Политика конфиденциальности

1. Контролер данных и контакты

Ответственное лицо

2. Сбор и обработка данных

2.1 Персональные данные, которые мы собираем

Мы собираем и обрабатываем следующие категории персональных данных:

Данные учетной записи:

• Адрес электронной почты, имя пользователя
• Имя, фамилия
• Фото профиля
• Даты создания учетной записи и последнего входа
• Настройки учетной записи

Информация профиля (необязательно):

• Профессиональное звание
• Дата рождения
• Адрес, почтовый индекс, город, страна
• Номера телефона и мобильного телефона
• Профессиональная биография и области экспертизы
• Пол

Данные о регистрации и участии в воркшопах:

• Информация о регистрации на воркшоп
• Метод регистрации (прямой, по коду или административный)
• Статус и история платежей
• Записи о посещении воркшопов
• Статус выполнения контрольного списка участника

Данные о прогрессе обучения:

• Статус выполнения лекций и заданий
• Представленные упражнения и решения
• Метрики участия и вовлеченности в воркшопы
• Сообщения в чате и публикации на форумах

Платежные данные:

• Платежная информация
• Детали метода оплаты (безопасно обрабатываются сторонними платежными системами)
• История счетов и записи транзакций

Технические данные:

• IP-адрес
• Тип и версия браузера
• Информация об устройстве
• Операционная система
• Данные сессии и файлы cookie
• Журналы использования платформы

Данные для связи:

• Запросы в службу поддержки и переписка
• Отзывы и ответы на опросы
• Сообщения в чате во время сессий воркшопа
• Взаимодействие по электронной почте

2.2 Содержание воркшопов и записи

Сессии воркшопов могут быть записаны для просмотра участниками и обеспечения качества. Записи могут включать:

• Презентации тренера и демонстрации экрана
• Видео и аудио участников (при включенных камерах/микрофонах)
• Сообщения в чате и совместная деятельность

Участники уведомляются о начале записи и могут отключить свою камеру/микрофон. Записи доступны только зарегистрированным участникам и авторизованным тренерам.

2.3 Данные, которые мы не собираем

Мы не:

• Собираем конфиденциальные персональные данные (например, о здоровье, религии, политических взглядах), если они не предоставлены добровольно
• Отслеживаем поведение при просмотре на других веб-сайтах
• Продаем персональные данные третьим лицам
• Используем персональные данные для несвязанного маркетинга без согласия

3. Правовые основания для обработки

Мы обрабатываем Ваши персональные данные на следующих правовых основаниях в соответствии с GDPR:

Исполнение договора (ст. 6(1)(b) GDPR):

• Создание и управление Вашей учетной записью
• Обработка регистраций на воркшопы и платежей
• Предоставление материалов и контента воркшопов
• Облегчение взаимодействия между тренером и участником
• Выдача сертификатов о завершении

Законный интерес (ст. 6(1)(f) GDPR):

• Безопасность платформы и предотвращение мошенничества
• Улучшение сервиса и разработка новых функций
• Аналитика и шаблоны использования (по возможности анонимизированные)
• Устранение технических неполадок и поддержка
• Внутренние бизнес-операции

Согласие (ст. 6(1)(a) GDPR):

• Маркетинговые сообщения и рассылки
• Дополнительные улучшения профиля
• Участие в опросах и программах обратной связи
• Запись сессий воркшопов с видео/аудио

Юридическое обязательство (ст. 6(1)(c) GDPR):

• Налоговые и бухгалтерские требования
• Соблюдение немецкого коммерческого права
• Ответ на юридические запросы и судебные постановления

4. Передача данных и третьи стороны

4.1 Поставщики услуг

Мы работаем с доверенными сторонними поставщиками, которые помогают нам предоставлять наши услуги:

• Clerk: Услуги аутентификации и управления пользователями
• Payment Processors: Платежные системы: Безопасная обработка платежей (Stripe, PayPal)
• Cloud Infrastructure: Облачная инфраструктура: Хостинг баз данных (PostgreSQL), хостинг приложений (Vercel)
• Communication Services: Коммуникационные услуги: Доставка электронной почты (Resend), видеоконференции (Zoom, Microsoft Teams)

