POLICY ON THE PROCESSING OF PERSONAL DATA OF USERS OF THE girafe.ai WEBSITE AND THE MSAI PROGRAM PAGES


1. General Provisions
1.1. This Policy on the processing of personal data of users of the girafe.ai website and the MSAI program pages (hereinafter referred to as the “Policy”) defines the procedure for processing personal data and the measures taken to ensure the security of personal data by Neychev Radoslav Georgievich (hereinafter referred to as the “Operator”).
1.2. This Policy has been developed in accordance with Federal Law No. 152-FZ dated July 27, 2006 “On Personal Data,” Federal Law No. 38-FZ dated March 13, 2006 “On Advertising,” and other applicable regulatory legal acts of the Russian Federation.
1.3. This Policy applies to all information that the Operator may receive about users of the website https://girafe.ai/, the MSAI program pages, feedback forms, event registration forms, application forms, subscription forms, as well as during communication with users by email, phone, Telegram, and other communication channels.
1.4. The Operator processes personal data in compliance with the principles of legality and fairness, limitation of processing to specific and predetermined purposes, prevention of excessive processing of personal data, and ensuring the accuracy, sufficiency, and relevance of personal data.
1.5. If the user does not agree with the terms of this Policy, the user must refrain from submitting personal data through the Operator’s website, forms, and other communication channels.

2. Information About the Operator
Personal Data Operator: Neychev Radoslav Georgievich.
Operator status: individual, representative of the girafe-ai project.
Contact email for personal data matters: neychevr@yandex.ru.
Contact email for MSAI program matters: msai@phystech.edu.
Website: https://girafe.ai/.
MSAI program page: https://girafe.ai/msai-program/.

3. Key Terms
3.1. Personal data means any information relating directly or indirectly to an identified or identifiable individual.
3.2. User means any person who visits the website, fills out forms, submits an application, registers for an event, subscribes to a mailing list, or otherwise interacts with the Operator regarding the girafe-ai projects and the MSAI program.
3.3. Operator means a person who independently or jointly with other persons organizes and/or carries out the processing of personal data, and also determines the purposes of processing, the scope of personal data, and the actions performed with such data.
3.4. Processing of personal data means any action or set of actions performed with personal data, including collection, recording, systematization, accumulation, storage, clarification, retrieval, use, transfer, provision, access, depersonalization, blocking, deletion, and destruction.
3.5. Automated processing of personal data means the processing of personal data using computer technology.
3.6. Mailing means the sending of informational, educational, organizational, advertising, and/or other messages to the user by email or through other communication channels.
3.7. Transactional messages mean messages related to processing the user’s application, registering the user for an event, providing requested materials, organizing admission, providing a consultation, or carrying out another action initiated by the user.
3.8. Informational and advertising messages mean messages about programs, courses, events, projects, news, special terms, reminders, useful materials, and other offers of girafe-ai / MSAI that are not strictly necessary for processing a specific user application.
3.9. Cookies mean small pieces of data that the website may store on the user’s device to ensure the operation of the website, perform analytics, remember settings, assess advertising effectiveness, and improve the user experience.

4. Categories of Personal Data Subjects
The Operator may process personal data of the following categories of persons:
4.1. Visitors to the website https://girafe.ai/ and the MSAI program pages.
4.2. Prospective applicants to the MSAI program.
4.3. Users who fill out feedback forms, applications, registrations for an Open Day, webinar, consultation, preparatory course, or other event.
4.4. Users who have subscribed to email newsletters or other messages from girafe-ai / MSAI.
4.5. Alumni, students, teachers, and other persons who have provided data for communication, participation in surveys, interviews, testimonials, or publications.
4.6. Representatives of partners, educational organizations, companies, and other counterparties interacting with the girafe-ai / MSAI projects.

5. Personal Data Processed
The Operator may process the following categories of personal data, depending on the specific form, purpose, and communication channel.
5.1. Data Voluntarily Provided by the User
The Operator may process the following data:
first name;
last name;
patronymic, if voluntarily provided by the user;
email address;
phone number;
Telegram username or another messenger contact;
country and city of residence;
citizenship, if provided by the user in the form;
level of education;
information about educational and professional experience;
program, course, or event of interest;
text of a message, question, comment, or application;
other information voluntarily provided by the user in a questionnaire, survey, or feedback form.
5.2. Technical Data
When the user visits the website, the following data may be processed automatically:
IP address;
browser and device information;
operating system type;
date and time of the website visit;
source of referral to the website;
pages visited by the user;
user actions on the website;
cookies and similar technologies;
UTM tags and other technical parameters of advertising and analytics campaigns.
5.3. Data for Email Mailings
When the user subscribes to a mailing list or consents to receive messages, the following data may be processed:
first name;
email address;
subscription status;
date, time, source, and method of obtaining consent;
IP address and technical data related to recording consent;
history of sending, delivery, opening of emails, and link clicks;
fact of unsubscribing from the mailing list.
5.4. Data for Testimonials, Photos, and Videos
If the user provides a testimonial, photo, video, or consent to publication, the following data may be processed:
first and last name;
photographic image;
video image;
voice;
position, company, study program, and year of graduation;
testimonial text;
links to social networks or professional profiles, if voluntarily provided by the user.
5.5. Data Not Collected Through the Standard Landing Page Form Without a Separate Process
The Operator does not collect the following data through the standard landing page form. Such data may be submitted independently by the user at the stage of admission to MIPT or another educational organization and processed as part of a separate process:
passport data;
passport scans;
diplomas and diploma supplements;
notarized translations;
health information;
biometric data for identification;
special categories of personal data;
payment card data.

