Регистрация

Политика обработки персональных данных

Последнее обновление: 19 апреля 2026 г.

1. Общие положения

Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон»), а также Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Оператором персональных данных выступает сервис НатПаф, доступный по адресу nutpath.ru и app.nutpath.ru (далее — «Оператор», «НатПаф»).

Настоящая Политика определяет порядок обработки персональных данных пользователей, принятые меры по их защите и права субъектов персональных данных.

Контактные данные оператора:
Сайт: nutpath.ru
Электронная почта: privacy@nutpath.ru

2. Основные понятия

В настоящей Политике используются следующие понятия:

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
  • Оператор — физическое лицо, юридическое лицо или индивидуальный предприниматель, самостоятельно или совместно с другими лицами организующее обработку персональных данных.
  • Обработка персональных данных — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
  • Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются оператором.
  • Согласие субъекта — свободное, конкретное, информированное и сознательное волеизъявление субъекта персональных данных.
  • Автоматизированная обработка — обработка с применением вычислительной техники.

3. Перечень обрабатываемых персональных данных

3.1. Данные родителей и взрослых участников

  • Имя (отображаемое имя в сервисе);
  • Пол;
  • Адрес электронной почты;
  • Пароль (в виде криптографического хэша Argon2);
  • Изображение профиля (аватар) — обрабатывается при добровольной загрузке.

3.2. Данные детей (субъекты — несовершеннолетние)

  • Имя ребёнка;
  • Пол ребёнка;
  • Возрастная группа (7–11 лет или 12–14 лет);
  • Изображение профиля (аватар) — обрабатывается при добровольной загрузке;
  • Токен входа (уникальный идентификатор для аутентификации без пароля).

3.3. Данные семьи

  • Название семейного пространства;
  • Состав семьи (список участников, их роли и связи).

3.4. Данные об активности

  • Цели, задачи и их параметры (тип, сложность, расписание);
  • Записи о выполнении задач (дата, время, статус выполнения);
  • Прогресс по навыкам и история серий выполнений;
  • История начислений и баланс Орешков (внутренняя система поощрений);
  • Запросы на получение наград и их статусы.

3.5. Пользовательский контент

  • Тексты статей и дневников, опубликованных в разделе «Библиотека»;
  • Параметры профиля автора (псевдоним, настройки видимости) — при добровольном заполнении.

3.6. Технические данные

  • Аутентификационный cookie nutpath_token — JWT-токен сессии, передаваемый в защищённом httpOnly cookie;
  • IP-адреса и журналы запросов — для обеспечения безопасности сервиса;
  • Аналитические cookie сервиса Яндекс.Метрика (_ym_uid, _ym_d и другие служебные файлы) — устанавливаются только при явном согласии пользователя; используются для сбора обезличенной статистики посещений.

4. Цели обработки персональных данных

  • Предоставление функциональности сервиса: регистрация аккаунтов, создание семейного пространства, управление задачами и целями, отображение прогресса.
  • Аутентификация и авторизация: проверка личности пользователей и управление правами доступа.
  • Мотивационная система: отображение и начисление Орешков за выполнение задач типа «Квест», формирование наград.
  • Отслеживание прогресса: ведение истории навыков, серий и достижений ребёнка.
  • Клиентская поддержка: обработка обращений пользователей.
  • Обеспечение безопасности: предотвращение несанкционированного доступа, защита данных.
  • Улучшение сервиса: анализ обезличенных агрегированных данных об использовании сервиса.

5. Правовые основания обработки

Обработка персональных данных осуществляется на следующих основаниях:

  • Согласие субъекта персональных данных (ст. 6, ч. 1, п. 1; ст. 9 Закона) — при регистрации родитель даёт согласие на обработку собственных персональных данных и данных добавляемых детей;
  • Исполнение договора (ст. 6, ч. 1, п. 5 Закона) — обработка необходима для исполнения договора об использовании сервиса, заключаемого при регистрации;
  • Законные интересы оператора (ст. 6, ч. 1, п. 7 Закона) — в части обеспечения безопасности и предотвращения злоупотреблений.

6. Порядок и условия обработки

Обработка персональных данных осуществляется с применением средств автоматизации (автоматизированная обработка).

Оператор совершает следующие действия с персональными данными:

  • сбор — при регистрации и в процессе использования сервиса;
  • запись — сохранение в базе данных;
  • систематизация — хранение в структурированном виде;
  • накопление — пополнение данных по мере использования;
  • хранение — в течение срока действия аккаунта;
  • уточнение (обновление, изменение) — при редактировании пользователем профиля;
  • использование — для предоставления функциональности сервиса;
  • блокирование — при мягком удалении аккаунта;
  • уничтожение — по запросу субъекта или при ликвидации сервиса.

7. Сбор, хранение и уничтожение данных

Сбор: данные собираются при регистрации, при вводе информации в интерфейсе сервиса, а также автоматически при использовании сервиса (журналы, cookie).

Хранение: данные хранятся на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ст. 18, ч. 5 Закона о локализации данных российских граждан.

