Polityka Prywatności
§ 1. Informacje ogólne
Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych w związku z korzystaniem z platformy MonteFlow.cloud (dalej: „Platforma") prowadzonej przez:
Jednoosobowa Działalność Gospodarcza
ul. Orzechowa 5, 55-040 Dobkowice, Polska
NIP: 913-153-70-18
Kontakt ogólny: support@monteflow.cloud
Kontakt w sprawach ochrony danych: privacy@monteflow.cloud
Dalej: „ZUBEL.PRO", „my" lub „Operator".
ZUBEL.PRO pełni w związku z Platformą dwie odrębne role w rozumieniu RODO:
- Administrator danych — w odniesieniu do danych osobowych zbieranych we własnym imieniu i na własne cele (dane przedstawicieli Placówek, dane rozliczeniowe, dane techniczne związane z działaniem Platformy). Szczegóły w § 3.
- Podmiot przetwarzający (procesor) — w odniesieniu do danych osobowych wprowadzanych do Platformy przez Placówki (dane dzieci, rodziców, nauczycieli). Szczegóły w § 4.
Polityka dotyczy wszystkich osób korzystających z Platformy lub których dane są w niej przetwarzane: przedstawicieli Placówek, nauczycieli, rodziców i opiekunów prawnych oraz dzieci (wychowanków/uczniów).
§ 2. Definicje
- RODO — rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
- Platforma — serwis internetowy MonteFlow.cloud wraz z powiązanymi usługami.
- Placówka — przedszkole, szkoła lub inna placówka oświatowa korzystająca z Platformy na podstawie umowy z ZUBEL.PRO.
- Użytkownik — każda osoba posiadająca konto w Platformie (nauczyciel, rodzic, opiekun prawny, pracownik Placówki).
- Dane powierzone — dane osobowe wprowadzane do Platformy przez Placówkę lub jej Użytkowników, których administratorem jest Placówka.
§ 3. ZUBEL.PRO jako administrator danych
Jakie dane zbieramy jako administrator
W ramach własnej działalności ZUBEL.PRO zbiera i przetwarza następujące kategorie danych osobowych:
- Dane przedstawicieli Placówek (klientów B2B): imię i nazwisko osoby reprezentującej Placówkę, stanowisko/funkcja w Placówce, służbowy adres e-mail, służbowy numer telefonu, dane Placówki: nazwa, adres siedziby, NIP, REGON.
- Dane rozliczeniowe: dane niezbędne do wystawienia faktury (nazwa, adres, NIP), historia płatności i faktur.
- Dane związane z kontem Użytkownika: adres e-mail użyty do rejestracji, identyfikator konta, data rejestracji i ostatniego logowania, preferencje konta (język, powiadomienia).
- Dane techniczne i analityczne: adres IP, typ i wersja przeglądarki, system operacyjny, daty i godziny dostępu do Platformy, logi systemowe dotyczące bezpieczeństwa i diagnostyki.
- Dane subskrybentów newslettera: adres e-mail, imię (jeśli podane), nazwa Placówki (jeśli podana), data dodania do listy subskrybentów, źródło pozyskania (formularz na stronie MonteFlow.cloud lub bezpośrednie przekazanie adresu przez subskrybenta).
Cele i podstawy prawne przetwarzania
| Cel przetwarzania | Kategorie danych | Podstawa prawna | Okres przechowywania |
|---|---|---|---|
| Zawarcie i realizacja umowy o świadczenie Usługi | Dane przedstawicieli Placówek, dane rozliczeniowe | Art. 6 ust. 1 lit. b RODO (wykonanie umowy) | Czas trwania umowy + 30 dni |
| Wystawianie faktur i rozliczenia podatkowe | Dane rozliczeniowe | Art. 6 ust. 1 lit. c RODO (obowiązek prawny — przepisy podatkowe) | 5 lat od końca roku podatkowego, w którym wystawiono fakturę |
| Kontakt operacyjny z Placówką (wsparcie techniczne, powiadomienia o zmianach) | Dane kontaktowe przedstawicieli | Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — realizacja umowy i bieżąca komunikacja) | Czas trwania umowy + 30 dni |
| Prowadzenie i utrzymanie konta Użytkownika | Dane konta Użytkownika | Art. 6 ust. 1 lit. b RODO (wykonanie umowy / świadczenie usługi) | Czas trwania konta + 30 dni |
| Zapewnienie bezpieczeństwa Platformy, diagnostyka, wykrywanie nadużyć | Dane techniczne, logi | Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — bezpieczeństwo systemu) | Do 18 miesięcy od zarejestrowania |
| Dochodzenie lub obrona roszczeń | Dane kontaktowe, rozliczeniowe, logi | Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes) | Okres przedawnienia roszczeń (co do zasady 3 lata) |
| Wysyłka newsletterów produktowych (informacje o nowych funkcjach Platformy) do przedstawicieli Placówek i osób zainteresowanych | Adres e-mail, imię, nazwa Placówki (jeśli podana), źródło pozyskania | Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — marketing bezpośredni do klientów i osób, które dobrowolnie przekazały adres e-mail z myślą o otrzymywaniu takich wiadomości) w związku z art. 10 ustawy o świadczeniu usług drogą elektroniczną | Do wniesienia sprzeciwu lub wypisania się z listy; nie dłużej niż 3 lata od ostatniej interakcji |
Prawnie uzasadnione interesy
W przypadku przetwarzania opartego na art. 6 ust. 1 lit. f RODO, prawnie uzasadnione interesy ZUBEL.PRO obejmują: bieżącą komunikację z klientami niezbędną do realizacji umowy, zapewnienie bezpieczeństwa i ciągłości działania Platformy, oraz dochodzenie lub obronę roszczeń. Osoby, których dane dotyczą, mają prawo wniesienia sprzeciwu wobec takiego przetwarzania (zob. § 6).