6. Purposes of Personal Data Processing
The Operator processes personal data only for predetermined and lawful purposes.
6.1. Processing an application for the MSAI program, a course, a consultation, or an event.
Data that may be used: first name, last name, email address, phone number, Telegram contact, country, information about education and experience, and application text.
Legal basis: user consent; actions initiated by the user prior to the conclusion of a contract.
6.2. Communicating with the user regarding admission, education, events, and girafe-ai projects.
Data that may be used: first name, email address, phone number, Telegram contact, and content of the inquiry.
Legal basis: user consent; actions initiated by the user.
6.3. Sending materials requested by the user, including an applicant guide, program information, instructions, and webinar links.
Data that may be used: first name, email address, contact details, and selected material.
Legal basis: user consent; actions initiated by the user.
6.4. Registration and participation in an Open Day, webinar, consultation, preparatory course, or other event.
Data that may be used: first name, email address, phone number, Telegram contact, and information about the selected event.
Legal basis: user consent; actions initiated by the user.
6.5. Sending organizational messages regarding an application or registration.
Data that may be used: first name, email address, phone number, Telegram contact, and application or registration status.
Legal basis: user consent; actions initiated by the user.
6.6. Sending email newsletters about programs, events, courses, projects, news, and special terms.
Data that may be used: first name, email address, subscription status, and mailing history.
Legal basis: separate consent to receive informational and advertising messages.
6.7. Website analytics and improvement of the landing page.
Data that may be used: IP address, cookies, browser data, website actions, and UTM tags.
Legal basis: user consent and/or the legitimate interest of the Operator.
6.8. Assessment of advertising campaign effectiveness.
Data that may be used: UTM tags, referral source, technical data, and conversion data.
Legal basis: user consent and/or the legitimate interest of the Operator.
6.9. Compliance with legal requirements, responses to requests, and protection of the Operator’s rights.
Data that may be used: data necessary for the relevant purpose.
Legal basis: legal requirements; legitimate interest of the Operator.
6.10. Publication of testimonials, photos, and videos of users.
Data that may be used: first name, photo, video, testimonial text, position, company, and year of graduation.
Legal basis: separate consent to publication.

7. Legal Grounds for Processing
7.1. The Operator processes personal data on the following grounds:
consent of the personal data subject to the processing of personal data;
actions initiated by the personal data subject prior to the conclusion of a contract;
conclusion and performance of a contract, if the user becomes a student, attendee, participant in a course, or participant in an event;
fulfillment of obligations provided for by the legislation of the Russian Federation;
exercise of the rights and legitimate interests of the Operator, provided that this does not violate the rights and freedoms of the user;
separate consent to receive informational and advertising messages;
separate consent to publication of a testimonial, image, video, and other materials, where applicable.
7.2. The user’s consent must be specific, substantive, informed, conscious, and unambiguous.
7.3. Consent to the processing of personal data for processing an application and consent to receive informational and advertising messages are obtained separately.
7.4. Refusal to consent to advertising or informational mailings must not prevent the user from submitting an application for the program if such mailings are not necessary for processing the application.

8. Actions Performed With Personal Data
The Operator may perform the following actions with personal data:

• collection;
• recording;
• systematization;
• accumulation;
• storage;
• clarification, updating, and modification;
• retrieval;
• use;
• transfer, provision, and access;
• depersonalization;
• blocking;
• deletion;
• destruction.

Processing may be carried out both with and without the use of automation tools.

9. Procedure for Obtaining User Consent
9.1. When submitting a form on the website, the user confirms consent to the processing of personal data by ticking the relevant checkbox.
9.2. The checkbox for consent to personal data processing must be separate, mandatory, and not pre-selected.
9.3. The checkbox for consent to receive informational and advertising messages must be separate, optional, and not pre-selected.
9.4. The Operator records the fact of obtaining consent, including the date, time, source, form, IP address, version of the consent text, and other technical information that allows the Operator to confirm that consent was obtained.
9.5. The user has the right to withdraw consent to personal data processing at any time by sending a request to the Operator’s email address.
9.6. The user has the right to unsubscribe from advertising or informational mailings at any time by using the unsubscribe link in an email or by sending a request to the Operator.
9.7. After withdrawal of consent, the Operator stops processing personal data unless there are other legal grounds for continuing the processing.

