1. Общие положения

Настоящая Политика конфиденциальности (далее – "Политика") определяет порядок сбора, обработки, хранения и защиты персональных данных пользователей мобильного приложения Shanyraq Study (далее – "Сервис").

Shanyraq Study – это мобильное приложение, для дополнительного образования школьников и репетиторских услуг по школьным предметам. Владельцем и оператором Сервиса является ТОО «Shanyraq Study» (БИН: 250140021373) (далее – "Компания" или "мы").
Настоящая Политика является неотъемлемой частью Пользовательского соглашения и других документов, регулирующих использование Сервиса, доступных по адресу: https://shanyraqstudy.kz.

Используя Сервис и предоставляя нам свои персональные данные, вы выражаете согласие с условиями настоящей Политики. Мы оставляем за собой право вносить изменения в Политику без предварительного уведомления. Актуальная версия всегда доступна по вышеуказанному адресу.

2. Цели обработки персональных данных

Мы обрабатываем персональные данные пользователей для следующих целей:

• предоставления доступа к функционалу Сервиса (оптимизация учебной программы для более эффективного обучения, связь между аккаунтами учеников и их родителей);
• улучшения качества работы Сервиса, разработки новых функций и сервисов;
• обеспечения безопасности пользователей и предотвращения мошеннических действий;
• соблюдения законодательства Республики Казахстан;
• обработки запросов в службу поддержки;
• проведения маркетинговых кампаний и рассылок (e-mail, SMS, PUSH-уведомления) с возможностью отказа от них;
• Обработка персональных данных осуществляется в соответствии с Конституцией Республики Казахстан, Законом Республики Казахстан "О персональных данных и их защите" и иными нормативно-правовыми актами.

3. Какие данные мы собираем и обрабатываем

3.1. Если вы посещаете Сервис:

• данные о вашем устройстве (технические характеристики, дата и время доступа);
• данные о сети (IP-адрес, способ подключения);
• информация о посещенных страницах и взаимодействиях с Сервисом.

3.2. Если вы регистрируетесь как родитель:

• все данные, указанные в разделе "Если вы посещаете Сервис";
• фамилия, имя, отчество;
• город проживания;
• номер телефона, адрес электронной почты;
• иные данные, которые вы указываете в своем профиле.

3.3. Если вы регистрируетесь как ученик:

• все данные, указанные в разделе "Если вы посещаете Сервис";
• фамилия, имя, отчество;
• город проживания;
• номер телефона, адрес электронной почты;
• иные данные, которые вы предоставляете в процессе использования Сервиса.
• иные данные, которые вы указываете в своем профиле.

3.4. Если вы регистрируетесь как репетитор:

• все данные, указанные в разделе "Если вы посещаете Сервис";
• фамилия, имя, отчество;
• город проживания/работы;
• номер телефона, адрес электронной почты;
• информация об образовании (учебное заведение, специальность, степень);
• иные данные, которые вы указываете в своем профиле.

3.5. Если вы обращаетесь в службу поддержки:

• Мы обрабатываем информацию, содержащуюся в вашем обращении, а также связываем ее с уже имеющимися данными для предоставления ответа.

4. Основания обработки персональных данных

Мы обрабатываем ваши персональные данные на основании:

• вашего согласия, предоставляемого при регистрации, заполнении форм обратной связи, входе в аккаунт;
• выполнения договорных обязательств перед пользователями;
• соблюдения требований законодательства Республики Казахстан.

Срок хранения данных составляет 3 года с момента удаления аккаунта либо достижения цели их обработки. В случаях, предусмотренных законодательством, срок хранения может быть увеличен.

5. Передача персональных данных третьим лицам

Мы можем передавать ваши персональные данные:

• выбранному вами репетитору или ученику для установления связи;
• нашим партнерам, предоставляющим услуги в рамках Сервиса (например, платежные системы);
• государственным органам по официальному запросу, согласно законодательству Республики Казахстан.

Среди наших партнеров:

• банковские и финансовые организации (например, ТОО «Freedom Pay», АО «Kaspi Bank»);
• рекламные сервисы (например, Meta и Google).

