Polityka Prywatności
Ochrona Danych (RODO)

Role w procesie przetwarzania danych osobowych są ściśle określone:

• Administrator Danych (ADO): W odniesieniu do danych uczniów, rodziców i nauczycieli powiązanych z procesem nauczania, Administratorem jest odpowiednia Placówka Oświatowa (Szkoła). Decyduje ona o celach i środkach przetwarzania.
• Podmiot Przetwarzający (Procesor): Operator systemu NextEdu występuje w roli podmiotu, któremu Placówka Oświatowa powierzyła przetwarzanie danych na mocy odrębnej Umowy Powierzenia Przetwarzania Danych Osobowych (UPDO).
• NextEdu jako ADO: W przypadku danych użytkowników odwiedzających stronę główną, logów technicznych oraz formularzy kontaktowych na stronie publicznej, Administratorem pozostaje Operator NextEdu.

Zarówno Operator NextEdu, jak i Placówki Oświatowe wyznaczają Inspektora Ochrony Danych.

W sprawach dotyczących funkcjonowania systemu jako całości oraz realizowania Twoich praw, mogą Państwo skontaktować się z Inspektorem Ochrony Danych Operatora pod adresem e-mail: iod@nextedu.pl.

W sprawach związanych z ocenami, wglądem w dane szkolne oraz ich korygowaniem prosimy kontaktować się bezpośrednio z IOD wyznaczonym przez Państwa Placówkę Oświatową.

System gromadzi wyłącznie dane niezbędne do jego funkcjonowania. W szczególności przetwarzamy:

• Dane identyfikacyjne: imiona, nazwiska, PESEL (jeśli wymagany wymogami MEiN). Cel: weryfikacja tożsamości.
• Dane edukacyjne: oceny cząstkowe i z zachowania, historia obecności, przebieg egzaminów. Cel: świadczenie usługi e-dziennika i realizacja obowiązków szkolnych.
• Dane kontaktowe i lokalizacyjne: adresy zamieszkania, numery telefonów rodziców/opiekunów, adres email. Cel: awaryjny kontakt interwencyjny i autoryzacja logowania 2FA.
• Dane systemowe/telemetryczne: adresy IP, wersja przeglądarki, logi zdarzeń. Cel: zapewnienie stabilności serwerów, monitorowanie anomalii i blokowanie prób włamań (cyberbezpieczeństwo).

Zgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO):

• Art. 6 ust. 1 lit. e) RODO: Przetwarzanie niezbędne do wykonania zadania realizowanego w interesie publicznym (realizacja prawnych obowiązków edukacyjnych narzuconych na Szkoły przez Ustawę z dnia 14 grudnia 2016 r. Prawo oświatowe).
• Art. 6 ust. 1 lit. b) RODO: Niezbędność do świadczenia usługi drogą elektroniczną (na podstawie zaakceptowanego Regulaminu platformy).
• Art. 6 ust. 1 lit. f) RODO: Prawnie uzasadniony interes Administratora i Procesora, czyli zagwarantowanie bezpieczeństwa sieci i informacji.
• Art. 6 ust. 1 lit. a) RODO: Zgoda – wyłącznie w przypadku np. dobrowolnych newsletterów operatora (dla edukatorów), nie dotyczy obligatoryjnej bazy ocen uczniów.

Gwarantujemy najwyższą klasę zabezpieczeń na poziomie bankowym:

• Platforma pracuje na serwerach z certyfikatami ISO 27001, zlokalizowanych wyłącznie na terenie Europejskiego Obszaru Gospodarczego (EOG).
• Architektura rozproszona z pełną replikacją oraz izolacją (tenant isolation) dla poszczególnych Placówek Oświatowych, zapobiegająca krzyżowaniu się danych.
• Szyfrowanie SSL/TLS (HTTPS) z HSTS dla przesyłu w warstwie sieci. Hasła nigdy nie są przechowywane otwartym tekstem — są jednokierunkowo haszowane algorytmami bcrypt/Argon2.
• Aktywny monitoring Web Application Firewall (WAF) zapobiegający atakom DDoS i SQL Injection.

Dane bezwzględnie nie są sprzedawane firmom reklamowym. Możemy je przekazywać zaufanym podmiotom, czyli:

• Dostawcom najwyższej klasy infrastruktury hostingowej i chmurowej, operującym na terytorium UE.
• Dostawcom usług wsparcia (systemy ticketowe, mailingowe i weryfikacji dwuetapowej SMS/Email).
• Instytucjom państwowym (Policja, Sądy, Ministerstwo Edukacji) wyłącznie w trybie przepisów prawa oświatowego i na oficjalny wniosek uprawnionego organu.

Dane wprowadzane do NextEdu w ramach procesu edukacyjnego są przetrzymywane przez okres wyznaczony w instrukcjach kancelaryjnych Placówki, zgodnie z przepisami o archiwizacji szkolnej.

Po zakończeniu nauki w szkole przez ucznia, zebrane dane są archiwizowane, a po ustawowym terminie — trwale anonimizowane lub bezpowrotnie usuwane z naszych serwerów, o ile ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym nie stanowi inaczej.

Wykorzystujemy w systemie technologie plików "Cookies" tylko do niezbędnych celów. NextEdu ogranicza zbieranie informacji do minimum:

• Cookies obowiązkowe (sesyjne i bezpieczeństwa): Pamiętają Twoje logowanie, aktywują techniki CSRF protection. Są konieczne do działania.
• Cookies preferencji: Pamiętają wybrany motyw graficzny, układ menu lub zapadnięty panel boczny i powiadomienia.
• Zero profilowania marketingowego: NextEdu w ramach zamkniętej Strefy Ucznia nie osadza żadnych skryptów remarketingowych (Facebook Pixel czy Google Ads). Twój cyfrowy ślad w celach naukowych jest bezpieczny z dala od korporacji reklamowych.

Każdej osobie, której dane dotyczą, przysługuje potężny zestaw praw w celu kontroli nad własną cyfrową tożsamością:

• Prawo dostępu i uzyskania kopii: Masz prawo sprawdzić, czym dysponujemy (np. poprzez natywny eksport konta POBIERZ MOJE DANE wpbudowany w NextEdu).
• Prawo do sprostowania: Żądania aktualizacji nieprawdziwych danych, zmiany adresu zamieszkania.
• Prawo do bycia zapomnianym (usunięcia) lub ograniczenia przetwarzania: Jednak w kontekście systemu oświatowego, dopóki dana osoba jest objęta obowiązkiem szkolnym, prawo to obarczone jest ograniczeniami nałożonymi przez Ministerstwo.
• Prawo do wniesienia skargi: W każdej chwili masz dyspozycję złożyć skargę na organ wiodący. W Rzeczpospolitej Polskiej jest to Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Jesteśmy do Twojej dyspozycji w kwestii przejrzystości i bezpieczeństwa informacji. Jeżeli zaobserwowałeś(aś) niepożądane działanie mechanizmów przetwarzających dane osobowe, podejrzenie wycieku lub słabości bezpieczeństwa w NextEdu — niezwłocznie wskaż problem pisząc na specjalnie powołany, strzeżony kanał anty-breach:

security@nextedu.pl