Ранний доступ

Юридический документ

Политика конфиденциальности

Приложение «Repit Online» для iOS и macOS

Версия 2.2 · Действует с 1 мая 2026 года

Настоящая Политика описывает, какие данные обрабатывает приложение «Repit Online» (далее — «Приложение»), кто является оператором, на каких основаниях, куда передаются данные, какие права имеет пользователь и как их реализовать.

Политика составлена в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции Федерального закона от 30.11.2024 № 420-ФЗ, вступившего в силу 30 мая 2025 года), Apple App Store Review Guidelines (разделы 5.1.1–5.1.5) и, в части пользователей за пределами Российской Федерации, принципами Регламента (ЕС) 2016/679 (GDPR) и Children’s Online Privacy Protection Act (США, COPPA).

Использование Приложения допускается только после ознакомления с настоящей Политикой и выражения согласия на обработку персональных данных способом, предусмотренным в Приложении (проставление отметки о согласии с настоящей Политикой при регистрации). Согласие с настоящей Политикой означает согласие со всеми её условиями, включая трансграничную передачу персональных данных (см. раздел 5).

1. Оператор персональных данных

Оператором персональных данных (далее — «Оператор»):

  • Дмитриев Денис Олегович
  • Юридический статус: самозанятый (плательщик налога на профессиональный доход) / индивидуальный предприниматель (точный статус указан в Реестре операторов Роскомнадзора).
  • Место ведения деятельности: г. Санкт-Петербург, Российская Федерация
  • Email для обращений: support@repit-online.ru
  • Ответственный за организацию обработки персональных данных: Дмитриев Д. О.

Оператор включён в Реестр операторов, осуществляющих обработку персональных данных, ведущийся Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Регистрационный номер указан в актуальной версии этой Политики на публичном сайте Оператора.

2. Категории субъектов и обрабатываемых данных

В Приложении существуют три роли пользователей: Репетитор, Ученик, Родитель. В зависимости от роли обрабатываются разные данные.

2.1. Репетитор

  • Адрес электронной почты (учётная запись Firebase Auth).
  • Пароль (хранится в хэшированном виде у провайдера аутентификации Google LLC, Оператору недоступен).
  • ФИО, телефон, реквизиты для оплаты (если заполнены в профиле репетитора).
  • Вводимые репетитором сведения об учениках (см. п. 2.2).
  • Расписание занятий, финансовые записи, журнал, материалы уроков, шаблоны.
  • Заметки, комментарии, методические материалы.
  • При подключении Telegram-бота — идентификатор чата Telegram, username, first_name, last_name.

2.2. Ученик (в том числе несовершеннолетний)

Важно: карточку ученика в Приложении создаёт репетитор на основании договорных отношений с учеником и (или) его законным представителем. Ученик получает доступ к порталу только по коду приглашения, выданному репетитором.

  • Фамилия, имя, отчество (при указании).
  • Класс обучения, школа (опционально), предметы, цели подготовки.
  • Контактные данные: номер телефона, Telegram, электронная почта (при регистрации ученика в портале).
  • Образовательные данные: оценки, домашние задания, темы занятий, результаты пробников ОГЭ/ЕГЭ, заметки о прогрессе, навыки и компетенции.
  • Финансовые данные: стоимость занятий, статус оплаты, баланс пакета (не платёжные реквизиты).
  • Данные авторизации в Приложении: email, пароль (при использовании портала ученика).

2.3. Родитель

  • ФИО, контактные данные.
  • Связь с карточкой ребёнка (по коду приглашения).
  • Данные авторизации: email, пароль.
  • Просматриваемые данные ребёнка (копируются из карточки ученика, см. 2.2).

2.4. Данные, которые НЕ собираются

  • Геолокация.
  • Биометрические данные (за исключением системных Face ID/Touch ID, которые обрабатываются исключительно операционной системой устройства и Оператору не передаются).
  • Идентификатор рекламы (IDFA).
  • Данные о здоровье (HealthKit), финансовые инструменты (банковские карты).
  • История посещения сторонних сайтов, поисковые запросы в других приложениях.