§ 4. ZUBEL.PRO jako podmiot przetwarzający (procesor)
Dane powierzone przez Placówki
Placówki korzystające z Platformy wprowadzają do niej dane osobowe dzieci (wychowanków/uczniów), rodziców i opiekunów prawnych oraz nauczycieli i personelu. Administratorem tych danych jest Placówka, nie ZUBEL.PRO.
ZUBEL.PRO przetwarza te dane wyłącznie na udokumentowane polecenie Placówki, na podstawie Umowy Powierzenia Przetwarzania Danych Osobowych (DPA) zawartej z każdą Placówką.
Zakres danych powierzonych
Szczegółowy zakres danych powierzonych określa DPA zawarta z Placówką. Dane te mogą obejmować w szczególności:
- dane identyfikacyjne dzieci (imię, nazwisko, data urodzenia),
- wizerunek dzieci (zdjęcia),
- obserwacje pedagogiczne i dane o postępach,
- informacje o obecności,
- dane dotyczące zdrowia — alergeny, stany zdrowotne, notatki zdrowotne (do 2000 znaków), oznaczenie specjalnych potrzeb edukacyjnych (SEN) oraz dokumenty wrażliwe SEN (pliki) — stanowiące dane szczególnych kategorii w rozumieniu art. 9 RODO; ich wprowadzanie do Platformy wymaga uprzedniej rejestracji zgody zdrowotnej rodzica/opiekuna,
- dane kontaktowe rodziców/opiekunów (imię, nazwisko, e-mail, telefon),
- dane nauczycieli (imię, nazwisko, e-mail, rola w Placówce).
Zasady przetwarzania danych powierzonych
- ZUBEL.PRO przetwarza dane powierzone wyłącznie w celu świadczenia Usługi na rzecz Placówki i zgodnie z jej poleceniami.
- ZUBEL.PRO nie wykorzystuje danych powierzonych do własnych celów, w szczególności nie wykorzystuje ich do profilowania, analityki, marketingu ani sztucznej inteligencji.
- Wszelkie żądania dotyczące danych powierzonych (dostęp, sprostowanie, usunięcie, przenoszenie) należy kierować bezpośrednio do Placówki, która jest ich administratorem. ZUBEL.PRO wspiera Placówkę w realizacji tych żądań w zakresie określonym w DPA.
Kontakt w sprawie danych powierzonych
Jeżeli jesteś rodzicem, opiekunem prawnym, nauczycielem lub inną osobą, której dane zostały wprowadzone do Platformy przez Placówkę, i chcesz skorzystać ze swoich praw wynikających z RODO, prosimy o kontakt z Placówką, która jest administratorem Twoich danych. Placówka jest zobowiązana do udzielenia odpowiedzi na Twoje żądanie. W razie trudności z uzyskaniem odpowiedzi od Placówki możesz również skontaktować się z nami pod adresem privacy@monteflow.cloud — przekażemy Twoje żądanie Placówce.
§ 5. Odbiorcy danych
Odbiorcy danych, których ZUBEL.PRO jest administratorem
ZUBEL.PRO może udostępniać dane osobowe, których jest administratorem, następującym kategoriom odbiorców:
- Amazon Web Services EMEA SARL (Luksemburg — UE) — dostawca infrastruktury chmurowej; dla użytkowników z UE stroną umowy i podmiotem przetwarzającym jest ten podmiot z siedzibą w UE. Dane przechowywane na serwerach w UE (Sztokholm, Mediolan). Ewentualny dostęp Amazon Web Services, Inc. (USA) jako podmiotu z grupy objęty jest ramami EU-US Data Privacy Framework.
