Политика обработки персональных данных

Сервис GymCore (gymcore.ru) — редакция от 21 февраля 2026 г.

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон) и определяет порядок обработки и защиты персональных данных пользователей сервиса GymCore (далее — Сервис).

1.2. Оператор персональных данных — лицо, осуществляющее эксплуатацию Сервиса, доступного по адресу gymcore.ru (далее — Оператор).

1.3. Сервис предназначен для учёта спортивных результатов, постановки целей и управления тренировочным процессом в спортивных организациях.

1.4. Регистрируясь в Сервисе или предоставляя свои персональные данные иным образом, Пользователь выражает согласие с условиями настоящей Политики.

1.5. Если Пользователь не согласен с условиями Политики, он должен прекратить использование Сервиса.

2. Правовые основания обработки

2.1. Оператор обрабатывает персональные данные на следующих правовых основаниях:

Согласие субъекта (п. 1 ч. 1 ст. 6 Закона) — при регистрации и использовании Сервиса;
Исполнение договора (п. 5 ч. 1 ст. 6 Закона) — для предоставления функциональности Сервиса;
Законный интерес оператора (п. 7 ч. 1 ст. 6 Закона) — для обеспечения безопасности и предотвращения мошенничества.

3. Цели обработки персональных данных

3.1. Оператор обрабатывает персональные данные в следующих целях:

Регистрация и аутентификация пользователей в Сервисе;
Предоставление доступа к функциям Сервиса в соответствии с ролью пользователя (руководитель, тренер, спортсмен);
Учёт спортивных результатов, массы тела и тренировочных целей;
Уведомление пользователей о событиях в Сервисе (новые результаты, достижение целей);
Восстановление доступа к учётной записи (сброс пароля);
Обеспечение безопасности и предотвращение несанкционированного доступа;
Формирование публичных карточек достижений по инициативе пользователя (функция «Поделиться»).

4. Перечень обрабатываемых персональных данных

4.1. Оператор обрабатывает следующие категории персональных данных:

Категория	Данные	Цель
Идентификационные	Фамилия, имя, отчество	Идентификация в системе, отображение в интерфейсе
Контактные	Адрес электронной почты, номер телефона	Регистрация, восстановление доступа, связь
Аутентификационные	Хеш пароля (bcrypt)	Вход в учётную запись
Физиологические	Пол, масса тела	Расчёт спортивных показателей (IPF GL), аналитика
Спортивные результаты	Упражнение, значение, повторения, дата, тип записи	Учёт тренировочного прогресса
Тренировочные цели	Упражнение, целевое значение, срок выполнения	Постановка и отслеживание целей
Фотография	Фото профиля (загруженное пользователем)	Персонализация профиля
Данные Telegram	Идентификатор чата Telegram	Отправка уведомлений (по инициативе пользователя)
Технические	IP-адрес, cookie-файлы сессии	Безопасность, ограничение частоты запросов

            Важно: Сервис не обрабатывает специальные категории персональных данных (расовая принадлежность, политические взгляды, состояние здоровья в медицинском смысле, биометрические данные для идентификации). Данные о массе тела и спортивных результатах обрабатываются исключительно в целях спортивного учёта.
        

5. Порядок и условия обработки

5.1. Обработка персональных данных осуществляется следующими способами:

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, удаление, уничтожение.

5.2. Обработка осуществляется с использованием средств автоматизации (в информационной системе Сервиса).

5.3. Пароли пользователей хранятся исключительно в виде криптографического хеша (bcrypt) и не могут быть восстановлены в исходном виде.

5.4. Обработка персональных данных прекращается при достижении целей обработки, при отзыве согласия субъектом или при удалении учётной записи.

6. Хранение персональных данных

6.1. Персональные данные хранятся на сервере, расположенном на территории Российской Федерации, что соответствует требованиям ч. 5 ст. 18 Закона о локализации данных граждан РФ.

6.2. Сроки хранения:

Данные	Срок хранения
Учётная запись и связанные данные	До удаления учётной записи пользователем или администратором
Токены подтверждения email / сброса пароля	24 часа с момента создания
Сессионные cookie	7 дней с момента авторизации
IP-адреса (для ограничения частоты запросов)	15 минут
Публичные карточки достижений	До удаления учётной записи создателя

6.3. При удалении учётной записи все связанные данные (результаты, цели, записи о массе тела, публичные карточки, фотографии) удаляются каскадно и безвозвратно.