3. Правовые основания и цели обработки

Обработка персональных данных осуществляется на следующих правовых основаниях:

  • Согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ) — выражается путём проставления отметки при регистрации в Приложении.
  • Исполнение договора (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ) — в части предоставления доступа к функциям Приложения.
  • Законный интерес Оператора (п. 7 ч. 1 ст. 6 Закона № 152-ФЗ) — в части обеспечения безопасности (rate limiting, защита от несанкционированного доступа).

Цели обработки:

  1. Предоставление функций планирования занятий, учёта прогресса, управления финансами для репетиторов.
  2. Предоставление учащимся и их родителям возможности просматривать расписание, домашние задания и оценки.
  3. Синхронизация данных между устройствами одного пользователя и обеспечение многопользовательского режима (репетитор ↔ ученик ↔ родитель).
  4. Отправка уведомлений о занятиях, домашних заданиях, оплатах (в том числе через Telegram-бот — только при явном подключении пользователем).
  5. Обеспечение безопасности и предотвращение несанкционированного доступа.
  6. Резервное копирование данных для восстановления в случае сбоев.

Приложение не использует персональные данные для: рекламы, показа сторонней рекламы, таргетирования, трекинга между приложениями и сайтами, передачи третьим лицам в коммерческих целях, обучения моделей искусственного интеллекта.

4. Где и как хранятся данные

4.1. На устройстве пользователя

  • Основной файл данных: Application Support/Repit_online/appdata.json, защищён шифрованием AES-256-GCM, ключ шифрования хранится в Keychain (аппаратно защищённое хранилище iOS/macOS).
  • Копия данных в общем контейнере App Group (для Siri и виджетов): также зашифрована AES-256-GCM.
  • Минимальный набор данных для работы виджетов в файле widget.json в App Group: имя ученика или ребёнка (для виджетов в роли репетитора и родителя), предмет ближайшего урока, обобщённые счётчики занятий и долгов. Файл не шифруется дополнительно, поскольку доступ к нему ограничен sandbox iOS на уровне App Group (только Приложение и его виджет-расширение); шифрование снизило бы возможность мгновенного отображения виджета.
  • В Keychain дополнительно: роль пользователя, токен Firebase, код приглашения, параметры rate limiter.

4.2. На серверах третьих лиц

Для обеспечения многопользовательского режима и резервного копирования данные передаются на серверы третьих лиц:

СервисПоставщик / странаКакие данныеЦель
Firebase AuthenticationGoogle LLC, СШАEmail, хэш пароля, UIDАутентификация пользователей
Firebase Realtime DatabaseGoogle LLC, СШАВесь объём данных приложения (см. п. 2), зашифрованно по HTTPS/TLS, на стороне Google — с шифрованием at-rest в соответствии с их политикойМногопользовательская синхронизация
Google Cloud Storage gs://repit-online-backupsGoogle LLC, СШАЕженедельный снапшот Realtime Database (единый файл, перезаписывается каждое воскресенье в 06:00 МСК)Резервное копирование
Google Cloud FunctionsGoogle LLC, СШАДиагностические логи (UID, идентификаторы записей, временные метки); хранятся 30 дней и автоматически удаляютсяОбработка серверной логики, интеграция с Telegram
Telegram Bot API @repit_online_botTelegram Messenger Inc., ОАЭ (серверы в разных юрисдикциях)chat_id, username, first_name, last_name, текст уведомлений с именем ученика, предметом, темой занятияОтправка уведомлений о занятиях и домашних заданиях (только при явном подключении бота пользователем)
Apple Push Notification service (APNs)Apple Inc., СШАТекст push-уведомлений (может содержать имя ученика, предмет, ссылку на видеоконференцию)Доставка уведомлений на устройство

Политики третьих лиц: Google, Telegram, Apple.

4.3. Защита передачи

Вся сетевая передача данных между Приложением и серверами осуществляется исключительно по протоколу HTTPS/TLS. Токены авторизации, используемые Firebase, обновляются автоматически; устаревшие токены недействительны.

