Политика за защита на личните данни

Настоящата актуализирана Политика за защита на личните данни (“Политика”) определя правилата по отношение на защитата на личните данни на физическите лица, използващи софтуерната платформа shkolo.bg (“Платформата”), собственост на “ШКОЛО” ООД (“Обработващ лични данни”/” Обработващ”).

 

Платформата е съобразена изцяло с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Регламент“), влизащ в сила на 25.05.2018 г., и Закона за защита на личните данни (“ЗЗЛД”).

“ШКОЛО” ООД гарантира и съблюдава следните принципи, свързани с обработването и защитата на лични данни:

1. „Принцип на законосъобразност, добросъвестност и прозрачност“ – личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните;

2. „Принцип на ограничение на целите“ – личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели;

3. „Принцип на свеждане на данните до минимум“ – личните данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват;

4. „Принцип на точност“ – личните данни са точни и при необходимост се поддържат в актуален вид; Обработващият е предприел всички мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;

5. „Принцип на ограничение на съхранението“ – личните данни са съхранявани във форма, която позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие че бъдат приложени подходящите технически и организационни мерки с цел да бъдат гарантирани правата и свободите на субекта на данните;

6. „Принцип на цялостност и поверителност“ – личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;

7. „Принцип на отчетност“ – Обработващият носи отговорност и е в състояние да докаже спазването на всички горепосочени принципи.

1. „Лични данни“ означава всяка информация, свързана с физическо лице, която позволява то да бъде идентифицирано;

2. „Субект на данни“ e всяко физическо лице, което е потребител на Платформата;

3. “Потребители” в Платформата са ученици, родители, учители, административен персонал, директори;

4. „Обработване на личните данни“ е всяка операция или съвкупност от операции, извършвана с лични данни;

5. “Администратор на лични данни”/„Администратор“ е училището, което определя целите и средствата за обработването на личните данни на Потребителите в Платформата и възлага обработването им на обработващ личните данни – “ШКОЛО” ООД;

6. „Обработващ лични данни“/”Обработващ” е “ШКОЛО” ООД, което обработва личните данни по възлагане на училището;

7. В настоящата Политика Европейският съюз е наричан за краткост “Съюза”.

“ШКОЛО” ООД, с ЕИК 204224132, със седалище и адрес на управление: гр. София, район „Лозенец“, бул. „Черни връх” № 66, вх. А, ет. 1, ап. 2 се представлява от управителя Мирослав Олегов Джоканов
Имейл адрес: info@shkolo.bg
Телефони за връзка: +359 876 633 100, +359 999 996 995

“ШКОЛО” ООД е определило длъжностно лице по защита на данните със следните данни за контакт:
Име: Симеон Предов
Имейл адрес: simeon.predov@shkolo.bg
Телефон за връзка: +359 876 633 100

Училището въвежда в Платформата следните лични данни на ученици, родители, учители, административен персонал и директор, а именно: три имена, ЕГН, адрес, телефон, имейл адрес.

 

Данните се въвеждат през криптографска защита посредством SSL-процес и автентификация.

Училището не разполага с технологична възможност да обработва и съхранява база данни в електронен вид, поради което “ШКОЛО” ООД, по възлагане на училището, обработва и съхранява данните в електронен вид в режим на „облак“ (cloud) услуги чрез функционалностите на Платформата.

 

Платформата е изцяло съобразена с българското и европейското законодателство и спецификите на българската образователна система. Платформата:

 

  1. подпомага училището в областта на управление и автоматизация на административните процеси;
  2. осигурява иновативност и ефективност в организацията на образователния процес;
  3. улеснява комуникацията в училищната общност;
  4. дигитализира хартиените дневници;
  5. мотивира учениците чрез игровизация на училищните им задачи;
  6. ангажира родители и ученици в образователния процес;
  7. автоматично изпраща известия до родители и ученици;
  8. автоматично въвежда събития в родителските календари;
  9. предоставя възможност за комуникация между Потребители посредством най-модерни технологии;
  10. предоставя възможност за изготвяне на статистики и класации;

 

“ШКОЛО” ООД обработва предоставените от училището лични данни на основание сключен между “ШКОЛО” ООД и училището договор за предоставяне на достъп до Платформата и допълнително споразумение за възлагане обработването на данните и регламентиране на отношенията между администратор на лични данни и обработващ лични данни, сключено на основание чл. 24, ал 4 от ЗЗЛД и 28, ал. 3 от Регламента.

