Политика конфиденциальности

Настоящая Политика конфиденциальности разъясняет, каким образом OverToo ("мы", "нас", "наш") обрабатывает персональные данные в связи с предоставлением нашей онлайн-платформы для управления учебными заведениями ("Платформа"). Мы обязуемся защищать персональные данные в соответствии с Общим регламентом по защите данных (ЕС) 2016/679 ("GDPR") и применимыми национальными законами о защите данных. Настоящая Политика распространяется на всех пользователей Платформы, включая администраторов учебных заведений, преподавателей, учащихся и посетителей веб-сайта.

1. Роли и обязанности

1.1 Учебные заведения как контролеры данных

Когда Платформа используется учебным заведением или образовательным учреждением, это учреждение выступает в качестве Контролера данных в отношении персональных данных своих учащихся, преподавателей, сотрудников и других пользователей, управляемых в рамках его учетной записи. Учебное заведение определяет, какие данные собираются, в каких целях они используются и как долго они хранятся.

1.2 OverToo как обработчик данных

Предоставляя Платформу учебным заведениям, OverToo выступает в качестве Обработчика данных: обрабатывая персональные данные от имени и в соответствии с инструкциями учебного заведения, в соответствии со статьей 28 GDPR. Соглашение об обработке данных (DPA) регулирует эти отношения и является неотъемлемой частью наших условий обслуживания. Копия доступна по запросу по адресу support@overtoo.com.

1.3 OverToo как независимый контролер

OverToo выступает в качестве независимого Контролера данных для ограниченных операций по обработке, необходимых для ведения бизнеса, включая создание учетных записей и выставление счетов, обеспечение безопасности платформы и предотвращение мошенничества, а также соблюдение законодательства.

2. Персональные данные, которые мы обрабатываем

В зависимости от способа использования Платформы мы можем обрабатывать следующие категории персональных данных:

КатегорияПримеры
Идентификационные данные Имя, фамилия, имя пользователя, изображение профиля
Контактные данные Адрес электронной почты, номер телефона
Данные учетной записи Учетные данные для входа (хешированные пароли), роли, принадлежность к учебному заведению
Образовательные данные и данные об использовании Записи о посещаемости, участие в занятиях, прогресс по курсу, доступ к материалам, заметки о занятиях, созданные пользователями, активность и взаимодействия на платформе
Платежные данные Записи о транзакциях, статус платежа, тип платежного метода (обрабатываются сторонними поставщиками). Мы не храним полные данные банковских карт.
Данные коммуникации Сообщения, отправленные в рамках Платформы, уведомления, запросы в службу поддержки
Технические данные IP-адрес, тип браузера, информация об устройстве, временные метки входа в систему, системные журналы

3. Правовые основания для обработки

Мы обрабатываем персональные данные только при наличии действительного правового основания в соответствии с GDPR:

Исполнение договора (Ст. 6(1)(b))
Предоставление доступа к Платформе, управление учетными записями пользователей, оказание образовательных услуг, обработка платежей и выставление счетов.
Законные интересы (Ст. 6(1)(f))
Обеспечение безопасности и целостности платформы, предотвращение мошенничества и злоупотреблений, а также улучшение функциональности и пользовательского опыта. Мы обеспечиваем, чтобы такие интересы не превалировали над основными правами и свободами пользователей.
Юридическое обязательство (Ст. 6(1)(c))
Соблюдение налоговых, бухгалтерских и правовых требований; ответы на законные запросы органов власти.
Согласие (Ст. 6(1)(a))
Отправка маркетинговых сообщений и использование необязательных файлов cookie. Согласие может быть отозвано в любое время.

4. Цели обработки

Мы используем персональные данные для:

  • Предоставление и поддержание Платформы
  • Управление учетными записями пользователей и правами доступа
  • Обеспечение планирования, отслеживания посещаемости и коммуникации
  • Обработка платежей и ведение финансовой документации
  • Предоставление поддержки клиентов
  • Обеспечение безопасности системы и предотвращение злоупотреблений
  • Соблюдение правовых и нормативных обязательств

Мы не используем персональные данные в несвязанных целях.

5. Особые категории данных

Платформа не предназначена для обработки особых категорий персональных данных (в соответствии с определением в Статье 9 GDPR), таких как данные о здоровье, за исключением случаев, когда это явно настроено и контролируется учебным заведением.