- Slack Technologies (Salesforce) — platforma komunikacyjna wykorzystywana do bieżącej komunikacji z przedstawicielami Placówek (§ 3.6 Umowy). Przetwarzane dane: imię, nazwisko (lub pseudonim) oraz adres e-mail osoby wskazanej przez Placówkę. Dane przetwarzane na podstawie art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — bieżąca komunikacja z klientem). Slack Inc. z siedzibą w USA objęty ramami EU-US Data Privacy Framework.
- Apple Distribution International Ltd (Cork, Irlandia — UE) — dostawca hostingu poczty e-mail dla firmowych skrzynek support@monteflow.cloud i privacy@monteflow.cloud (iCloud z własną domeną). Dla użytkowników z UE stroną umowy i podmiotem odpowiedzialnym za przetwarzanie jest ten podmiot z siedzibą w UE. Przetwarzane dane: treść korespondencji oraz dane kontaktowe osób piszących do nas. Ewentualny dostęp Apple Inc. (USA) jako podmiotu z grupy Apple odbywa się na podstawie standardowych klauzul umownych (SCC).
- MailerLite (MailerLite, UAB) — narzędzie wysyłki i obsługi listy subskrybentów newsletterów produktowych. Przetwarzane dane: adres e-mail, imię, nazwa Placówki (jeśli podana), status subskrypcji. Siedziba: Paupio g. 46, Wilno, Litwa (UE). Przetwarzanie w Europejskim Obszarze Gospodarczym; ewentualne pod-podprocesory w USA objęte ramami EU-US Data Privacy Framework.
- Biuro Rachunkowe Małe Podatki (malepodatki.pl, Polska) — w zakresie danych rozliczeniowych niezbędnych do prowadzenia księgowości i rozliczeń podatkowych, na podstawie odrębnej umowy powierzenia przetwarzania.
- Organy publiczne — w zakresie wynikającym z obowiązujących przepisów prawa (np. organy podatkowe).
ZUBEL.PRO nie sprzedaje danych osobowych i nie udostępnia ich podmiotom trzecim w celach marketingowych.
Odbiorcy danych powierzonych
Dane powierzone przez Placówki nie są udostępniane przez ZUBEL.PRO żadnym podmiotom trzecim, z wyjątkiem podprocesorów wskazanych w DPA (w szczególności AWS jako dostawca infrastruktury). Lista aktualnych podprocesorów jest dostępna w DPA zawartej z Placówką.
§ 6. Prawa osób, których dane dotyczą
Prawa wobec danych administrowanych przez ZUBEL.PRO
Jeżeli ZUBEL.PRO jest administratorem Twoich danych (dane przedstawicieli Placówek, dane kont Użytkowników, dane techniczne), przysługują Ci następujące prawa:
- Prawo dostępu (art. 15 RODO) — prawo do uzyskania informacji o przetwarzaniu Twoich danych oraz kopii danych.
- Prawo do sprostowania (art. 16 RODO) — prawo do poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
- Prawo do usunięcia (art. 17 RODO) — prawo do żądania usunięcia danych, z zastrzeżeniem wyjątków przewidzianych w RODO (np. obowiązki podatkowe).
- Prawo do ograniczenia przetwarzania (art. 18 RODO) — prawo do żądania ograniczenia przetwarzania w określonych przypadkach.
- Prawo do przenoszenia danych (art. 20 RODO) — prawo do otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie.
- Prawo do sprzeciwu (art. 21 RODO) — prawo do wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO).
- Prawo do skargi — prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl).
W szczególności w odniesieniu do newsletterów produktowych wysyłanych przez MailerLite — przetwarzanie opiera się na art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes), wobec czego przysługuje Ci prawo sprzeciwu (art. 21 RODO) w każdym czasie. Możesz w dowolnej chwili wypisać się z listy subskrybentów, klikając link rezygnacji w każdej wiadomości newslettera lub kontaktując się pod adresem privacy@monteflow.cloud.
Prawa wobec danych powierzonych (dane w Platformie)
Jeżeli Twoje dane zostały wprowadzone do Platformy przez Placówkę (dane dzieci, rodziców, nauczycieli), administratorem tych danych jest Placówka. Wszelkie żądania dotyczące tych danych należy kierować do Placówki. ZUBEL.PRO nie jest uprawniony do samodzielnego rozpatrywania takich żądań.