4.2 Меры по защите данных

Все сторонние обработчики данных:

• Связаны соглашениями об обработке данных (DPA)
• Обязаны соблюдать стандарты соответствия GDPR
• Подвергаются регулярным оценкам безопасности и конфиденциальности
• По контракту обязаны защищать персональные данные
• Ограничены в использовании данных для своих собственных целей

4.3 Передача данных тренерам и организациям

Тренеры воркшопов имеют доступ к:

• Именам и адресам электронной почты участников своих воркшопов
• Прогрессу обучения и статусу выполнения заданий
• Содержимому чата и обсуждений воркшопов
• Информации о регистрации и посещаемости

Корпоративные клиенты (для частных воркшопов) получают:

• Записи о регистрации и посещаемости участников
• Агрегированные метрики прогресса обучения
• Сертификаты о завершении
• Индивидуальные данные обучающихся только с согласия участника или в соответствии с договором

4.4 Отсутствие продажи персональных данных

Мы не продаем, не сдаем в аренду и не обмениваем персональные данные третьим лицам в маркетинговых целях.

5. Ваши права согласно GDPR

Как субъект данных согласно GDPR, Вы имеете следующие права:

• Право на доступ (ст. 15): Запросить копию всех персональных данных, которые мы храним о Вас
• Право на исправление (ст. 16): Исправить неточные или неполные персональные данные
• Право на удаление (ст. 17) - «Право быть забытым»: Запросить удаление Ваших персональных данных
• Право на ограничение обработки (ст. 18): Ограничить способ обработки Ваших данных
• Право на переносимость данных (ст. 20): Получить Ваши персональные данные в структурированном, машиночитаемом формате
• Право на возражение (ст. 21): Возражать против обработки на основе законного интереса
• Право отозвать согласие: Отозвать согласие на обработку, основанную на согласии, в любое время
• Право не быть объектом автоматизированного принятия решений (ст. 22): Мы не используем автоматизированное принятие решений или профилирование с юридическими или значительными последствиями

5.1 Как реализовать Ваши права

Для реализации этих прав свяжитесь с нами по адресу:

Электронная почта: privacy@nextacademy.io
Тема: «Запрос субъекта данных GDPR»

Мы ответим в течение 30 дней с момента получения Вашего запроса.

6. Хранение и удаление данных

6.1 Сроки хранения

• Данные учетной записи: Хранятся пока Ваша учетная запись активна, плюс 3 года для выполнения юридических обязательств (налоги, контракты)
• Данные о регистрации на воркшопы и обучении: Срок регистрации + минимум 90 дней
• Отслеживание прогресса: Хранится пока учетная запись активна
• Сертификаты: Хранятся бессрочно для целей верификации
• Записи и данные сессий: 90 дней после даты окончания воркшопа
• Журналы чата: Срок проведения воркшопа + 1 год
• Платежные и биллинговые данные: 10 лет согласно немецкому налоговому и бухгалтерскому законодательству
• Технические журналы: 12 месяцев (анонимизируются через 6 месяцев)
• Данные для связи: Переписка службы поддержки (3 года), Маркетинг (до отзыва согласия)

6.2 Безопасное удаление

При удалении данных мы обеспечиваем:

• Безопасное удаление из активных баз данных
• Очистку из резервных копий в течение 6 месяцев
• Необратимое удаление с использованием безопасных методов
• Сторонние обработчики также удаляют данные
• Проверку полноты удаления

6.3 Исключения из удаления

Мы можем хранить данные дольше, если:

• Требуется по закону (налоговые, юридические, регуляторные)
• Необходимо для активных юридических претензий или споров
• Необходимо для предотвращения мошенничества или злоупотреблений
• Анонимизировано для исследований или аналитики (больше не является персональными данными)

7. Меры безопасности

Мы применяем комплексные меры безопасности для защиты Ваших персональных данных:

Технические меры:

• Шифрование данных при передаче (TLS/SSL)
• Шифрование данных в состоянии покоя (AES-256)
• Безопасный контроль доступа к базе данных
• Регулярные обновления безопасности и патчи
• Автоматическое обнаружение угроз
• Защита от DDoS-атак и брандмауэры

Организационные меры:

• Контроль доступа на основе принципа минимальных привилегий
• Многофакторная аутентификация для административного доступа
• Регулярное обучение персонала по вопросам безопасности
• Проверка биографических данных сотрудников, имеющих доступ к данным
• Соглашения о конфиденциальности для всего персонала

Операционная безопасность:

• Регулярные оценки безопасности и тестирование на проникновение
• План и процедуры реагирования на инциденты
• Процедуры уведомления о нарушении данных
• Практики безопасной разработки (проверка кода, тестирование)
• Регулярное резервное копирование с шифрованием

8. Международная передача данных

При передаче персональных данных за пределы Европейской экономической зоны (ЕЭЗ) мы обеспечиваем адекватную защиту посредством:

• Решений Европейской комиссии об адекватности
• Стандартных договорных положений (SCC), утвержденных Европейской комиссией
• Шифрования во время передачи
• Ограниченного контроля доступа

9. Файлы cookie и технологии отслеживания

9.1 Основные файлы cookie

Мы используем основные файлы cookie, необходимые для функциональности платформы:

• Аутентификация и управление сессиями
• Безопасность и предотвращение мошенничества
• Балансировка нагрузки и производительность
• Пользовательские предпочтения и настройки

Эти файлы cookie не требуют согласия, так как они строго необходимы для предоставления услуги.

9.2 Аналитические и необязательные файлы cookie

Мы можем использовать аналитические файлы cookie для улучшения нашего сервиса:

• Шаблоны использования и внедрение функций
• Мониторинг производительности
• Отслеживание ошибок
• A/B-тестирование функций

Вы можете управлять необязательными файлами cookie через настройки Вашего браузера или наш баннер согласия на использование файлов cookie.

9.3 Сторонние файлы cookie

Сторонние сервисы (например, видеоконференции, платежные системы) могут устанавливать свои собственные файлы cookie. Они регулируются политикой конфиденциальности соответствующей третьей стороны.

10. Конфиденциальность детей

Наш сервис предназначен для профессионального образования и обучения. Мы сознательно не собираем персональные данные детей младше 16 лет без согласия родителей.

11. Уведомление о нарушении данных

В случае нарушения данных, которое представляет риск для Ваших прав и свобод:

• Мы уведомим соответствующий надзорный орган в течение 72 часов
• Вы будете уведомлены без неоправданной задержки, если нарушение представляет высокий риск
• Уведомление будет включать характер нарушения, вероятные последствия и меры по их смягчению
• Мы будем документировать все нарушения и наши ответные действия

12. Изменения в настоящей Политике

Мы можем периодически обновлять настоящую Политику конфиденциальности, чтобы отразить:

• Изменения в нашей практике обработки данных
• Новые функции или услуги
• Юридические или регуляторные требования
• Отзывы пользователей и регуляторов

О существенных изменениях будет сообщено по электронной почте или через уведомление на платформе не менее чем за 30 дней. Продолжение использования после уведомления означает принятие обновленной политики.

Последнее обновление: Январь 2025 г.

13. Контакты и сотрудник по защите данных

13.1 Контролер данных

По всем вопросам, связанным с конфиденциальностью, запросам субъектов данных или для осуществления Ваших прав согласно GDPR, пожалуйста, свяжитесь с нами по адресу privacy@nextacademy.io

13.2 Жалобы и надзорный орган

Вы имеете право подать жалобу в местный орган по защите данных, если считаете, что мы ненадлежащим образом обработали Ваши данные.

Немецкий надзорный орган:

Мы рекомендуем Вам сначала связаться с нами для разрешения любых проблем, прежде чем подавать жалобу в надзорный орган.