10. Email Mailings and Messages
10.1. The Operator may send the user transactional messages related to an application, registration, consultation, event, admission, provision of requested material, or another action initiated by the user.
10.2. The Operator may send the user informational and advertising messages about programs, courses, events, projects, news, and special terms of girafe-ai / MSAI only if the user has given separate prior consent.
10.3. The Operator may use an external email mailing service to send email messages.
10.4. The following data may be transferred to the email mailing service:
user’s first name;
email address;
subscription status;
subscription source;
date and time of obtaining consent;
information about email delivery, opening, link clicks, and unsubscribing;
other technical data necessary for sending messages and confirming consent.
10.5. Each advertising or informational email message must contain an option to unsubscribe from further messages.
10.6. The Operator does not use mailing addresses obtained from publicly available sources, purchased databases, third-party databases, or contacts for which there is no confirmed consent to receive messages from the Operator.
10.7. If the user has submitted an application for the program, the Operator may send organizational messages necessary for processing that application. Such messages must not replace advertising mailings.

11. Cookies, Analytics, and Advertising Tools
11.1. The website may use cookies and similar technologies to ensure proper operation of the website, analyze traffic, improve the user experience, and assess the effectiveness of advertising campaigns.
11.2. The following analytics services and advertising tools may be used on the website:
Yandex Metrica;
Google Analytics;
VK Pixel / VK Ads;
Yandex Direct / advertising pixels;
other analytics, CRM, and advertising attribution services.
11.3. The Operator must not transfer user identification data to analytics services unless this is provided for by the functionality of the relevant service and is supported by a separate legal basis.
11.4. The user may restrict or prohibit the use of cookies in browser settings. In this case, certain website functions may operate incorrectly.
11.5. If the website uses optional cookies, advertising pixels, or analytics tools that require user consent, the website must display a cookie banner with the option to accept or reject such technologies.

12. Transfer of Personal Data to Third Parties
12.1. The Operator does not disclose personal data to third parties without a legal basis.
12.2. The Operator may transfer personal data to third parties if such transfer is necessary to achieve the processing purposes and is carried out on the basis of user consent, a personal data processing assignment agreement, legal requirements, or another lawful basis.
12.3. Personal data may be transferred to the following categories of persons:
external email mailing services;
services for receiving and processing applications, including Google Forms, Google Sheets, Google Docs, or other services, if actually used;
CRM systems;
hosting providers;
web analytics services;
event registration services;
educational organizations and partners of the MSAI program, including MIPT, if the transfer is necessary to support admission or education;
contractors assisting with administration of the website, forms, mailings, events, and communications;
government authorities in cases provided for by law.
12.4. Transfer of data to MIPT or other educational partners is permitted only to the extent necessary for processing an application, organizing admission, providing consultation, supporting education, or carrying out another interaction related to the MSAI program.
12.5. If a third party processes personal data on behalf of the Operator, the Operator ensures that an agreement or another document is in place defining the terms of personal data processing by such party.
12.6. If a third party independently determines the purposes and methods of personal data processing, such party may act as an independent personal data operator. In this case, the processing of data by such party is governed by its own documents.

13. Cross-Border Transfer of Personal Data
13.1. Cross-border transfer of personal data may occur if users’ data is transferred or made available to persons located outside the Russian Federation, or if it is processed in services whose infrastructure is located outside the Russian Federation. The use of Google Forms, Google Sheets, Google Docs, Google Analytics, and other foreign services may constitute a cross-border transfer of personal data and requires separate verification.
13.2. Before starting a cross-border transfer of personal data, the Operator must comply with the requirements of the legislation of the Russian Federation, including submitting a notification to the authorized body if such notification is required.
13.3. Cross-border transfer of personal data may be associated with the use of the following services or processes:
Google Forms / Google Sheets / Google Docs;
Google Analytics;
foreign CRM or email services;
communication with foreign partners or applicants;
transfer of data to foreign educational partners.

14. Localization of Personal Data of Citizens of the Russian Federation
14.1. When collecting personal data of citizens of the Russian Federation through the website or other online forms, the Operator ensures compliance with the requirements of the legislation of the Russian Federation regarding recording, systematization, accumulation, storage, clarification, and retrieval of such personal data using databases located within the territory of the Russian Federation.
14.2. If the Operator uses third-party services to store and process data of citizens of the Russian Federation, the Operator must verify whether such services ensure compliance with the requirements for localization of personal data.

