Политика за защита на личните данни

„ШКОЛО“ ООД („Дружество“, „Администратор“) осъзнава необходимостта от прилагането на адекватна защита на личните данни на субектите на данни, като се стреми да уважава неприкосновеността на личния живот. Настоящата Декларация за защита на личните данни („Декларация“) е създадена, за да помогне на субектите на данни да разберат по какъв начин и за какви цели Дружеството обработва, използва и защитава лични им данни.

 

За целите на своята дейност, Дружеството обработва лични данни в строго съответствие с Регламент (ЕС) 2016/679 („Общ регламент за защита на данните“, ‘GDPR’), Закона за защита на личните данни и други приложими нормативни актове и Декларацията.

 

С настоящата Декларация се предоставя информация относно:

„Лични данни“ означава всяка информация, свързана с конкретно физическо лице или физическо лице, което може да бъде пряко или непряко идентифицирано;

 

„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства;

 

„Администратор“ означава „Школо“ ООД, което само или съвместно с други определя целите и средствата за обработването на лични данни;

 

„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

 

„Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не;

 

„Потребител“ означава физическо лице, което е ползвател на Уеб сайта и е извършило съответната регистрация в него;

 

„Посетител“ означава физическо лице, което е ползвател и е извършило съответната регистрация в платформата „Дневник“ и/или „Школо уроци;

 

„Субект на данни“означава потребител или посетител на Школо или търговски партньор на Дружеството;

 

„Школо“означава интернет страницата: www.shkolo.bg и нейните поддомейни: app.shkolo.bg, lessons.shkolo.bg, vs.shkolo.bg, portfolio.shkolo.bg и други подстраници;

 

„Дневник“ означава поддомейна app.shkolo.bg, представляващ електронен дневник за обучение на ученици;

 

„Школо уроци“ означава интернет страницата: www.lessons.shkolo.bg, представляваща онлайн платформа за предоставяне на услуги;

 

„Страйп“ означава система за електронни разплащания на електронния адрес: www.stripe.com.

Настоящата Декларация за защита на личните данни се прилага в отношенията между „ШКОЛО“ ООД от една страна и потребителите и посетителите на Школо от друга. Декларацията има за цел да информира субектите на данни за техните права в съответствие с чл. 12 и следващите от Регламент (ЕС) 2016/679.

Администратор на личните данни е „ШКОЛО“ ООД с ЕИК 204224132, с адрес: гр. София, район „Лозенец“, ул. Любата 15, електронна поща: info@shkolo.com, тел. +359 2 493 0099.

Длъжностно лице по защита на данните на Школо ЕООД е Десислава Чолакова, с адрес ул. Любата № 15, ет. 3, ап. 7, ПК 1407 и електронна поща: dpo@shkolo.com

Дружеството събира пряко от субектите на данни следните категории лични данни:

 

  • При регистрация на Потребителите в Дневник:

Когато субект на данни се регистрира и създаде собствен потребителски профил в Дневник, той предоставя на Администратора следните категории лични данни: телефонен номер, имена, електронна поща, потребителско име, парола, рождена дата, IP адрес. Дружеството обработва допълнителнa информация съгласно Политиката за бисквитки (cookies) на Shkolo.bg.

 

За Потребителите е създадена възможност да се регистрират и достъпят до своя потребителски профил чрез вход през Microsoft Office 365, Facebook и Google. В този случай Microsoft Office 365, Facebook и Google споделят с Дружеството имена и електронна поща за верификация.

  • При регистрация на Потребителите в Школо Уроци:

Субектът на данни се регистрира и създава собствен потребителски профил в Школо уроци като обучител или обучаем. Когато Потребителят се регистрира като обучител, той предоставя на Администратора следните категории лични данни: имена, дата на раждане, адрес, телефонен номер, електронна поща, потребителско име, парола, снимка. Когато Потребителят се регистрира като обучаем, той предоставя на Администратора следните категории лични данни: имена, телефонен номер, електронна поща, потребителско име, парола.

Дружеството е интегрирало в Школо уроци Страйп, като платежен инструмент за извършване на парични преводи към Потребител, който се е регистрирал като обучител. При попълване на формата за регистрация се изисква информация от тези Потребителите - обучители за: номер на банкова сметка, титуляр на банковата сметка, копие от лична карта и доказателство за ползване на банковата сметка. Тези лични данни не се обработват от Дружеството. Тези лични данни се получават от Страйп чрез криптирана връзка, като  Школо няма контрол и не достъпва по никакъв начин тези лични данни. Дружеството не съхранява номера на банковата карта и нейният три цифрен код на Потребител, който се е регистрирал като обучаем. Тези данни се изпращат на и съхраняват от Страйп. За повече информация относно основанията и целите на обработване на лични данни от Страйп може да прочетете тук.