5. Трансграничная передача персональных данных

Внимание. При использовании облачной синхронизации данные передаются на серверы, расположенные в США и других странах. США не включены в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных. В связи с этим, в соответствии со ст. 12 Закона № 152-ФЗ, такая передача возможна только при наличии письменного согласия субъекта на трансграничную передачу.

Согласие на трансграничную передачу выражается пользователем путём проставления отметки о согласии с настоящей Политикой при регистрации в Приложении: такая отметка означает согласие со всеми условиями Политики, включая трансграничную передачу, перечисленную в настоящем разделе. Условия трансграничной передачи изложены прямо в Политике; пользователь считается информированным до проставления отметки.

Оператор направляет в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных до начала такой передачи в порядке ч. 3 ст. 12 Закона № 152-ФЗ.

Пользователь вправе в любой момент отозвать согласие на трансграничную передачу. В этом случае Оператор прекращает синхронизацию данных пользователя с серверами Google/Telegram в течение 10 рабочих дней; локальное использование Приложения без синхронизации остаётся возможным для репетитора в режиме отдельного устройства.

6. Сроки хранения

  • Активные данные — в течение всего периода действия учётной записи.
  • Корзина (удалённые пользователем записи) — 30 дней, затем безвозвратно удаляются.
  • Журнал удалений (deletedRecords) — служебная информация для синхронизации, 30 дней.
  • История уведомлений в приложении — 30 дней или не более 200 последних записей.
  • Резервная копия в Google Cloud Storage — последний снапшот перезаписывается каждое воскресенье; предыдущий снапшот не сохраняется.
  • Диагностические логи Cloud Functions — 30 дней, удаляются автоматически на стороне Google.
  • Журнал согласий — хранится Оператором бессрочно как доказательство законности обработки (ч. 3 ст. 9 Закона № 152-ФЗ).
  • После удаления учётной записи — данные пользователя удаляются с серверов Firebase не позднее 30 дней, из последнего резервного снапшота — при следующей перезаписи (до 7 дней).

7. Обработка данных несовершеннолетних

Приложение предназначено для работы репетиторов со школьниками. Большинство учеников — несовершеннолетние (как правило, 13–17 лет, подготовка к ОГЭ/ЕГЭ).

7.1. Порядок обработки данных учеников

  • Карточку ученика создаёт репетитор в рамках своих договорных отношений с учеником и (или) его законным представителем (родителем). Согласие на обработку персональных данных ученика даёт его законный представитель.
  • Самостоятельная регистрация ученика в Приложении происходит только по коду приглашения, выданному репетитором. До регистрации в портале ученика родитель должен быть ознакомлен с настоящей Политикой.
  • Портал родителя предназначен для совершеннолетнего законного представителя.

7.2. Для пользователей на территории ЕС

Приложение не предназначено для использования и не продвигается в государствах — членах Европейского союза и Европейской экономической зоны. Оператор не назначает представителя в ЕС в смысле ст. 27 Регламента (ЕС) 2016/679 (GDPR), поскольку обработка данных лиц, находящихся в ЕС, не является целевой деятельностью Оператора.

Если Оператору становится известно, что учётная запись создана пользователем, проживающим в ЕС, и обработка его данных не подпадает под исключения ст. 3(2) GDPR — такая учётная запись по запросу пользователя удаляется в порядке раздела 8.3 настоящей Политики.

7.3. Для пользователей на территории США (COPPA)

Приложение не предназначено для использования лицами младше 13 лет, проживающими на территории США. Оператор не осуществляет целенаправленный сбор персональной информации у таких лиц. При регистрации Пользователь подтверждает, что ему исполнилось 13 лет либо что его участие согласовано с законным представителем.

Если Оператору становится известно, что учётная запись создана лицом младше 13 лет, проживающим в США, без проверяемого согласия родителя в смысле Children’s Online Privacy Protection Act (16 CFR § 312.5), такая учётная запись удаляется, а собранные данные уничтожаются в течение 30 дней. О факте удаления Оператор уведомляет родителя по доступным контактным данным.

