Соглашение об обработке данных

Настоящее Соглашение об обработке данных («Соглашение») является частью Условий использования между:

Обработчик
OverToo
Оператор платформы
support@overtoo.com
Контролёр
Школа или организация, использующая Платформу
Согласно данным соглашения о подписке или регистрации учётной записи

Настоящее Соглашение применяется, когда Обработчик обрабатывает персональные данные от имени Оператора в связи с платформой OverToo («Сервис»). Принимая Условия использования, Оператор соглашается с условиями настоящего Соглашения.

1. Предмет и сфера действия

Настоящее Соглашение регулирует обработку персональных данных Обработчиком от имени Оператора в соответствии со статьёй 28 GDPR (ЕС) 2016/679. Обработка ограничена тем, что необходимо для оказания Сервиса.

2. Роли сторон

  • Оператор определяет цели и средства обработки персональных данных.
  • Обработчик обрабатывает персональные данные исключительно от имени оператора.

Обработчик не обрабатывает персональные данные в собственных целях.

3. Характер и цель обработки

Деятельность по обработке, осуществляемая обработчиком от имени оператора, включает:

  • Хостинг и хранение данных
  • Управление учётными записями пользователей
  • Планирование и управление сессиями
  • Коммуникации и уведомления
  • Обеспечение обработки платежей
  • Техническая поддержка и обслуживание системы

4. Категории данных и субъектов данных

Субъекты данных
  • Ученики
  • Преподаватели
  • Сотрудники школы
  • Пользователи платформы
Категории персональных данных
  • Идентификационные и контактные данные
  • Данные учётной записи и аутентификации
  • Образовательные данные и данные о посещаемости
  • Коммуникационные данные
  • Технические данные и данные об использовании
  • Ограниченные данные, связанные с биллингом

5. Инструкции

Обработчик обрабатывает персональные данные только:

  • на основании задокументированных указаний оператора,
  • в той мере, в какой это необходимо для оказания Сервиса,
  • или когда того требует применимое законодательство (в таком случае обработчик информирует оператора, если это не запрещено законом).

6. Конфиденциальность

Обработчик обеспечивает, чтобы весь персонал, уполномоченный обрабатывать персональные данные, был связан надлежащими обязательствами о конфиденциальности и проходил соответствующее обучение по защите данных.

7. Меры безопасности

Обработчик применяет надлежащие технические и организационные меры, включая:

  • Шифрование при передаче (TLS/HTTPS)
  • Безопасное хеширование паролей
  • Управление доступом на основе ролей
  • Логическое разделение данных арендаторов
  • Мониторинг и ведение журналов
  • Регулярные оценки безопасности

8. Субподрядчики обработки

Оператор уполномочивает Обработчика привлекать следующие категории субподрядчиков обработки:

КатегорияПримеры
Хостинг и инфраструктураПоставщик серверов и облачного хостинга
Обработка платежейStripe, PayPal, Przelewy24
Доставка электронной почтыSMTP-провайдер, настроенный школой (например, Gmail, Outlook 365)

Обработчик обеспечивает, чтобы субподрядчики были связаны эквивалентными обязательствами по защите данных. Актуальный список субподрядчиков предоставляется по запросу по адресу support@overtoo.com.

9. Международная передача

Если персональные данные передаются за пределы ЕЭЗ, Обработчик обеспечивает надлежащие гарантии, включая Стандартные договорные положения (SCC) или другие законные механизмы передачи согласно главе V GDPR.

10. Помощь оператору

Обработчик оказывает содействие Оператору с учётом характера обработки в следующем:

  • отвечать на запросы субъектов данных (доступ, исправление, удаление, переносимость, возражение),
  • обеспечивать соблюдение обязательств GDPR в отношении безопасности и уведомления о нарушениях,
  • проведение оценок воздействия на защиту данных (DPIA) при необходимости.

11. Нарушение защиты персональных данных

Обработчик обязуется:

  • уведомлять оператора без неоправданной задержки после того, как обработчику станет известно о нарушении защиты персональных данных, затрагивающем данные оператора,
  • предоставлять всю необходимую информацию для обеспечения соблюдения оператором статей 33 и 34 GDPR.

12. Хранение и удаление данных

По прекращении Сервиса:

  • персональные данные будут удалены или, по письменному запросу оператора, возвращены оператору,
  • если хранение не требуется применимым законодательством.

Оператор несёт ответственность за запрос на экспорт данных перед прекращением. Запросы на экспорт следует направлять на support@overtoo.com.

13. Права на аудит

Обработчик предоставляет информацию, разумно необходимую для подтверждения соблюдения настоящего Соглашения. Аудиты должны быть разумными и соразмерными, проводиться по предварительному письменному уведомлению и не должны ставить под угрозу безопасность других клиентов.

14. Ответственность

Каждая сторона остаётся ответственной за собственное соблюдение GDPR. Обработчик несёт ответственность только за ущерб, причинённый нарушением его конкретных обязательств по настоящему Соглашению или применимому законодательству о защите данных.

15. Применимое право

Настоящее Соглашение регулируется законодательством Польши с учётом применимого законодательства ЕС о защите данных, включая GDPR.

16. Связь с Условиями

Настоящее Соглашение является частью и входит в состав Условий использования, регулирующих использование Сервиса. В случае противоречия между настоящим Соглашением и Условиями использования приоритет имеет настоящее Соглашение в части, касающейся защиты данных.

17. Контактные данные

По вопросам защиты данных или для запроса подписанной копии данного Соглашения:

OverToo
Эл. почта: support@overtoo.com
Адрес: Warsaw, Poland | London, United Kingdom