Jak skorzystać z praw
Żądania dotyczące danych, których administratorem jest ZUBEL.PRO, prosimy kierować na adres: privacy@monteflow.cloud. Odpowiedź zostanie udzielona bez zbędnej zwłoki, nie później niż w terminie 30 dni od otrzymania żądania. W uzasadnionych przypadkach termin ten może zostać przedłużony o kolejne 60 dni, o czym osoba zostanie poinformowana.
§ 7. Międzynarodowe transfery danych
- Dane osobowe są przechowywane na serwerach AWS zlokalizowanych w Unii Europejskiej (regiony: eu-north-1 — Sztokholm, Szwecja; eu-south-1 — Mediolan, Włochy).
- AWS Inc. z siedzibą w USA może mieć ograniczony dostęp do danych w celach utrzymania infrastruktury jako pod-podprocesor. Transfer ten jest objęty ramami EU-US Data Privacy Framework (decyzja wykonawcza Komisji Europejskiej z dnia 10 lipca 2023 r.).
- ZUBEL.PRO nie przekazuje danych osobowych do państw trzecich poza powyższym przypadkiem. W razie konieczności takiego transferu w przyszłości ZUBEL.PRO zapewni odpowiedni poziom ochrony zgodnie z Rozdziałem V RODO i poinformuje o tym w zaktualizowanej Polityce Prywatności.
§ 8. Pliki cookies i technologie śledzące
Rodzaje stosowanych plików cookies
| Rodzaj | Cel | Podstawa prawna | Okres przechowywania |
|---|---|---|---|
| Cookies niezbędne (sesyjne) | Utrzymanie sesji logowania, bezpieczeństwo, podstawowe działanie Platformy | Art. 6 ust. 1 lit. f RODO (niezbędność techniczna) | Do zakończenia sesji |
Czego nie stosujemy
Platforma nie wykorzystuje:
- cookies marketingowych ani reklamowych,
- narzędzi śledzenia zachowań użytkowników (tracking),
- pikseli śledzących (tracking pixels),
- narzędzi analitycznych podmiotów trzecich (np. Google Analytics),
- profilowania użytkowników.
Zarządzanie cookies
Użytkownik może zarządzać plikami cookies za pośrednictwem ustawień swojej przeglądarki. Wyłączenie cookies niezbędnych może uniemożliwić korzystanie z Platformy.
§ 9. Bezpieczeństwo danych
ZUBEL.PRO stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w szczególności:
- szyfrowanie danych w tranzycie (TLS 1.2+) i w spoczynku (AES-256),
- kontrolę dostępu opartą na rolach z zasadą minimalnych uprawnień,
- uwierzytelnianie wieloskładnikowe (MFA) dla kont uprzywilejowanych, zgodnie z polityką MFA Platformy,
- izolację danych różnych Placówek na poziomie bazy danych,
- logowanie i monitorowanie dostępów,
- codzienne automatyczne kopie zapasowe, replikowane do drugiego regionu UE (georedundancja),
- regularne przeglądy i aktualizacje zabezpieczeń.
§ 10. Dane dzieci
- ZUBEL.PRO nie zbiera samodzielnie danych osobowych dzieci. Dane dzieci są wprowadzane do Platformy przez Placówki, które są ich administratorami.
- Platforma nie jest skierowana bezpośrednio do dzieci i dzieci nie tworzą w niej kont.
- Wszelkie kwestie dotyczące przetwarzania danych dzieci, w tym uzyskanie wymaganych zgód, leżą po stronie Placówki jako administratora danych.
§ 11. Zautomatyzowane podejmowanie decyzji
Platforma nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływały na osoby, których dane dotyczą.
§ 12. Zmiany Polityki Prywatności
- ZUBEL.PRO zastrzega sobie prawo do aktualizacji niniejszej Polityki Prywatności w celu odzwierciedlenia zmian w praktykach przetwarzania danych, zmian prawnych lub zmian w funkcjonalnościach Platformy.
- O istotnych zmianach Użytkownicy zostaną powiadomieni za pośrednictwem Platformy lub drogą e-mailową z co najmniej 14-dniowym wyprzedzeniem przed wejściem zmian w życie.
- Korzystanie z Platformy po wejściu zmian w życie oznacza akceptację zaktualizowanej Polityki Prywatności.
- Poprzednie wersje Polityki Prywatności są dostępne na życzenie pod adresem privacy@monteflow.cloud.
§ 13. Kontakt
W sprawach związanych z ochroną danych osobowych prosimy o kontakt:
Odpowiedzi udzielamy bez zbędnej zwłoki, nie później niż w terminie 30 dni.