1. Administrator i role w przetwarzaniu danych
W ReflectMe występują dwa modele ról:
- Model wdrożenia szkolnego (główny): Szkoła co do zasady działa jako administrator danych uczestników wdrożenia (uczniów i personelu), a ReflectMe jako podmiot przetwarzający na podstawie umowy powierzenia (DPA).
- Model danych własnych ReflectMe: w zakresie danych kontraktowych, rozliczeniowych, korespondencji oraz logów bezpieczeństwa niezbędnych do ochrony Usługi – administratorem jest Bartosz Wojciechowski działający obecnie w formule działalności nierejestrowanej, zgodnie z obowiązującymi przepisami prawa.(dane kontaktowe: kontakt@reflectme.app, rodo@reflectme.app).
2. Jakie dane przetwarzamy
2.1 Dane w procesie szkolnym
- dane wpisów nastroju i metadane zdarzeń (czas, klasa/grupa, statusy operacyjne),
- dane incydentów SAFE (w tym status i notatki operacyjne),
- dane kont Użytkowników Szkoły (np. login/e-mail służbowy, rola, identyfikator organizacji),
- dane urządzeniowe i bezpieczeństwa (np. identyfikator sesji, logi techniczne).
2.2 Dane kontaktowe i umowne
- dane osób kontaktowych po stronie Szkoły,
- treść korespondencji i zgłoszeń wsparcia,
- dane niezbędne do zawarcia/wykonania umowy.
3. Pseudonimizacja i zakres identyfikacji
ReflectMe stosuje zasadę minimalizacji danych. W procesach analitycznych i operacyjnych wykorzystywane są mechanizmy pseudonimizacji (np. identyfikatory techniczne zamiast danych bezpośrednio identyfikujących), tak aby ograniczać ryzyko ponownej identyfikacji i zakres dostępu do danych osobowych.
4. Cele i podstawy prawne przetwarzania
| Cel | Podstawa prawna |
|---|---|
| Wykonanie umowy wdrożeniowej/licencyjnej | art. 6 ust. 1 lit. b RODO |
| Bezpieczeństwo usług, zapobieganie nadużyciom, audyt i logowanie zdarzeń | art. 6 ust. 1 lit. f RODO (uzasadniony interes) |
| Obsługa zgłoszeń, reklamacji i kontaktu | art. 6 ust. 1 lit. b lub f RODO |
| Wykonanie obowiązków prawnych (np. rachunkowość, rozliczenia) | art. 6 ust. 1 lit. c RODO |
| Przetwarzanie w imieniu Szkoły | art. 28 RODO (DPA + udokumentowane polecenia) |
5. Odbiorcy danych i podpowierzenie
Dane mogą być powierzane dostawcom infrastruktury i usług technicznych (hosting/chmura, narzędzia operacyjne), wyłącznie w zakresie niezbędnym do realizacji Usługi i na podstawie umów gwarantujących standard ochrony wymagany przez RODO.
Aktualna lista podmiotów przetwarzających i podprzetwarzających jest udostępniana Szkole w dokumentacji umownej (DPA).
6. Transfer danych poza EOG
Co do zasady dążymy do przetwarzania danych w EOG. Jeżeli transfer poza EOG jest niezbędny, stosujemy mechanizmy legalizujące transfer przewidziane przez RODO (w szczególności standardowe klauzule umowne i dodatkowe zabezpieczenia).
7. Retencja (okresy przechowywania)
Okresy retencji zależą od kategorii danych i umowy ze Szkołą. Szczegółowe terminy określa „Procedura retencji i usuwania danych ReflectMe”.
| Kategoria | Standard retencji |
|---|---|
| Dane operacyjne wdrożenia szkolnego | zgodnie z umową ze Szkołą i polityką retencji |
| Logi bezpieczeństwa | okres niezbędny do zapewnienia bezpieczeństwa, rozliczalności i obrony roszczeń |
| Dane rozliczeniowe/księgowe | okres wynikający z przepisów prawa |
| Dane incydentów SAFE | zgodnie z procedurą SAFE i retencji (z domyślną automatyczną redakcją treści po zamknięciu incydentu) |
8. Prawa osób, których dane dotyczą
Przysługują m.in. prawa: dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu oraz cofnięcia zgody (jeżeli przetwarzanie opiera się na zgodzie).
W modelu szkolnym żądania dotyczące danych uczestników realizowane są co do zasady przez Szkołę jako administratora, przy wsparciu ReflectMe jako podmiotu przetwarzającego.
9. Skargi do organu nadzorczego
Osobie, której dane dotyczą, przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO).
10. Bezpieczeństwo danych
Stosujemy podejście oparte na ryzyku, obejmujące środki organizacyjne i techniczne adekwatne do charakteru danych oraz zagrożeń, w tym m.in.: kontrolę dostępu, pseudonimizację, szyfrowanie transmisji, rejestrowanie zdarzeń bezpieczeństwa i procedury reagowania incydentowego.
11. Pliki cookie i podobne technologie
Informacje o cookie/localStorage i identyfikatorach technicznych znajdują się w „Polityce cookie i technologii lokalnych ReflectMe”.
12. Kontakt w sprawach danych
W sprawach ochrony danych: rodo@reflectme.app
W sprawach ogólnych: kontakt@reflectme.app
13. Zmiany Polityki
Polityka może być aktualizowana w razie zmian prawnych, technicznych i organizacyjnych. Aktualna wersja jest publikowana w sposób przyjęty dla dokumentacji ReflectMe.