Платформата може да се използва от Потребители, чието училище, съответно училището на тяхното дете/поднастоен/подопечен е включено в Платформата на основание сключен между училището и “ШКОЛО” ООД договор и които са се регистрирали в Платформата.

 

За улеснение на Потребителите, както при регистрация, така и при използване на Платформата са разработени следните видове ръководства, съобразени с видовете Потребители на Платформата, а именно: Общи ръководства (за всички Потребители), Ръководство на учителя, Ръководство на родителя, Ръководство на администратора и Ръководство на директора.

 

  1. Регистрация на потребителски профил чрез Платформата

Процедурата по регистрация на потребителски профил чрез Платформата се осъществява като Потребителят въведе своя телефонен номер. Последният следва да бъде разпознат от системата, като в случай че това стане чрез СМС на Потребителя се изпраща 6-цифрен верифициращ код. Кодът следва да бъде въведен в системата, като при наличие на съвпадение, Потребителят има възможност да въведе потребителско име и парола за достъп по свой избор.

 

За улеснение на Потребителите е разработено Ръководството за регистрация.

 

В случай че при регистрация въведеният телефонен номер не е разпознат от системата, Потребителят може да следва стъпките, описани в Ръководство на родителя, съответно Ръководство на учителя.

 

  1. Регистрация на потребителски профил чрез уебсайт, собственост на трета страна

Платформата предоставя възможност на Потребителите да се регистрират чрез уебсайт, собственост на трета страна, като Microsoft или Facebook. За тази цел Потребителят следва да кликне върху бутона с логото на Microsoft, съответно на Facebook в регистрационната форма на Платформата и да се впише към съответния уебсайт. Правейки това, Потребителят дава изричното си съгласие, личните му данни да бъдат изпратени от съответния уебсайт до Платформата.

 

Уебсайтове на трети страни, включително на Microsoft и Facebook, имат свои собствени политики за защита на личните данни и “ШКОЛО” ООД не поема отговорност или задължение по отношение на тях.

 

  1. Потребителски профил

 Всеки Потребител има право на достъп до потребителския си профил, както и на актуализиране или коригиране на личните данни, съдържащи се в него. Всеки Потребител може да публикува профилна снимка на потребителския си профил.

 

Платформата предлага функции, които позволяват осъществяването на комуникация между различните Потребители, т. нар. директни съобщения. Когато Потребителите изпращат директни съобщения чрез потребителския си профил, името и снимката (в случай че такава е публикувана по желание на Потребителя) се изпращат на съответния друг Потребител.

 

Платформата поддържа различни видове потребителски профили - директор, учител, родител, администратор, ученик, като всеки профил предлага различни функционалности и възможности за индивидуализация на настройките на профила.

 

  1. Конфиденциалност на потребителското име и парола

 Потребителят носи отговорност за опазването конфиденциалността на потребителското си име и парола.

 

“ШКОЛО” ООД може по свое усмотрение да ограничи достъпа на който и да е Потребител, ако сметне, че е налице неправомерен достъп до потребителския му профил. Потребителят може да се свърже с “ШКОЛО” ООД на посочените в началото на тази Политика адреси за кореспонденция, за да бъде информиран относно причините, които са довели до прилагането на посочените мерки.

 

При съмнение за неправомерен или неоторизиран достъп, откраднати или изгубени потребителско име и парола, Потребителят следва веднага да сигнализира за това на “ШКОЛО” ООД, за да бъде преустановен достъпа на профила му до Платформата с оглед избягване на неправомерни действия с потребителския му профил и данните, съдържащи се в него.

“ШКОЛО” ООД може да се свързва индивидуално с Потребителите на Платформата чрез СМС съобщения, телефонни обаждания, електронна поща, поща, изкачащи съобщения, viber съобщения и всякакви други съобщения, както и да предоставя обща информация, касаеща всички Потребители, чрез публикуването ѝ в Платформата по подходящ начин.

 

Индивидуалната информация, предоставяна от “ШКОЛО” ООД се отнася до запознаване на Потребителите с функционалностите на Платформата, указания за регистрация, дневен бюлетин, напомняния за родителски срещи, отсъствия на ученици, отговори на отправени запитвания и въпроси и др.