Сроки хранения: персональные данные хранятся до момента удаления аккаунта пользователем или по истечении 3 лет с момента последнего использования сервиса.

Уничтожение: по запросу субъекта или по истечении сроков хранения данные уничтожаются в течение 30 дней (ст. 21 152-ФЗ).

8. Трансграничная передача

Трансграничная передача персональных данных (передача на территорию иностранных государств) не осуществляется. Все данные обрабатываются на серверах, находящихся на территории Российской Федерации.

9. Передача данных третьим лицам

Оператор не продаёт персональные данные третьим лицам. Передача данных может осуществляться только в следующих случаях:

  • Провайдеры инфраструктуры: хостинг-провайдеры и провайдеры облачного хранилища, обеспечивающие работу сервиса, — в объёме, минимально необходимом для оказания услуг, на основании договоров с условиями конфиденциальности;
  • Яндекс.Метрика (ООО «Яндекс», ИНН 7736207543): обезличенные данные о посещениях сайта — в целях веб-аналитики, на основании согласия субъекта. Данные обрабатываются на серверах ООО «Яндекс» на территории Российской Федерации;
  • Государственные органы: при наличии законного требования и в установленном законодательством Российской Федерации порядке.

10. Права субъектов персональных данных

В соответствии с Законом субъект персональных данных имеет право:

  • На доступ — получить сведения об обрабатываемых персональных данных (ст. 14 Закона);
  • На уточнение — требовать уточнения неполных, неточных или устаревших данных (ст. 21 Закона);
  • На блокирование — требовать временного прекращения обработки данных (ст. 21 Закона);
  • На уничтожение — требовать удаления данных при отсутствии законных оснований для их обработки (ст. 21 Закона);
  • На отзыв согласия — отозвать согласие на обработку персональных данных в любое время (ст. 9, ч. 2 Закона); отзыв не влияет на законность обработки, осуществлённой до момента отзыва;
  • На обжалование — обжаловать действия или бездействие оператора в Роскомнадзор или в судебном порядке.

Для реализации прав необходимо направить письменный запрос по адресу: privacy@nutpath.ru. Запрос на предоставление информации рассматривается в течение 10 рабочих дней (ст. 20 152-ФЗ). Запрос на уничтожение данных исполняется в течение 30 дней (ст. 21 152-ФЗ).

11. Обработка данных несовершеннолетних

НатПаф предназначен для детей в возрасте 7–14 лет, которые используют сервис под контролем родителей. Дети не регистрируются самостоятельно.

Учётная запись ребёнка создаётся исключительно родителем или иным законным представителем. Создавая учётную запись ребёнка, родитель даёт согласие на обработку персональных данных ребёнка в соответствии с ст. 9, ч. 6 Закона.

Мы обрабатываем минимально необходимый объём данных ребёнка: имя, пол, возрастную группу и данные об активности в сервисе. Коммерческая обработка данных детей, их передача в рекламных целях и профилирование не осуществляются.

12. Меры по обеспечению безопасности

Оператор принимает следующие технические и организационные меры защиты:

  • Криптографическая защита паролей: пароли хранятся в виде хэша алгоритмом Argon2 — восстановление исходного пароля невозможно;
  • Защищённые сессии: аутентификация через httpOnly-cookie, передаваемый только по зашифрованному каналу HTTPS;
  • Разграничение доступа: данные семьи доступны только участникам этой семьи; административный доступ ограничен авторизованным персоналом;
  • Защищённое хранилище файлов: аватары и изображения хранятся в объектном хранилище с ограниченным доступом;
  • Шифрование канала: все данные передаются по протоколу HTTPS (TLS 1.2+);
  • Идемпотентность операций: механизмы защиты от дублирования начислений и двойного выполнения операций.

13. Ответственность оператора

В случае утечки персональных данных по вине оператора последний обязуется уведомить Роскомнадзор в соответствии с требованиями законодательства и принять все необходимые меры для минимизации последствий.

Оператор не несёт ответственности за действия третьих лиц, получивших доступ к данным в результате нарушения пользователем правил безопасности (передача пароля посторонним, использование незащищённых устройств и т. п.).

14. Заключительные положения

Настоящая Политика вступает в силу с даты её публикации на сайте nutpath.ru. Оператор вправе в одностороннем порядке вносить изменения в настоящую Политику.

При существенных изменениях пользователи будут уведомлены по электронной почте или через уведомление в сервисе. Продолжение использования сервиса после уведомления считается согласием с обновлённой Политикой.

К настоящей Политике и отношениям между субъектом персональных данных и оператором применяется законодательство Российской Федерации.

15. Реквизиты оператора

Оператор: Шарков Владислав Андреевич
Статус: физическое лицо (самозанятый, плательщик НПД)
ИНН: 631307689902
Место нахождения: г. Самара, Российская Федерация
Сайт: nutpath.ru
Электронная почта для обращений по вопросам ПДн: privacy@nutpath.ru