15. Personal Data Retention Periods
15.1. Users’ personal data is stored no longer than required for the purposes of processing, unless another period is established by law, contract, or another legal basis.
15.2. Data obtained through application and feedback forms may be stored until completion of the relevant admissions campaign, event, consultation, or other process, as well as for the period necessary to confirm the fact of interaction with the user and protect the Operator’s rights.
15.3. Data of email mailing subscribers is stored until the user unsubscribes, withdraws consent, or the mailing is discontinued.
15.4. Data confirming the fact of obtaining consent to the mailing may be stored after unsubscribing for the period necessary to confirm the legality of previously conducted mailings and to protect the Operator’s rights.
15.5. Technical data and web analytics data are stored for the periods established by the settings of the relevant services and the Operator’s internal rules.
15.6. After the purposes of processing have been achieved, the retention period has expired, consent has been withdrawn, or unlawful processing has been identified, personal data processing shall be terminated, and the personal data shall be deleted, destroyed, or depersonalized, unless there are other legal grounds for continuing the processing.

16. User Rights
The user has the right to:
16.1. Receive information concerning the processing of their personal data.
16.2. Request clarification, blocking, or destruction of personal data if it is incomplete, outdated, inaccurate, unlawfully obtained, or not necessary for the stated purpose of processing.
16.3. Withdraw consent to the processing of personal data.
16.4. Refuse to receive informational and advertising messages.
16.5. Request termination of personal data processing.
16.6. Appeal the actions or inaction of the Operator to the authorized body for the protection of the rights of personal data subjects or to a court.
16.7. Exercise other rights provided for by the legislation of the Russian Federation.

17. Procedure for User Requests
17.1. The user may send a request regarding personal data processing to the Operator’s email address: neychevr@yandex.ru.
17.2. It is advisable to indicate the following in the request:
full name or the name provided when making the request;
email address or another contact by which the user can be identified;
substance of the request;
action requested by the user, such as providing information, clarifying data, deleting data, stopping processing, unsubscribing from the mailing list, etc.
17.3. The Operator reviews users’ requests within the time limits provided for by the legislation of the Russian Federation.
17.4. If the request does not allow the user to be identified, the Operator has the right to request additional information necessary to fulfill the request.

18. Personal Data Protection Measures
18.1. The Operator takes the necessary legal, organizational, and technical measures to protect personal data from unlawful or accidental access, destruction, modification, blocking, copying, provision, distribution, and other unlawful actions.
18.2. Such measures may include:
restricting access to personal data;
using passwords and authentication tools;
separating access rights among team members;
controlling access to spreadsheets, CRM systems, mailing services, and forms;
entering into agreements with contractors and services that process personal data;
regularly checking the relevance of access rights;
removing access for persons who no longer participate in the project;
backup copying and other technical protection measures.
18.3. The Operator ensures the confidentiality of personal data and takes measures to ensure that access to such data is granted only to persons who need it to perform tasks related to the processing purposes.

19. Processing of Minors’ Data
19.1. The website and the MSAI program are intended for adult users and persons who have or are obtaining higher education.
19.2. The Operator does not intentionally collect personal data of minors without the consent of their legal representatives.
19.3. If the Operator becomes aware that personal data of a minor has been submitted without the required consent of a legal representative, the Operator will take measures to delete such data unless there are other legal grounds for processing.

20. Publication of Testimonials, Photos, Videos, and User Materials
20.1. The Operator may publish testimonials, photos, videos, name, position, company, year of graduation, and other user information only if the user has given separate consent to such publication.
20.2. Consent to publication of a testimonial, photo, or video must be separate from consent to the processing of personal data for an application or mailing.
20.3. The user has the right to withdraw consent to publication by sending a request to the Operator.
20.4. After withdrawal of consent, the Operator stops further use of the relevant materials and takes reasonable measures to remove the materials from resources controlled by the Operator.

21. Use of Telegram and Other Messengers
21.1. If the user independently joins a Telegram chat, writes to the Operator, or contacts representatives of girafe-ai in a messenger, the user transfers data to the relevant service under the terms of that service.
21.2. The Operator may use the Telegram username, user name, content of correspondence, and other information received in the messenger to respond to the inquiry, provide consultation, support an application, or inform the user upon their request.
21.3. The Operator must not add the user to an advertising email mailing list solely on the basis of correspondence in Telegram without separate consent to such mailing.

22. Policy Updates
22.1. The Operator has the right to amend this Policy.
22.2. The new version of the Policy enters into force from the moment it is posted on the website, unless otherwise specified in the new version.
22.3. The current version of the Policy is publicly available at: https://girafe.ai/privacy/.
22.4. The user is advised to periodically check the current version of the Policy.

23. Final Provisions
23.1. For all matters related to personal data processing, the user may contact the Operator by email: neychevr@yandex.ru.
23.2. In all matters not regulated by this Policy, the Operator is guided by the legislation of the Russian Federation.