7.4. Права родителей

Родитель ребёнка вправе:

  • Ознакомиться с перечнем обрабатываемых о ребёнке данных.
  • Потребовать их исправления или удаления.
  • Отозвать согласие на обработку в любой момент.

Для реализации этих прав достаточно обращения на support@repit-online.ru с подтверждением статуса родителя (например, копией инвайт-кода или подтверждением через репетитора).

8. Права субъектов персональных данных

В соответствии с главой 3 Закона № 152-ФЗ (для пользователей из РФ) и ст. 15–22 GDPR (для пользователей из ЕС) пользователь вправе:

8.1. Получить информацию об обработке

Направив запрос на support@repit-online.ru, вы получите в течение 30 календарных дней сведения о перечне обрабатываемых персональных данных, источнике их получения, сроках обработки и круге лиц, которым они были или могут быть раскрыты.

8.2. Исправить неточные данные

Через интерфейс Приложения (меню «Настройки» — профиль) либо направив запрос Оператору.

8.3. Удалить данные и учётную запись

Репетитор: в Настройки → Данные и бэкап → Удалить аккаунт. Удаление выполняется немедленно: удаляются локальные данные и данные на серверах Firebase; учётная запись Firebase Auth уничтожается. Резервная копия, содержащая удалённые данные, перезаписывается при следующем еженедельном снапшоте (до 7 дней).

Ученик / Родитель: в Настройки → Удалить аккаунт. Удаляется учётная запись пользователя в Firebase Auth, отвязываются коды приглашения, стирается локальный кэш. Данные, которые были внесены репетитором в его базу (ФИО, оценки и т. д.), остаются у репетитора в соответствии с его правовыми основаниями обработки. Для полного удаления таких данных необходимо обратиться к репетитору или к Оператору с указанием инвайт-кода.

Через веб-кабинет: на странице repit-online.web.app/cabinet/security/ доступен альтернативный канал запроса удаления. На текущем этапе бета-тестирования запросы обрабатываются Оператором вручную: подтверждение по email направляется в течение трёх рабочих дней. По завершении бета-периода веб-канал перейдёт на автоматический режим с 30-дневным grace-периодом, в течение которого удаление можно отменить.

8.4. Экспортировать данные

Через Настройки → Данные и бэкап → Сохранить бэкап (форматы JSON и CSV). Экспорт содержит полный набор данных пользователя.

8.5. Отозвать согласие

На обработку персональных данных в целом — через удаление учётной записи.

Только на трансграничную передачу — направить запрос Оператору. В этом случае синхронизация с серверами Google/Telegram прекращается; локальное использование Приложения без синхронизации остаётся возможным только для роли «Репетитор». Для ролей «Ученик» и «Родитель» отзыв согласия на трансграничную передачу влечёт невозможность использования портала, поскольку весь обмен данными в этих ролях осуществляется через серверы Firebase; такая учётная запись подлежит удалению по запросу пользователя в порядке раздела 8.3.

На получение уведомлений — в Настройки → Уведомления (отдельные переключатели по типам уведомлений); либо полностью отключить уведомления в настройках операционной системы устройства.

8.6. Обжаловать действия Оператора

В уполномоченный орган по защите прав субъектов персональных данных — Роскомнадзор (rkn.gov.ru).

9. Уведомление о нарушении безопасности

В случае инцидента, связанного с утечкой или несанкционированным доступом к персональным данным, Оператор:

  • Уведомляет Роскомнадзор в течение 24 часов о факте инцидента и в течение 72 часов — о результатах внутреннего расследования (ч. 3.1 ст. 21 Закона № 152-ФЗ).
  • Уведомляет затронутых пользователей без необоснованной задержки через email и/или внутриаппаратное уведомление.
  • Принимает меры к локализации, устранению и минимизации последствий инцидента.

