Политика конфиденциальности Alma

Редакция от [11 сентября 2025]

1. Кто мы

Оператор персональных данных: Alma Inc, LLC, зарегистрированная в Армении, юридический адрес: 0002, 42A Mesrop Mashtots Ave, Yerevan.
E-mail для связи по вопросам персональных данных (DPO): .
Для пользователей из ЕС/UK действует назначенный представитель (по запросу сообщается дополнительно).

2. Какие данные мы собираем

Предоставляемые данные:

  • имя, e-mail, телефон;
  • дата рождения (для проверки возраста 16+);
  • фото/аватар;
  • профиль пользователя (интересы, выбранные практики);
  • переписка с экспертами и поддержкой;
  • отзывы;
  • данные о заказах (сессии, курсы);
  • платёжные токены (через провайдеров Apple Pay, Google Pay, CloudPayments).

Автоматически собираемые данные:

  • IP-адрес, идентификаторы устройства и приложения, cookies и SDK;
  • технические логи и метаданные сессий.

Данные о прогрессе: результаты упражнений, выполненные задания, прохождение курсов.

Специальные категории (здоровье, убеждения) — намеренно не запрашиваются. Если пользователь добровольно раскрывает такие сведения в рамках сессии, они используются только для оказания услуги и не применяются в маркетинговых целях.

3. Цели и правовые основания обработки

Цели обработки:

  • оказание сервисных услуг и подписки;
  • биллинг и выполнение платежей;
  • коммуникация и поддержка;
  • обеспечение безопасности и предотвращение мошенничества;
  • персонализация контента и рекомендации;
  • аналитика и улучшение продукта;
  • маркетинг (только при отдельном согласии);
  • соблюдение требований законодательства.

Основания:

  • исполнение договора (оказание услуг по подписке и сессиям);
  • законный интерес (безопасность, аналитика, минимизация объёма данных);
  • согласие (маркетинг, cookies/SDK, записи видеосессий, трансграничная передача для граждан РФ по 152-ФЗ);
  • выполнение правовых обязанностей (например, хранение фискальных данных).

4. Профилирование и ИИ

Alma использует алгоритмы для формирования рекомендаций и подбора экспертов.

  • Логика: учитываются действия в приложении, темы интереса, расписание.

  • Последствия: изменение выдачи практик, персональных предложений, приоритетов отображения экспертов.

  • Пользователь имеет право возразить против использования данных для маркетингового профилирования и запросить ручную проверку спорных кейсов.

5. Cookies, SDK и маркетинг

Мы применяем cookies и SDK (например, GA4, Amplitude, Intercom, Meta Pixel) для аналитики и, при согласии, персонализированного маркетинга.

  • В веб-версии действуют настройки CMP-баннера.
  • В мобильных приложениях соблюдаем системные разрешения (включая ATT на iOS).
  • Email- и push-рассылки отправляем только при отдельном согласии; отписаться можно в любой момент.

6. Передача данных, трансграничная передача и локализация

Кому передаются данные:

  • хостинг-провайдер: Selectel (РФ);
  • платёжные провайдеры: CloudPayments, Apple Pay, Google Pay;
  • поставщики аналитики и коммуникаций (см. страницу «Партнёры обработки»);
  • экспертам — только минимально необходимые данные для бронирования.

Трансграничная передача: возможна передача данных в ЕС/США обработчикам при наличии договорных гарантий (SCC или эквиваленты). Для граждан РФ требуется отдельное согласие по 152-ФЗ.

Локализация РФ: первичное хранение персональных данных граждан РФ осуществляется на серверах в России.

7. Сроки хранения

  • Аккаунт и история — до удаления аккаунта пользователем.
  • Платежные данные (фискальные) — минимум 5 лет.
  • Записи видеосессий — по умолчанию 90 дней, при наличии спора — до его разрешения.
  • Лог-данные — 12 месяцев.

8. Права пользователей

В зависимости от юрисдикции у вас есть права на:

  • доступ и получение копии данных;
  • исправление;
  • удаление («право на забвение»);
  • ограничение обработки;
  • переносимость данных;
  • отзыв согласия;
  • возражение против маркетинга и профилирования.

Сроки ответа: до 30 дней (GDPR), до 45 дней (CCPA).
Запросы можно направить через настройки приложения или на e-mail: .

9. Безопасность

Мы применяем технические и организационные меры:

  • шифрование данных при передаче и хранении;
  • ограничение доступа по ролям;
  • журналирование действий;
  • регулярное тестирование безопасности;
  • проведение DPIA для функций с использованием ИИ.

10. Дети

Сервис предназначен только для лиц 16+. Мы не собираем данные детей целенаправленно.

11. Изменения политики

Мы будем публиковать новую редакцию политики с указанием даты. В случае существенных изменений пользователи получат уведомление в приложении или по e-mail.