Политика в отношении обработки персональных данных пользователей сайта girafe.ai / MSAI

1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных пользователей сайта girafe.ai и страниц программы MSAI (далее — Политика) определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, применяемые Нейчевым Радославом Георгиевичем (далее — Оператор).
1.2. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 13.03.2006 № 38-ФЗ «О рекламе» и иными применимыми нормативными актами Российской Федерации.
1.3. Политика применяется ко всей информации, которую Оператор может получить о пользователях сайта https://girafe.ai/, страницы программы MSAI, форм обратной связи, форм регистрации на мероприятия, форм подачи заявки, форм подписки, а также при коммуникации с пользователями по email, телефону, Telegram и иным каналам связи.
1.4. Оператор осуществляет обработку персональных данных с соблюдением принципов законности, справедливости, ограничения обработки достижением конкретных и заранее определенных целей, недопущения избыточной обработки персональных данных, обеспечения точности, достаточности и актуальности персональных данных.
1.5. Если пользователь не согласен с условиями настоящей Политики, он должен воздержаться от передачи персональных данных через сайт и формы Оператора.


2. Сведения об Операторе
Оператор персональных данных: Нейчев Радослав Георгиевич.
Статус Оператора: физическое лицо, представитель проекта girafe-ai.
Контактный email по вопросам персональных данных: neychevr@yandex.ru.
Контактный email по вопросам программы MSAI: msai@phystech.edu.
Сайт: https://girafe.ai/
Страница программы MSAI: https://girafe.ai/msai-program/


3. Основные понятия
3.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.
3.2. Пользователь — любое лицо, посещающее сайт, заполняющее формы, направляющее заявку, регистрирующееся на мероприятие, подписывающееся на рассылку или взаимодействующее с Оператором по вопросам проектов girafe-ai и программы MSAI.
3.3. Оператор — лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных и действия с ними.
3.4. Обработка персональных данных — любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение.
3.5. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
3.6. Рассылка — направление пользователю информационных, образовательных, организационных, рекламных и/или иных сообщений по email или иным каналам связи.
3.7. Транзакционные сообщения — сообщения, связанные с обработкой заявки пользователя, регистрацией на мероприятие, предоставлением запрошенных материалов, организацией поступления, консультацией или иным действием, инициированным пользователем.
3.8. Рекламные и информационные сообщения — сообщения о программах, курсах, мероприятиях, проектах, новостях, специальных условиях, напоминаниях, полезных материалах и иных предложениях girafe-ai / MSAI, не являющиеся строго необходимыми для обработки конкретной заявки пользователя.
3.9. Cookie-файлы — небольшие фрагменты данных, которые сайт может сохранять на устройстве пользователя для обеспечения работы сайта, аналитики, запоминания настроек, оценки эффективности рекламы и улучшения пользовательского опыта.


4. Категории субъектов персональных данных
Оператор может обрабатывать персональные данные следующих категорий лиц:
4.1. Посетители сайта https://girafe.ai/ и страниц программы MSAI.
4.2. Потенциальные абитуриенты программы MSAI.
4.3. Пользователи, заполняющие формы обратной связи, заявки, регистрации на день открытых дверей, вебинар, консультацию, подготовительный курс или иное мероприятие.
4.4. Пользователи, подписавшиеся на email-рассылку или иные сообщения girafe-ai / MSAI.
4.5. Выпускники, студенты, преподаватели и иные лица, которые передали данные для связи, участия в опросах, интервью, отзывах или публикациях.
4.6. Представители партнёров, образовательных организаций, компаний и иных контрагентов, взаимодействующих с проектами girafe-ai / MSAI.


5. Какие персональные данные обрабатываются
Оператор может обрабатывать следующие категории персональных данных в зависимости от конкретной формы, цели и канала взаимодействия.
5.1. Данные, которые пользователь передает самостоятельно

• имя;
• фамилия;
• отчество, если пользователь указывает его добровольно;
• адрес электронной почты;
• номер телефона;
• Telegram username или иной контакт в мессенджере;
• страна и город проживания;
• гражданство, если пользователь указывает его в форме;
• уровень образования;
• сведения об учебном и профессиональном опыте;
• интересующая программа, курс или мероприятие;
• текст сообщения, вопроса, комментария или заявки;
• сведения, которые пользователь добровольно указывает в анкете, опросе или форме обратной связи.

5.2. Технические данные
При посещении сайта могут автоматически обрабатываться:

• IP-адрес;
• сведения о браузере и устройстве;
• тип операционной системы;
• дата и время посещения сайта;
• источник перехода на сайт;
• страницы, которые пользователь посещает;
• действия пользователя на сайте;
• cookie-файлы и аналогичные технологии;
• UTM-метки и иные технические параметры рекламных и аналитических кампаний.

5.3. Данные для email-рассылок
При подписке на рассылку или согласии получать сообщения могут обрабатываться:

• имя;
• email;
• статус подписки;
• дата, время, источник и способ получения согласия;
• IP-адрес и технические данные, связанные с фиксацией согласия;
• история отправки, доставки, открытия писем и переходов по ссылкам;
• факт отписки от рассылки.