10. Меры защиты

  • Шифрование локальных данных AES-256-GCM, ключ в аппаратном Keychain.
  • Шифрование сетевой передачи по TLS 1.2+.
  • Хранение паролей у поставщика аутентификации (Google Firebase Auth) в хэшированном виде; Оператор не имеет доступа к паролям.
  • Ограничение количества попыток входа (5 попыток → блокировка 15 минут).
  • Парольная политика: минимум 8 символов, заглавная буква, строчная буква, цифра.
  • Правила доступа на уровне Firebase Realtime Database (Security Rules), ограничивающие доступ по роли и связи «репетитор ↔ ученик/родитель».
  • Регулярное обновление Приложения для устранения уязвимостей.
  • Организационные меры: допуск к обработке имеет только Оператор; сотрудники/подрядчики не привлекаются.

11. Использование системных API

Приложение использует следующие API операционной системы, требующие декларирования в Privacy Manifest (требование Apple с мая 2024 года):

  • UserDefaults (категория CA92.1) — хранение пользовательских настроек приложения.
  • File Timestamp (категория C617.1) — определение времени модификации локальных файлов для корректной синхронизации.

Идентификаторы устройства (IDFA, IDFV), отслеживание между приложениями, SKAdNetwork не используются.

11.1. Импорт из Календаря устройства

С вашего явного разрешения (системный диалог iOS/macOS) Приложение читает события системного Календаря за последние 30 дней, чтобы предложить их для импорта в расписание занятий. Вы выбираете, какие события импортировать — по умолчанию все события отмечены как не выбранные. Приложение не изменяет и не удаляет события в вашем Календаре.

Импортированные события сохраняются исключительно в локальной базе данных Приложения на устройстве пользователя и в зашифрованной копии данных пользователя в Firebase Realtime Database, доступ к которой имеет только сам пользователь. Оператор Repit Online не получает самостоятельного доступа к содержимому этих событий и не использует их в собственных целях. Ответственность за правомерность обработки персональных данных третьих лиц, содержащихся в импортируемых событиях (имена учеников и их родителей, контактные данные, заметки), несёт пользователь, который в отношении таких данных выступает самостоятельным оператором по смыслу п. 2 ст. 3 Закона № 152-ФЗ. До первого импорта Приложение запрашивает у пользователя подтверждение наличия у него правового основания для обработки этих данных. В случае, если пользователь поручает Оператору обработку таких данных в смысле ч. 3 ст. 6 Закона № 152-ФЗ, отдельное поручение оформляется сторонами в письменной форме.

11.2. Псевдонимизированная аналитика использования

Для улучшения продукта и выявления проблем Приложение отправляет статистику о действиях пользователя. Статистика собирается с использованием псевдонимного идентификатора (Firebase UID) без передачи имени, email и иных прямых идентификаторов. Сбор отключается в настройках: «Настройки → Приватность → Аналитика». Согласие на сбор запрашивается при первом запуске и может быть отозвано в любой момент.

Поскольку псевдонимный идентификатор технически связан с учётной записью пользователя, обработка таких данных является обработкой персональных данных в смысле ч. 1 ст. 3 Закона № 152-ФЗ и осуществляется на основании отдельного согласия пользователя.

Собираемые события (полный перечень):

  • Активация: первый запуск, завершение онбординга, выбор роли, регистрация, добавление первого ученика, создание первого занятия, отметка занятия завершённым.
  • Использование: отмена занятия, выдача ДЗ, проставление оценки за ДЗ, добавление пробника ЕГЭ/ОГЭ, использование AI-генератора, запуск Focus Mode, импорт из Календаря, включение Demo Mode, установка виджета.
  • Оплата: показ страницы тарифов, закрытие страницы без действий, ввод кода активации (сам код НЕ передаётся — только длина строки), успех/отказ активации, истечение подписки.
  • Приём оплаты в карточке ученика: открытие листа быстрой оплаты, подтверждение приёма оплаты (с признаками — был ли это аванс сверх долга, диапазон числа закрытых уроков, диапазон числа автоматически достроенных финансовых записей), отмена листа без сохранения.
  • Удержание: факт сессии приложения.

