операций оператора.
Исполнение договора на оказание образовательных услуг (п. 5 ч. 1 ст. 6 152-ФЗ).
Исполнение обязанностей, возложенных на оператора законодательством (п. 2 ч. 1 ст. 6 152-ФЗ) — налоговая отчётность, ФИС ФРДО, требования Рособрнадзора.

6. Локализация и защита данных

Все персональные данные граждан Российской Федерации хранятся на серверах, физически расположенных на территории Российской Федерации, в соответствии с ч. 5 ст. 18 152-ФЗ. Оператор не использует облачные сервисы за пределами РФ для хранения персональных данных российских граждан.

Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных:

Шифрование канала связи (HTTPS, TLS 1.2+).
Защита от CSRF-атак (signed cookies), XSS-фильтрация пользовательского ввода.
Хранение паролей в виде bcrypt-хешей (12 раундов).
Ограничение количества попыток авторизации (rate limit).
Регулярное резервное копирование с шифрованием (restic) и автоматическим удалением устаревших копий (хранение: 7 ежедневных, 4 еженедельных, 12 ежемесячных).
Журналирование действий с персональными данными.
Разграничение прав доступа сотрудников оператора.

7. Передача персональных данных третьим лицам

Оператор вправе передавать персональные данные третьим лицам только в следующих случаях:

Субъект выразил согласие на такую передачу.
Передача предусмотрена законодательством РФ — государственным органам (ФИС ФРДО, ЕИСОТ, налоговые органы, Роскомнадзор) в установленных формах и объёме.
Передача необходима для исполнения договора — платёжным провайдерам (только для проведения оплаты), сервисам отправки электронной почты (Яндекс 360 SMTP).

Оператор не продаёт, не передаёт и не предоставляет персональные данные третьим лицам в рекламных, маркетинговых или иных коммерческих целях.

8. Cookie-файлы и трекинг

Сайт использует только технические cookie-файлы, необходимые для работы платформы:

lms_token — токен авторизации (httpOnly, secure, samesite=lax), срок жизни 30 дней.
_csrf — токен защиты от CSRF-атак, срок жизни до закрытия браузера.
berfort_cc_v1 в localStorage — отметка о подтверждении пользователем cookie-баннера.

Сайт не использует сторонние трекинговые системы (Google Analytics, Яндекс.Метрика и аналогичные). Поведенческие данные, передаваемые рекламным сетям, не собираются.

При первом посещении сайта пользователю отображается баннер с информацией об использовании cookie. Пользователь может в любое время отключить cookie в настройках браузера, однако это приведёт к невозможности авторизации в личном кабинете.

9. Использование искусственного интеллекта

В образовательном процессе используются AI-сервисы для следующих задач:

AI-помощник в уроке — отвечает на вопросы по содержанию урока.
AI-объяснитель — даёт определения терминов из материала.
AI-тренажёр — подсказывает перед прохождением итогового теста.
AI-навигатор — рекомендует, какой курс изучать дальше.

Все AI-запросы обрабатываются локально на серверах оператора в Российской Федерации (модель qwen2.5 на локальном инференс-сервере). Запросы пользователей и материал уроков не передаются внешним AI-сервисам (OpenAI, Anthropic, Google и другие зарубежные провайдеры).

Все диалоги с AI логируются в системе оператора для целей контроля качества обучения и устранения нарушений. Логи хранятся в той же зоне локализации, что и остальные персональные данные.

10. Сроки обработки и хранения

Учётная запись слушателя и связанные с ней данные — в течение срока действия договора и 5 лет после его завершения (в соответствии с требованиями к хранению документов об образовании по ст. 60 ФЗ-273).
Выданные удостоверения и регистрационные номера — бессрочно для целей публичной проверки подлинности по QR-коду.
Данные из заявок (лидов), не превратившихся в договор — не более 1 года с момента получения.
Cookie-файлы — до 1 года или до момента удаления пользователем.
Логи безопасности и журналы ошибок — 6 месяцев.
AI-диалоги — 12 месяцев с момента последнего сообщения.
Резервные копии — в соответствии с политикой ротации restic (см. § 6).

11. Права субъекта персональных данных

В соответствии со ст. 14 152-ФЗ субъект персональных данных имеет право:

Получить информацию об обработке своих персональных данных.
Получить копию своих персональных данных, обрабатываемых оператором.
Требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Отозвать согласие на обработку персональных данных путём направления письменного заявления оператору (это приведёт к удалению учётной записи и связанных с ней данных, за исключением тех, что обязательны к хранению по закону).
Обжаловать действия или бездействие оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в суд.

Для реализации прав субъект направляет письменный запрос на электронную почту или по почтовому адресу оператора (см. § 12). Оператор отвечает на запрос в течение 30 дней с даты получения.

12. Контактная информация оператора

Юридический адрес	625000, г. Тюмень, ул. Республики, д. 61, оф. 907
Email для запросов по персональным данным	aida@berfort.ru
Телефон	+7 (3452) 500-033
Сайт	berfort.ru

13. Заключительные положения

Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её размещения на сайте. Существенные изменения, затрагивающие права субъектов (расширение целей обработки, новые получатели данных, изменения сроков хранения), сопровождаются уведомлением субъектов по электронной почте не менее чем за 14 дней до вступления в силу.

Продолжение использования сервиса после внесения изменений означает согласие субъекта с новой редакцией Политики.

Настоящая Политика действует бессрочно до замены её новой редакцией.