Если такие данные обрабатываются, это осуществляется исключительно под ответственностью учебного заведения как Контролера данных и только при наличии действительного правового основания в соответствии со Статьей 9 GDPR.

6. Данные детей

Платформа может использоваться образовательными учреждениями с участием несовершеннолетних. В таких случаях:

  • Учебное заведение несет ответственность за обеспечение действительного правового основания для обработки данных детей, включая согласие родителей, когда это требуется в соответствии с применимым законодательством.
  • OverToo обрабатывает такие данные только от имени учебного заведения.

Мы сознательно не собираем данные детей за пределами среды, контролируемой учебным заведением.

7. Передача данных

Мы не продаем персональные данные. Персональные данные могут передаваться только в следующих случаях:

Поставщики услуг (Обработчики)

Мы привлекаем проверенных сторонних поставщиков для обработки платежей (Stripe, PayPal, Przelewy24), хостинга и инфраструктуры, а также услуг доставки электронной почты. Эти поставщики обрабатывают данные с соответствующими договорными гарантиями.

Учебные заведения (Контролеры)

Администраторы учебных заведений могут получать доступ к данным пользователей в рамках своей организации в рамках функциональности Платформы.

Правовые требования

Мы можем раскрывать данные в случаях, предусмотренных законом, или для защиты прав, безопасности или правовых требований.

8. Международная передача данных

Персональные данные преимущественно хранятся в пределах Европейской экономической зоны (ЕЭЗ). В случае передачи данных за пределы ЕЭЗ мы обеспечиваем надлежащие гарантии, включая Стандартные договорные положения (SCC) или иные законодательно одобренные механизмы передачи данных.

9. Хранение данных

Тип данныхСрок хранения
Данные учетной записиСрок действия учетной записи плюс ограниченный период хранения после закрытия
Образовательные данныеВ соответствии с решением учебного заведения (Контролер данных)
Финансовая документацияВ соответствии с требованиями применимого законодательства (обычно 5-7 лет)
Технические журналыКраткосрочное хранение в целях безопасности

По истечении применимых сроков хранения данные безопасно удаляются или обезличиваются.

10. Права субъектов данных

В соответствии с GDPR физические лица имеют право:

  • Доступа к своим персональным данным
  • Исправления неточных данных
  • Запроса на удаление (в применимых случаях)
  • Ограничения обработки
  • Возражения против обработки на основании законных интересов
  • Переносимости данных
  • Отзыва согласия в любое время

Когда OverToo выступает в качестве Обработчика данных, запросы следует направлять в первую очередь в соответствующее учебное заведение (Контролер данных). Мы содействуем контролерам в выполнении таких запросов. Физические лица также имеют право подать жалобу в надзорный орган.

Для реализации ваших прав свяжитесь с нами по адресу support@overtoo.com.

11. Файлы cookie

Мы используем файлы cookie и аналогичные технологии:

  • Основные файлы cookie: необходимы для базовой функциональности
  • Функциональные файлы cookie: запоминают предпочтения пользователя
  • Аналитические файлы cookie: используются только с согласия

Пользователи могут управлять предпочтениями через баннер cookie или настройки браузера.

12. Безопасность данных

Мы применяем соответствующие технические и организационные меры, включая:

  • Шифрование при передаче (TLS/HTTPS)
  • Безопасное хеширование паролей
  • Средства контроля доступа и механизмы аутентификации
  • Логическое разделение данных арендаторов (учебных заведений)
  • Мониторинг и регулярные проверки безопасности

В случае нарушения безопасности персональных данных мы будем действовать в соответствии со Статьями 33 и 34 GDPR.

13. Автоматизированное принятие решений

Мы не используем персональные данные для автоматизированного принятия решений или профилирования, которое влечет правовые или аналогично значимые последствия.

14. Изменения настоящей Политики

Мы можем время от времени обновлять настоящую Политику конфиденциальности. О существенных изменениях будет сообщено через Платформу или иными надлежащими способами.

15. Контакт

По вопросам данной Политики конфиденциальности или защиты данных, свяжитесь с нами:

OverToo
Эл. почта: support@overtoo.com
Адрес: Warsaw, Poland