Політика конфіденційності

Ця Політика конфіденційності пояснює, як Lumo.Dance обробляє персональні дані, коли танцювальні студії використовують наше програмне забезпечення для управління своєю діяльністю.

Ми серйозно ставимося до конфіденційності. Lumo.Dance розроблено так, щоб дані кожної студії залишалися ізольованими, і ви мали чіткий контроль над тим, що збирається.

Залежно від того, де зареєстрована ваша студія, ви укладаєте договір з однією з двох компаній. Обидві управляють платформою Lumo.Dance під спільним володінням.

Відповідно до Загального регламенту захисту даних ЄС (GDPR), кожна сторона має різні обов'язки:

• Танцювальна студія, яку ви відвідуєте (або відвідує ваша дитина), є Контролером даних — вона вирішує, які дані збирати і з якою метою.
• Lumo.Dance є Обробником даних — ми зберігаємо та обробляємо дані від імені студії, дотримуючись її інструкцій та цієї політики.

Обробник даних вашої студії залежить від того, де зареєстрована студія. Кожну компанію контролює різний орган із захисту даних:

• Студії з ЄС: Onepads SRL виступає як Обробник даних. Наглядовий орган — Румунський орган із захисту даних (ANSPDCP) — https://www.dataprotection.ro.
• Студії поза ЄС: Seacoders Ltd виступає як Обробник даних. Наглядовий орган — Управління комісара з інформації Великої Британії (ICO) — https://ico.org.uk.

Ви завжди можете подати скаргу до наглядового органу у власній країні на додаток до нашого.

Дані, що зберігаються, залежать від того, що вводить ваша студія. Зазвичай це включає:

• Ім'я та прізвище
• Адреса електронної пошти, номер телефону та (за наявності) ідентифікатори месенджерів (Telegram, WhatsApp)
• Для учнів: дата народження, рівень, медичні нотатки або особливі потреби, екстрений контакт — усе необов'язкове та вводиться студією
• Записи на заняття, відвідуваність, інформація про розклад
• Рахунки, платежі та деталі абонементів
• Технічні журнали, необхідні для роботи сервісу (час входу, IP-адреса для безпеки, інформація про пристрій для push-сповіщень)

GDPR вимагає законної підстави для кожної активності обробки. Ваша студія покладається на одну з наведених нижче:

• Договір: обробка необхідна для надання занять і послуг, на які ви підписалися
• Юридичне зобов'язання: рахунки та платежі зберігаються відповідно до законів про бухгалтерський облік (зазвичай 10 років у Румунії)
• Згода: для обробки даних неповнолітніх, отримана від одного з батьків або опікуна перед початком занять
• Законний інтерес: підтримання безпеки та надійної роботи сервісу

Багато учнів є неповнолітніми. Відповідно до статті 8 GDPR, студія отримує батьківську згоду перед тим, як записувати будь-які персональні дані про дитину до 16 років. Згода фіксується разом із іменем батьків, датою та способом її надання (письмово, WhatsApp, електронна пошта тощо).

Один із батьків або опікун може відкликати згоду в будь-який час, зв'язавшись зі студією. Відкликання призводить до видалення персональних даних дитини, за винятком записів, які за законом обов'язково зберігати (наприклад, податкові рахунки).

Дані зберігаються на інфраструктурі в ЄС (Neon PostgreSQL, регіон ЄС) з шифруванням у стані спокою та під час передачі. Резервні копії зберігаються до 30 днів. Хостинг додатку здійснюється на Vercel, де це можливо — із функціями в регіоні ЄС.

Термін зберігання залежить від типу даних:

• Дані про учнів і контакти: зберігаються протягом активності учня, плюс розумний період, встановлений студією (зазвичай до 2 років після останньої активності).
• Рахунки, платежі та фінансові записи: 10 років, як того вимагає румунський закон про бухгалтерський облік 82/1991.
• Журнали безпеки та активності: до 12 місяців.

Ми ділимося даними лише з постачальниками послуг, які є вкрай необхідними для роботи платформи, і лише в мінімально необхідному обсязі:

• Vercel (хостинг) та Neon (база даних) — обидва зобов'язані власними GDPR-сумісними умовами обробки даних.
• Inngest для фонових задач за розкладом (нагадування про заняття, генерація рахунків).
• Сервіси Web Push (Apple, Google, Mozilla) для доставки push-сповіщень — крім токена ендпоінта, жодні персональні дані не передаються.

Ми не продаємо і не здаємо в оренду персональні дані. Ми не використовуємо персональні дані для реклами.

Згідно з GDPR ви маєте такі права щодо ваших персональних даних:

• Право на доступ — запитати копію даних, які ми про вас зберігаємо.
• Право на виправлення — попросити студію виправити неточні дані.
• Право на видалення — запитати видалення ваших персональних даних (з урахуванням юридичних зобов'язань щодо зберігання).
• Право на обмеження обробки — попросити нас призупинити обробку за певних обставин.
• Право на переносимість даних — отримати ваші дані у машиночитному форматі.
• Право на заперечення — заперечувати проти обробки на основі законного інтересу.
• Право подати скаргу — звернутися до наглядового органу у вашій країні (у Румунії: ANSPDCP, www.dataprotection.ro).

Щоб скористатися будь-яким із цих прав, спочатку зверніться до вашої студії (Контролера даних) або напишіть нам безпосередньо за контактами нижче.

Ми захищаємо дані за допомогою мультитенантної ізоляції на рівні бази даних, контролю доступу на основі ролей, зашифрованих з'єднань (HTTPS), хешування паролів та короткотривалих токенів автентифікації. У разі порушення безпеки, яке може створити ризик для ваших прав, ми повідомимо наглядовий орган і постраждалих користувачів без необгрунтованої затримки, відповідно до статей 33-34 GDPR.

Ми можемо періодично оновлювати цю політику. Про суттєві зміни буде повідомлено студіям, які відповідають за інформування своїх учасників. Дата "Останнє оновлення" вгорі цієї сторінки завжди відображає найновішу версію.

З будь-якими питаннями щодо того, як Lumo обробляє персональні дані, звертайтеся до нас за адресою:

legal@lumo.dance