7. Защита персональных данных

7.1. Оператор принимает следующие меры для защиты персональных данных:

Организационные меры:

Разграничение доступа на основе ролей (руководитель, тренер, спортсмен);
Контроль авторства данных — каждая запись привязана к создателю;
Проверка прав доступа на каждом API-запросе.

Технические меры:

Передача данных по зашифрованному протоколу HTTPS (TLS);
Хеширование паролей алгоритмом bcrypt;
Подпись сессионных токенов алгоритмом HMAC-SHA256;
Защита cookie-файлов флагами HttpOnly, Secure, SameSite;
Защита от перебора паролей — ограничение попыток авторизации (не более 5 за 15 минут с одного IP);
Межсетевой экран (firewall) на уровне сервера;
Автоматическая блокировка подозрительных IP-адресов (fail2ban);
Доступ к серверу только по SSH-ключам (парольный доступ отключён).

8. Передача данных третьим лицам

8.1. Оператор передаёт персональные данные следующим третьим лицам исключительно в объёме, необходимом для оказания услуг:

Получатель	Передаваемые данные	Цель
Resend Inc. (сервис email-рассылок)	Адрес электронной почты, имя пользователя	Отправка писем подтверждения регистрации и сброса пароля
Telegram Messenger Inc. (мессенджер)	Идентификатор чата, имя спортсмена, данные о результатах и целях	Отправка уведомлений (только при добровольном подключении Telegram пользователем)

8.2. Оператор не продаёт, не сдаёт в аренду и не передаёт персональные данные третьим лицам в рекламных или маркетинговых целях.

8.3. Оператор может раскрыть персональные данные по законному требованию государственных органов Российской Федерации в порядке, установленном законодательством.

9. Публичный доступ к данным

9.1. Пользователь может самостоятельно создать публичную карточку достижения (функция «Поделиться»). В этом случае следующие данные становятся доступными по уникальной ссылке любому лицу в интернете:

Имя и фамилия создателя;
Фотография профиля (если загружена);
Роль пользователя (тренер/спортсмен);
Данные о спортивном результате или цели;
Название, телефон и сайт организации.

9.2. Публичная карточка создаётся исключительно по инициативе пользователя. Удаление карточки происходит при удалении учётной записи.

10. Права субъекта персональных данных

10.1. В соответствии со ст. 14–16 Закона субъект персональных данных имеет право:

Получить информацию об обработке своих персональных данных;
Потребовать уточнения своих персональных данных, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными;
Отозвать согласие на обработку персональных данных, направив запрос Оператору;
Требовать удаления своей учётной записи и всех связанных данных;
Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

10.2. Для реализации своих прав субъект персональных данных может:

Самостоятельно отредактировать данные в разделе «Профиль» Сервиса;
Обратиться к руководителю организации (роль «Руководитель» в Сервисе) с запросом на удаление учётной записи;
Направить письменный запрос Оператору на адрес электронной почты, указанный в разделе 14 настоящей Политики.

10.3. Оператор обязан ответить на запрос субъекта в течение 10 рабочих дней с момента получения запроса.

11. Cookie-файлы

11.1. Сервис использует следующие cookie-файлы:

Cookie	Назначение	Срок жизни
`session`	Аутентификация пользователя (поддержание сессии входа)	7 дней

11.2. Сервис не использует рекламные, аналитические или отслеживающие cookie-файлы. Сервис не подключает сторонние системы аналитики (Google Analytics, Яндекс.Метрика и т.п.).

12. Обработка данных несовершеннолетних

12.1. Сервис не предназначен для лиц младше 14 лет.

12.2. Персональные данные лиц в возрасте от 14 до 18 лет обрабатываются с согласия их законных представителей. Руководитель организации, регистрирующий несовершеннолетнего спортсмена в Сервисе, обязан получить такое согласие самостоятельно.

13. Изменение Политики

13.1. Оператор имеет право вносить изменения в настоящую Политику.

13.2. Новая редакция Политики вступает в силу с момента её размещения по адресу gymcore.ru/privacy-policy.html, если иное не предусмотрено новой редакцией.

13.3. Действующая редакция всегда доступна по указанному адресу.

14. Контактная информация

14.1. По всем вопросам, связанным с обработкой персональных данных, субъект может обратиться:

Через форму обратной связи на сайте gymcore.ru;
По электронной почте: support@gymcore.ru

14.2. Уполномоченный орган по защите прав субъектов персональных данных — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): rkn.gov.ru.

Дата публикации: 21 февраля 2026 г.