 

Потребителят може по всяко време да откаже индивидуална комуникация с “ШКОЛО” ООД. За целта Потребителят може да промени настройките си за известия на съответното комуникационно средство, включително настройките на потребителския си профил в Платформата, да кликне на бутона “Отпиши” в края на всеки получен имейл, или да се свърже с “ШКОЛО” ООД на имейл адрес: info@shkolo.bg или телефон: +359 876 633 100, +359 999 996 995.

Личните данни се съхраняват до приключване на услугите по обработване, а именно прекратяване на сключения между “ШКОЛО” ООД и училището договор за предоставяне на достъп до Платформата и допълнително споразумение за възлагане обработването на данните и регламентиране на отношенията между Обработващ на лични данни и обработващ лични данни.

  1. Потребителят има право да получи от Обработващия потвърждение дали се обработват лични данни, свързани с него, съответно свързани с неговото дете/поднастоен/подопечен, и ако това е така, да получи достъп до данните и следната информация:

1.1. целите на обработването;

1.2. категории лични данни;

1.3. получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни;

1.4. предвидения срок, за който ще се съхраняват личните данни;

1.5. съществуването на право да се изиска от Обработващия коригиране, изтриване или ограничаване на обработването на личните данни, или да се направи възражение срещу такова обработване;

1.6. правото на жалба до надзорен орган;

1.7. всякаква налична информация за източника на данните;

1.8. съществуването на автоматизирано вземане на решения, включително профилиране.

 

  1. Обработващият предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от Потребителя, последният заплаща административните разходи за същите.

 

  1. Когато Потребителят подава искане чрез електронни средства, информацията се предоставя в електронна форма, освен ако Потребителят не е поискал друго.

 

  1. Потребителят има право да поиска от Обработващия да коригира без ненужно забавяне неточните лични данни, свързани с него, съответно свързани с неговото дете/поднастоен/подопечен. Като се имат предвид целите на обработването Потребителят има право непълните лични данни да бъдат допълнени.

 

  1. Потребителят има правото да поиска от Обработващия изтриване на неговите, съответно на неговото дете/поднастоен/подопечен лични данни, а Обработващият има задължението да изтрие своевременно личните данни, в следните случаи:

5.1. личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

5.2. Потребителят е оттеглил своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;

5.3. Потребителят е възразил срещу обработването на лични данни и няма законни основания за обработването, които да имат преимущество, а в случаите, когато обработването е за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява;

5.4. личните данни са били обработвани незаконосъобразно;

5.5. личните данни трябва да бъдат изтрити с цел спазването на правно задължение по приложимото спрямо Обработващия право;

5.6. личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца съобразно условията, приложими за съгласието на дете във връзка с услугите на информационното общество.

 

  1. Потребителят има право да изиска от Обработващия ограничаване на обработването, в следните случаи:

6.1. когато Потребителят оспорва точността на личните данни, за срок, който позволява на Обработващия да провери точността на личните данни;

6.2. когато обработването на личните данни е неправомерно, но Потребителят не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

6.3. когато Обработващият не се нуждае повече от личните данни за целите на обработването, но личните данни следва да бъдат съхранявани, тъй като Потребителят изисква това от Обработващия за установяването, упражняването или защитата на правни претенции;

6.4. Потребителят е възразил срещу обработването на личните данни, но следва да се извърши проверка дали законните основания на Обработващия имат преимущество пред интересите на Потребителя.

 

  1. Когато обработването е ограничено съгласно т. 6., такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на Потребителя или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка.

 

  1. Когато Потребителят е изискал ограничаване на обработването съгласно т. 6., Обработващият го информира преди отмяната на ограничаването на обработването.

 

  1. Обработващият съобщава за всяко извършено в съответствие с т. 4. – 8. коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити. Обработващият информира Потребителя относно тези получатели, ако Потребителят поиска това.

 

  1. Потребителят има право да получи личните данни, които го засягат в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг обработващ без възпрепятстване от Обработващия, на когото личните данни са предоставени, когато:

10.1. обработването е основано на съгласие или на договорно задължение; и

10.2. обработването се извършва по автоматизиран начин.