5.4. Данные для отзывов, фото и видео
Если пользователь предоставляет отзыв, фото, видео или согласие на публикацию, могут обрабатываться:

• имя и фамилия;
• фотоизображение;
• видеоизображение;
• голос;
• должность, компания, учебная программа, год выпуска;
• текст отзыва;
• ссылки на социальные сети или профессиональные профили, если пользователь предоставляет их добровольно.

5.5. Данные, которые не должны собираться через лендинг без отдельного процесса
Оператор не собирает через обычную форму лендинга следующие данные. Такие данные могут передаваться пользователем самостоятельно на этапе поступления в МФТИ или в иную образовательную организацию и обрабатываются в рамках отдельного процесса:

• паспортные данные;
• сканы паспорта;
• дипломы и приложения к диплому;
• нотариальные переводы;
• сведения о здоровье;
• биометрические данные для идентификации;
• специальные категории персональных данных;
• платёжные данные банковских карт.

6. Цели обработки персональных данных
Оператор обрабатывает персональные данные только для заранее определенных и законных целей.


7. Правовые основания обработки
7.1. Оператор обрабатывает персональные данные на следующих основаниях:

• согласие субъекта персональных данных на обработку персональных данных;
• действия по инициативе субъекта персональных данных до заключения договора;
• заключение и исполнение договора, если пользователь становится студентом, слушателем, участником курса или мероприятия;
• выполнение обязанностей, предусмотренных законодательством Российской Федерации;
• осуществление прав и законных интересов Оператора, если при этом не нарушаются права и свободы пользователя;
• отдельное согласие на получение информационных и рекламных сообщений;
• отдельное согласие на публикацию отзыва, изображения, видео и иных материалов — если применимо.

7.2. Согласие пользователя должно быть конкретным, предметным, информированным, сознательным и однозначным.
7.3. Согласие на обработку персональных данных для обработки заявки и согласие на получение информационных и рекламных сообщений оформляются отдельно.
7.4. Отказ от согласия на рекламную или информационную рассылку не должен препятствовать отправке заявки на программу, если такая рассылка не является необходимой для обработки заявки.


8. Действия с персональными данными
Оператор может совершать с персональными данными следующие действия:

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение, обновление, изменение;
• извлечение;
• использование;
• передача, предоставление, доступ;
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

Обработка может осуществляться как с использованием средств автоматизации, так и без их использования.


9. Порядок получения согласия пользователя
9.1. При отправке формы на сайте пользователь подтверждает согласие на обработку персональных данных путем проставления отметки в соответствующем чекбоксе.
9.2. Чекбокс согласия на обработку персональных данных должен быть отдельным, обязательным и не должен быть заранее отмечен.
9.3. Чекбокс согласия на получение информационных и рекламных сообщений должен быть отдельным, необязательным и не должен быть заранее отмечен.
9.4. Оператор фиксирует факт получения согласия, включая дату, время, источник, форму, IP-адрес, версию текста согласия и иные технические сведения, позволяющие подтвердить получение согласия.
9.5. Пользователь вправе в любой момент отозвать согласие на обработку персональных данных, направив обращение на email Оператора.
9.6. Пользователь вправе в любой момент отказаться от рекламной или информационной рассылки по ссылке отписки в письме или направив обращение Оператору.
9.7. После отзыва согласия Оператор прекращает обработку персональных данных, если отсутствуют иные законные основания для продолжения обработки.


10. Email-рассылки и сообщения
10.1. Оператор может направлять пользователю транзакционные сообщения, связанные с заявкой, регистрацией, консультацией, мероприятием, поступлением, предоставлением запрошенного материала или иным действием, инициированным пользователем.
10.2. Оператор может направлять пользователю информационные и рекламные сообщения о программах, курсах, мероприятиях, проектах, новостях и специальных условиях girafe-ai / MSAI только при наличии отдельного предварительного согласия пользователя.
10.3. Для отправки email-сообщений Оператор может использовать внешний сервис email-рассылок.
10.4. Для сервиса email-рассылок могут передаваться следующие данные:

• имя пользователя;
• email;
• статус подписки;
• источник подписки;
• дата и время получения согласия;
• сведения о доставке, открытии писем, переходах по ссылкам и отписке;
• иные технические данные, необходимые для отправки сообщений и подтверждения согласия.

10.5. Каждое рекламное или информационное email-сообщение должно содержать возможность отказаться от получения дальнейших сообщений.
10.6. Оператор не использует для рассылок адреса, полученные из открытых источников, приобретенные базы, базы третьих лиц или контакты, по которым отсутствует подтверждение согласия на получение сообщений от Оператора.
10.7. Если пользователь оставил заявку на программу, Оператор может направлять ему организационные сообщения, необходимые для обработки этой заявки. Такие сообщения не должны подменять собой рекламную рассылку.