 

  • За Посетителите на Школо:

Посетителите могат да разглеждат Школо и да ползват функционалностите му съобразно осигурения им достъп и достъпа до онлайн платформите. Те разполагат с възможност да пишат коментари под публикации в Школо , като в този случай се събират имена, електронна поща и IP адрес.

 

  • При изпращане на запитване:

Когато субект на данни изпрати запитване до Администратора през формата за контакт с него, той предоставя имена, електронна поща и коментар към своето запитване.

 

  • При участие в мероприятия и инициативи:

Дружеството може да помоли Потребител да вземе участие в проучване, състезание, конкурс или друго събитие, организирано от Администратора, като в този случай субектът на данни може да предостави електронна поща, имена, телефонен номер, адрес за изпълнението на тези цели. В тези случаи Дружеството ще предприеме необходимите мерки за информираност на субекта на данните.

 

  • При работа с контрагенти и потенциални контрагенти, чиито услуги са публикувани на Школо:

Дружеството обработва следните категории лични данни на контрагенти/потенциални контрагенти или на техни представители: имена, паспортни данни, телефонен номер, електронна поща.

 

  • Защита на правни интереси:

В случай на възникнали правни спорове Дружеството може да обработва следните категории лични данни на субекти на данни, а именно: имена, електронна поща, паспортни данни и други данни от регистрационната форма.

 

  • Маркетингови цели:

Администраторът може да обработва лични данни за маркетингови цели, когато е приложимо. В този случай той събира по подходящ начин от субектите на данни имена, електронна поща, телефонен номер.

 

Когато лични данни са предоставени от субекта на данни на Администратора на лични данни без правно основание по чл. 6, параграф 1 от Регламент (ЕС) 2016/679 или в противоречие с принципите по чл. 5 от същия регламент, в срок един месец от узнаването Дружеството ги връща, а ако това е невъзможно или изисква несъразмерно големи усилия, ги изтрива или унищожава. Изтриването и унищожаването се документират.

Администраторът обработва лични данни на следните категории субекти на данни:

  • Потребители на Школо;
  • Посетители на Школо;
  • Търговски партньори.

Дружеството обработва лични данни за следните цели:

  • За целите на сключването и изпълнението на договор, по който субектът на данните е страна. Това включва случаите, но не само, при предоставянето на достъп и ползване на услугите на Школо, при участие в мероприятия и инициативи, за които е необходимо сключването на договор;
  • За спазването на законово задължение, което се прилага спрямо Администратора;
  • За маркетингови цели;
  • За защита на легитимни интереси на Администратора, включващи административни дейности като: правно обслужване и информационно обслужване и анализ на потреблението, информационна сигурност и други.

Дружеството обработва лични данни на субекти на данни въз основа на следните законосъобразни основания:

  • Обработването е необходимо за изпълнение на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
  • Обработването е необходимо за спазването на законово задължение, което се прилага спрямо Администратора. Такова задължение може да бъде по изрично искане за предоставяне на информация от правоохранителни органи като МВР, ДАНС, прокуратура и други;
  • Обработването е необходимо за целите на легитимните интереси на Администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни;
  • Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

Дружеството може да сподели лични данни на субекти на данни със следните категории получатели:

  • Държавни институции и органи с властнически правомощия, когато по закон Администраторът е длъжен да предостави личните данни – МВР, ДАНС, НАП, прокуратура и други;
  • Търговски партньори, които обслужват Администратора, в качеството им на обработващи лични данни, за поддръжка на информационната сигурност и предоставяне на услуги, свързани с Школо, доставчици на куриерски услуги, правни кантори, счетоводни кантори и други;
  • Служители на Администратора, които обработват лични данни в съответствие с възложените им служебни/трудови функции съгласно длъжностна характеристика и трудов договор.

 

Школо и онлайн платформите му може да включват линкове към уеб сайтове на трети страни, приставки и приложения. Кликването върху или активирането на тези връзки може да позволи на трети страни да събират или споделят данни за субекта на данни. Дружеството не контролира тези уеб сайтове на трети страни и не е отговорно за техните декларации за защита на личните данни. Когато субектът на данни излезе от Школо, той следва внимателно да прочете декларацията за защита на личните данни за всеки посещаван от него уеб сайт.