 

  1. Когато упражнява правото си на преносимост на данните по т. 10., Потребителят има право да получи пряко прехвърляне на личните данни от един обработващ към друг, когато това е технически осъществимо.

 

  1. Упражняването на правото, посочено в т. 10. не засяга правото на изтриване по т. 5. Посоченото право не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Обработващия.

 

  1. Потребителят има право по всяко време на възражение срещу обработване на лични данни, отнасящи се до него и/или неговото дете/поднастоен/подопечен на основанията, посочени в Регламента. Обработващият прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на Потребителя, или за установяването, упражняването или защитата на правни претенции.

 

  1. Всеки Потребител има право да подаде жалба до съответния надзорен орган, в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако Потребителят счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на Регламента. Надзорният орган в Република България е Комисия за защита на личните данни, с адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, тел. 02/91-53-518, електронна поща: kzld@cpdp.bg, интернет страница: www.cpdp.bg.

 

  1. Обработващият съдейства за упражняването на правата на Потребителя, както и се задължава да предприеме всички необходими действия по искане на Потребителя за упражняване на правата му. Обработващият има право да откаже да предприеме съответните действие само в случаите, когато не е в състояние да идентифицира Потребителя.

 

  1. Обработващият се задължава да предостави на Потребителя информация относно действията, предприети във връзка с подадено от същия искане в срок от един месец от получаване на искането. При необходимост, в зависимост от сложността и броя на исканията, този срок може да бъде удължен с още два месеца. Обработващият се задължава да информира Потребителя за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато Потребителят подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако Потребителят не е поискал друго.

 

  1. Ако Обработващият не предприеме действия по съответното искане на Потребителя, Обработващият уведомява Потребителя най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.

 

  1. В случай на нарушение на сигурността на личните данни Обработващият, не по-късно от 72 часа, след като е разбрал за него, уведомява за нарушението на сигурността на личните данни компетентния надзорен орган, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато същото не е подадено в срок от 72 часа.

 

  1. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Обработващият своевременно съобщава на Субекта на данните за нарушението на сигурността на личните данни.

Обработващият е въвел подходящи технически и организационни мерки, за да гарантира, че обработването се извършва в съответствие с изискванията на Регламента, както и че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването с оглед обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. Подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

 

В структурата си програмният код на Платформата съдържа защити срещу неоторизиран достъп. Обработването на всички действия и операции се извършва изцяло на сървърно ниво, което гарантира най-голяма сигурност на данните в системата. Използват се най-съвременни защити на базата данни и софтуерните приложения. По отношение на данните се прилагат стриктни протоколи за гарантиране на сигурността, реакция при криза и бедствие, както и предпазване от загуба на информация.

 

Защитата на данните от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми и периодичен бекъп на данните на втори сървър.

 

Гореизброените мерки се преразглеждат периодично и при необходимост се актуализират.

 

Обработващият документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.

 

Обработващият не извършва автоматизирано вземане на решения и профилиране.

Категориите получатели, на които личните данни могат да бъдат разкривани са: лица, ако е предвидено в нормативен акт, включително на държавни органи, по отношение на които съществува законово изискване за предоставяне на определени категории лични данни; или лица, които под прякото ръководство на Обработващия обработват личните данни, поели са ангажимент за поверителност и са запознати със законодателството по защита на личните данни.

 

Обработващият е предприел действия всяко физическо лице, действащо под неговото ръководство, което има достъп до лични данни, да обработва тези данни само по указание на Обработващия, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка.

 

Обработващият не носи отговорност за действията на Потребителите, училището, както и всяко лице, действащо под ръководство на училището, което има достъп до лични данни.

Настоящата Политика може да бъде променяна едностранно от “ШКОЛО” ООД, като измененията й се съобщават на Потребителите чрез публикуването й в Платформата. Ако промените са важни и съществено изменят правилата за защита на личните данни, допълнително ще уведомим Потребителите чрез други средства, например чрез имейл или известие, преди промените да влязат в сила промените.

 

Ако смятате, че каквато и да било информация за Вас или Вашето дете/поднастоен/подопечен е невярна или неточна, моля да ни информирате възможно най-скоро на еmail: info@shkolo.bg или тел: +359 999 996 995.

 

Политиката за защита на личните данни е последно актуализирана на 25 Май 2018 г.