11. Cookies, аналитика и рекламные инструменты
11.1. Сайт может использовать cookie-файлы и аналогичные технологии для обеспечения корректной работы сайта, аналитики посещаемости, улучшения пользовательского опыта и оценки эффективности рекламных кампаний.
11.2. На сайте могут использоваться следующие сервисы аналитики и рекламные инструменты:

• Яндекс Метрика
• Google Analytics
• VK Pixel / VK Реклама
• Яндекс Директ / рекламные пиксели
• иные сервисы аналитики, CRM и рекламной атрибуции

11.3. Оператор не должен передавать в сервисы аналитики идентификационные данные пользователя, если это не предусмотрено функциональностью соответствующего сервиса и не оформлено отдельным правовым основанием.
11.4. Пользователь может ограничить или запретить использование cookie в настройках браузера. При этом отдельные функции сайта могут работать некорректно.
11.5. Если на сайте используются необязательные cookie, рекламные пиксели или аналитические инструменты, требующие согласия пользователя, на сайте должен быть размещен cookie-баннер с возможностью принять или отклонить такие технологии.


12. Передача персональных данных третьим лицам
12.1. Оператор не раскрывает персональные данные третьим лицам без законного основания.
12.2. Оператор может передавать персональные данные третьим лицам, если такая передача необходима для достижения целей обработки, осуществляется на основании согласия пользователя, договора поручения обработки персональных данных, требований законодательства или иного законного основания.
12.3. Персональные данные могут передаваться следующим категориям лиц:

• внешним сервисам email-рассылок;
• сервисам приема и обработки заявок, включая Google Forms, Google Sheets, Google Docs или иные сервисы, если они фактически используются;
• CRM-системам;
• хостинг-провайдерам;
• сервисам веб-аналитики;
• сервисам регистрации на мероприятия;
• образовательным организациям и партнёрам программы MSAI, включая МФТИ, если передача необходима для сопровождения поступления или обучения;
• подрядчикам, которые помогают администрировать сайт, формы, рассылки, мероприятия и коммуникации;
• государственным органам — в случаях, предусмотренных законом.

12.4. Передача данных МФТИ или иным образовательным партнёрам допускается только в объеме, необходимом для обработки заявки, организации поступления, консультации, обучения или иного взаимодействия, связанного с программой MSAI.
12.5. Если третье лицо обрабатывает персональные данные по поручению Оператора, Оператор обеспечивает наличие договора или иного документа, определяющего условия обработки персональных данных таким лицом.
12.6. Если третье лицо самостоятельно определяет цели и способы обработки персональных данных, такое лицо может выступать самостоятельным оператором персональных данных. В этом случае обработка данных таким лицом регулируется его собственными документами.


13. Трансграничная передача персональных данных
13.1. Трансграничная передача персональных данных может возникать, если данные пользователей передаются или становятся доступными лицам, находящимся за пределами Российской Федерации, либо обрабатываются в сервисах, инфраструктура которых расположена за пределами Российской Федерации. Использование Google Forms, Google Sheets, Google Docs, Google Analytics и иных зарубежных сервисов может создавать трансграничную передачу персональных данных и требует отдельной проверки.
13.2. До начала трансграничной передачи персональных данных Оператор должен выполнить требования законодательства Российской Федерации, включая направление уведомления в уполномоченный орган, если такое уведомление требуется.
13.3. Трансграничная передача персональных данных может быть связана с использованием следующих сервисов или процессов:

• Google Forms / Google Sheets / Google Docs
• Google Analytics
• зарубежные CRM или email-сервисы
• коммуникации с иностранными партнёрами или абитуриентами
• передача данных иностранным образовательным партнёрам

14. Локализация персональных данных граждан Российской Федерации
14.1. При сборе персональных данных граждан Российской Федерации через сайт или иные интернет-формы Оператор обеспечивает выполнение требований законодательства Российской Федерации о записи, систематизации, накоплении, хранении, уточнении и извлечении таких персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
14.2. Если Оператор использует сторонние сервисы для хранения и обработки данных граждан Российской Федерации, Оператор должен проверить, обеспечивают ли такие сервисы выполнение требований о локализации персональных данных.