 

Дружеството въвежда подходящи технически и организационни мерки за защита, за да гарантира правата и свободите на субектите на данни в съответствие с принципа за „цялостност и поверителност“. По-специално Администраторът избира подходящи получатели, които са предприели необходимите гаранции за защита на предоставени им лични данни и с оглед на съществуващите рискове да осигурят съответното ниво на сигурност, включително когато е целесъобразно:

  • Псевдонимизация и криптиране на личните данни;
  • Способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
  • Способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
  • Процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

 

Администраторът може да предоставя лични данни в страни извън Европейския съюз. Предоставянето на лични данни в този случай може да се извърши при спазване на изискванията съгласно глава V от Регламент (ЕС) 2016/679 и приложимите международни споразумения между Европейския съюз и трети страни. За тази цел Дружеството може свободно да предава лични данни в страни извън Европейския съюз, за които има решение на Европейската комисия за адекватно ниво на защита на личните данни. Същото важи и за случаите, при които Дружеството е сключило договор със стандартни клаузи за предаването на лични данни на трети държави, приети с решение за изпълнение (ЕС) 2021/914 на Комисията от 4 юни 2021г.

„ШКОЛО“ ООД съхранява лични данни в съответствие с принципа на „ограничение на съхранението“. По-специално за горепосочените цели Дружеството ще съхранява:

  • Лични данни на контрагенти се съхраняват в сроковете съгласно общата погасителна давност;
  • Лични данни, съдържащи се в счетоводни документи, се съхраняват за сроковете, определени в Закона за счетоводството, Данъчно-осигурителния процесуален кодекс и други нормативни актове.
  • Лични данни в Потребителския профил се съхраняват докато Потребителят не ги изтрие или не отправи искане до Администратора да бъдат изтрити;

Когато субект на данни напише коментар в Школо, неговите данни остават публикувани докато не бъде изтрит коментара от Администратора. В този случай той може да отправи искане до Администратора за изтриване на коментара му.

Субектите на данни, чиито лични данни се обработват от Администратора, имат:

  • Право на достъп до лични данни, включително да получат копие от тях;
  • Право на корогиране;
  • Право на изтриване (право „да бъдеш забравен“);
  • Право на ограничаване на обработването;
  • Право на преносимост на данните;
  • Право на възражение срещу обработването.

 

Горепосочените права може да се упражнят като се изпрати заявление в електронна форма на info@shkolo.bg, подписано с квалифициран електронен подпис съгласно Закона за електронния документ и електронните удостоверителни услуги. Също така може да бъде подадено писмено заявление на място в офиса на Дружеството на адрес: гр. София, район „Лозенец“, ул. Любата 15

Дружеството може да поиска съгласие от субектите на данни като законосъобразно основание за обработване на лични данни за една или повече цели. Някои от тези цели например може да бъдат за профилиране, свързано проследяване, поведенческа реклама или други. В тези случая Дружеството ще поиска съгласието на субекта на данни, за да има законово основание да обработва личните му данни, за което ще го извести своевременно по подходящ начин. Личните данни може да включват повече категории от изброените по-горе, като в съгласието изрично се посочват необходимите категории лични данни за обработване за съответната цел.

 

Съгласието трябва да бъде свободно изразено, конкретно, информирано и недвусмислено указание на волята на субекта на данните. Съгласието може да бъде оттеглено по всяко време по начините, описани по-горе за упражняване на права от субектите на данни.

В съответствие с Общия регламент за защита на данните и Закона за защита на личните данни, субектите на данни имат правото да подадат жалба до Комисията за защита на личните данни на адрес: гр. София, бул. „Проф. Цветан Лазаров“ № 2.

Администраторът предприема необходимите мерки за сигурност на личните данни. Всички документи на хартиен носител, съдържащи лични данни, се съхраняват в заключени шкафове в офиса на Дружеството, като само упълномощени лица имат достъп до тях. Данни в електронна форма се съхраняват при спазване на изискванията за информационна сигурност и ограничение на достъпа. „Школо“ ООД е сертифицирано за съответствие с всички изисквания на стандарта за информационна сигурност OWASP ASVS и ISO/IEC 27001:2017.

Политиката за защита на личните данни е последно актуализирана на 22 Ноември 2021 г.