Собираемые параметры (полный перечень):

  • Роль пользователя (репетитор, ученик, родитель).
  • Тип подписки («бесплатная», «стандарт», «про»).
  • Диапазон числа учеников и уроков — всегда округляется до bucket’а (0, 5, 10, 20, 50, 100, 500, 1000). Точное число НЕ передаётся.
  • Тип события ДЗ: наличие описания, дедлайна, факт проставления оценки 2–5.
  • Тип пробника (ЕГЭ профильный / ЕГЭ база / ОГЭ) — без предмета и результата.
  • Источник триггера страницы тарифов (лимит учеников, настройки, онбординг).
  • Диапазон суммы текущего долга и суммы принимаемой оплаты — всегда округляется до bucket’а (например, «1500–3000 ₽»). Точная сумма НЕ передаётся.
  • Признак авансовой оплаты (да/нет) и диапазоны числа закрытых уроков и автоматически достроенных финансовых записей — округляются до bucket’а. Точные числа и идентификаторы уроков НЕ передаются.
  • Код ошибки активации (недействителен / истёк / уже использован).
  • Версия операционной системы, модель устройства, страна определения по IP.
  • Firebase UID пользователя (псевдонимный идентификатор, создаётся Firebase Auth при регистрации, не связан с ФИО).

НЕ собираются ни в каком виде: имена, адреса электронной почты, номера телефонов, содержимое ДЗ, текст заметок репетитора, свободный текст размышлений ученика, названия предметов (могут нести имя ученика — «Геометрия Пети»), идентификаторы конкретного ученика/урока/оценки, точные числовые count’ы, рекламный идентификатор IDFA, cross-app tracking.

Данные обрабатываются на серверах Google Cloud Platform в дата-центре us-central1 (США). Передача осуществляется на условиях трансграничной передачи (см. раздел 5 настоящей Политики).

11.3. Право отказа от анонимной аналитики

Пользователь вправе в любой момент отказаться от сбора событий аналитики:

  • Разово при первом запуске: на экране онбординга снять галочку «Помогать улучшать Repit Online».
  • В любой момент: Настройки → Приватность → переключатель «Анонимная аналитика».

При отключении сбора:

  • Новые события не отправляются немедленно.
  • Локальная очередь событий, не отправленных на сервер, очищается.
  • Уже собранные события на сервере удаляются по запросу пользователя (кнопка «Удалить мои события аналитики» в том же разделе) или автоматически при удалении учётной записи.

Отключение аналитики не влияет на работу основных функций Приложения. Отключение является бесплатным и не требует обоснования.

11.4. Сроки хранения событий аналитики

Сырые события (каждое отдельное действие пользователя) хранятся не более 90 дней с момента записи. По истечении этого срока события автоматически удаляются скриптом очистки.

Ежедневные агрегированные метрики (обезличенные счётчики: количество активных пользователей, проведённых занятий, конверсия по тарифам) хранятся бессрочно и не содержат персональных данных.

Удаление учётной записи пользователя влечёт одновременное удаление всех связанных событий аналитики за пределами бессрочных агрегатов, в которых конкретный пользователь уже не идентифицируется.

12. Изменения Политики

Оператор вправе вносить изменения в настоящую Политику. О существенных изменениях пользователь уведомляется в Приложении не позднее чем за 14 дней до вступления изменений в силу; продолжение использования Приложения после этого срока означает согласие с новой редакцией. Если пользователь не согласен с изменениями, он вправе прекратить использование Приложения и удалить учётную запись.

Актуальная версия Политики всегда доступна в Приложении: Настройки → О приложении → Политика конфиденциальности, а также по адресу repit-online.web.app/privacy.

13. Контакты Оператора

По всем вопросам, связанным с обработкой персональных данных, включая запросы на реализацию прав, отзыв согласия, жалобы:

  • Email: support@repit-online.ru
  • Ответственный за обработку персональных данных: Дмитриев Д. О.
  • Срок рассмотрения запроса: не более 30 календарных дней с момента получения.