15. Сроки хранения персональных данных
15.1. Персональные данные пользователей хранятся не дольше, чем этого требуют цели обработки, если иной срок не установлен законом, договором или иным законным основанием.
15.2. Данные, полученные через формы заявок и обратной связи, могут храниться до завершения соответствующей приемной кампании, мероприятия, консультации или иного процесса, а также в течение срока, необходимого для подтверждения факта взаимодействия с пользователем и защиты прав Оператора.
15.3. Данные подписчиков email-рассылки хранятся до момента отписки пользователя, отзыва согласия или прекращения рассылки.
15.4. Данные о факте получения согласия на рассылку могут храниться после отписки в течение срока, необходимого для подтверждения законности ранее осуществленной рассылки и защиты прав Оператора.
15.5. Технические данные и данные веб-аналитики хранятся в сроки, установленные настройками соответствующих сервисов и внутренними правилами Оператора.
15.6. После достижения целей обработки, истечения срока хранения, отзыва согласия или выявления неправомерной обработки персональные данные подлежат прекращению обработки, удалению, уничтожению или обезличиванию, если отсутствуют иные законные основания для продолжения обработки.


16. Права пользователя
Пользователь вправе:
16.1. Получать информацию, касающуюся обработки его персональных данных.
16.2. Требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
16.3. Отозвать согласие на обработку персональных данных.
16.4. Отказаться от получения информационных и рекламных сообщений.
16.5. Требовать прекращения обработки персональных данных.
16.6. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в суд.
16.7. Осуществлять иные права, предусмотренные законодательством Российской Федерации.


17. Порядок обращения пользователя
17.1. Пользователь может направить обращение по вопросам обработки персональных данных на email Оператора: neychevr@yandex.ru
17.2. В обращении желательно указать:

• ФИО или имя, указанное при обращении;
• email или иной контакт, по которому можно идентифицировать пользователя;
• суть запроса;
• действие, которое пользователь просит совершить: предоставить информацию, уточнить данные, удалить данные, прекратить обработку, отписать от рассылки и т.д.

17.3. Оператор рассматривает обращения пользователей в сроки, предусмотренные законодательством Российской Федерации.
17.4. Если обращение не позволяет идентифицировать пользователя, Оператор вправе запросить дополнительную информацию, необходимую для исполнения запроса.


18. Меры защиты персональных данных
18.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
18.2. К таким мерам могут относиться:

• ограничение доступа к персональным данным;
• использование паролей и средств аутентификации;
• разграничение прав доступа между участниками команды;
• контроль доступа к таблицам, CRM, сервисам рассылок и формам;
• заключение соглашений с подрядчиками и сервисами, обрабатывающими персональные данные;
• регулярная проверка актуальности доступов;
• удаление доступов у лиц, которые больше не участвуют в проекте;
• резервное копирование и иные технические меры защиты.

18.3. Оператор обеспечивает конфиденциальность персональных данных и принимает меры, чтобы доступ к ним имели только лица, которым он необходим для выполнения задач, связанных с целями обработки.


19. Обработка данных несовершеннолетних
19.1. Сайт и программа MSAI ориентированы на совершеннолетних пользователей и лиц, имеющих или получающих высшее образование.
19.2. Оператор не осуществляет намеренный сбор персональных данных несовершеннолетних без согласия их законных представителей.
19.3. Если Оператору станет известно, что персональные данные несовершеннолетнего были переданы без необходимого согласия законного представителя, Оператор примет меры по удалению таких данных, если отсутствуют иные законные основания для обработки.


20. Публикация отзывов, фото, видео и материалов пользователей
20.1. Оператор может публиковать отзывы, фото, видео, имя, должность, компанию, год выпуска и иные сведения пользователя только при наличии отдельного согласия пользователя на такую публикацию.
20.2. Согласие на публикацию отзыва, фото или видео должно быть отдельным от согласия на обработку персональных данных для заявки или рассылки.
20.3. Пользователь вправе отозвать согласие на публикацию, направив обращение Оператору.
20.4. После отзыва согласия Оператор прекращает дальнейшее использование соответствующих материалов и принимает разумные меры по удалению материалов с ресурсов, находящихся под контролем Оператора.


21. Использование Telegram и иных мессенджеров
21.1. Если пользователь самостоятельно переходит в Telegram-чат, пишет Оператору или представителям girafe-ai в мессенджере, он передает данные в соответствующий сервис на условиях такого сервиса.
21.2. Оператор может использовать Telegram username, имя пользователя, содержание переписки и иные сведения, полученные в мессенджере, для ответа на обращение, консультации, сопровождения заявки или информирования пользователя по его запросу.
21.3. Оператор не должен добавлять пользователя в рекламную email-рассылку на основании одного лишь факта переписки в Telegram без отдельного согласия на такую рассылку.


22. Обновление Политики
22.1. Оператор вправе изменять настоящую Политику.
22.2. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не указано в новой редакции.
22.3. Актуальная редакция Политики размещается в свободном доступе по адресу: https://girafe.ai/privacy/
22.4. Пользователю рекомендуется периодически проверять актуальную редакцию Политики.


23. Заключительные положения
23.1. По всем вопросам, связанным с обработкой персональных данных, пользователь может обратиться к Оператору по email: neychevr@yandex.ru
23.2. Во всем, что не урегулировано настоящей Политикой, Оператор руководствуется законодательством Российской Федерации.