6. Запрет на автоматизированный сбор данных

Любая автоматизированная обработка данных пользователей, в том числе парсинг, запрещена без письменного разрешения Компании.

7. Хранение и обработка данных

Хранение и обработка персональных данных осуществляется на территории Республики Казахстан. Базы данных Сервиса размещены в г. Алматы.

9. Отзыв согласия на обработку данных

Вы можете отозвать свое согласие на обработку персональных данных, отправив запрос в службу поддержки по адресу: app@shanyraqstudy.kz.

При наличии вопросов по Политике конфиденциальности вы также можете обратиться в службу поддержки по указанному адресу.

10. Интеграция с Google API и Безопасность Данных

Наш Сервис использует Google API, чтобы предоставить нашим клиентам удобный инструмент для регистрации и повторного входа в аккаунт.

Для обеспечения максимальной безопасности ваших данных при работе с Google API мы придерживаемся следующих принципов:

• Принцип минимальных привилегий: Мы запрашиваем доступ только к данным, которые необходимы для работы функции — (scope: https://www.googleapis.com/auth). Мы не запрашиваем и не получаем доступ к вашей электронной почте, контактам, файлам или любым другим данным вашего Google-аккаунта.
• Шифрование и безопасное хранение токенов: Все токены доступа (access и refresh токены), полученные от Google, хранятся в нашей базе данных исключительно в зашифрованном виде с использованием надежного алгоритма шифрования (AES-256-CBC). Ключи шифрования хранятся отдельно от базы данных и не содержатся в исходном коде, что исключает несанкционированный доступ к ним в состоянии покоя.
• Защита данных при передаче: Все взаимодействие между нашим Сервисом и серверами Google API происходит по защищенному протоколу HTTPS, что обеспечивает шифрование данных во время их передачи.
• Защита процесса авторизации: Процесс авторизации вашего Google-аккаунта защищен от атак типа CSRF (Cross-Site Request Forgery). Мы используем уникальный зашифрованный параметр 'state' для проверки подлинности запроса, что гарантирует, что только вы можете инициировать привязку своего аккаунта.
• Ограничение логирования: Мы никогда не сохраняем ваши токены доступа или другие конфиденциальные данные в логах или временных файлах в открытом виде. В случае возникновения ошибок в журналы записывается только техническая информация об инциденте, не содержащая персональных данных.
• Безопасное управление токенами: Мы безопасно управляем жизненным циклом токенов, включая их своевременное обновление (refresh), чтобы минимизировать риски, связанные с использованием долгоживущих токенов, и обеспечить бесперебойную работу интеграции.

Используя функцию интеграции с Google, вы соглашаетесь на обработку данных в соответствии с вышеописанными принципами. Вы можете в любой момент отозвать доступ нашего приложения к вашему Google-аккаунту через настройки безопасности вашего аккаунта Google.

11. Соответствие требованиям Google API Services User Data Policy

Мы осознаём важность защиты конфиденциальности и соблюдаем политику обработки пользовательских данных Google API Services.

В частности:

• Мы не используем, не передаём и не продаём данные, полученные от Google API, третьим лицам в рекламных, маркетинговых или иных коммерческих целях;
• Мы не используем данные в целях, несовместимых с заявленными функциями мобильного приложения Shanyraq Study;
• Данные, полученные с помощью Google API, используются исключительно для регистрации и входа в аккаунт;
• Вся обработка данных осуществляется локально на серверах платформы, и мы не передаём данные третьим лицам, за исключением случаев, предусмотренных законодательством Республики Казахстан;
• Пользователь может в любой момент отозвать доступ к своим данным в настройках Google-аккаунта или через интерфейс мобильного приложения.

12. Ответственность сторон

Мы принимаем все возможные технические и организационные меры для защиты персональных данных пользователей от утраты, несанкционированного доступа, изменения и распространения.

Однако пользователь также обязан:

• самостоятельно соблюдать меры безопасности (не передавать логин/пароль третьим лицам);
• своевременно информировать Сервис о подозрениях на несанкционированный доступ;
• внимательно читать настоящую Политику и условия предоставления доступа к данным.