Політика конфіденційності

Контролером ваших персональних даних є IT Maciej Bodnar з місцезнаходженням у ul. Deszczowa 9, 03-673 Warszawa, NIP: 5243050733, REGON: 542769287.

Контакт з GDPR-питань: [email protected].

Якщо ви використовуєте Cerium як програмне забезпечення школи — школа є окремим контролером даних своїх учнів/батьків/вчителів, а Cerium діє як процесор (DPA доступна в панелі).

Дані акаунту: ім'я/прізвище, email, пароль (хешований bcrypt), роль в організації.

Дані школи: назва, ПДВ, адреса, платіжні дані.

Операційні дані: заняття, оцінки, відвідуваність, нотатки, рахунки, повідомлення, матеріали — введені Користувачами.

Технічні дані: IP-адреса, ID сесії, тип браузера, timestamp входу (зберігається в login_audit_logs протягом 90 днів — для безпеки акаунту).

Платіжні дані: обробляються виключно Stripe Payments Europe Ltd. — Cerium не зберігає номери карток.

Cookies: див. розділ 8.

Надання сервісу (ст. 6(1)(b) GDPR — виконання договору): акаунт, заняття, рахунки, комунікація.

Безпека (ст. 6(1)(f) GDPR — законний інтерес): логи входу, моніторинг зловживань.

Власний маркетинг (ст. 6(1)(f) GDPR): лише існуючі Користувачі, щодо покращень сервісу. Ви можете заперечити будь-коли.

Розсилка (ст. 6(1)(a) GDPR): лише після прямої згоди. Згода відкликається будь-коли.

Юридичні обов'язки (ст. 6(1)(c) GDPR): бухгалтерія, податки, KSeF.

Дані акаунту: тривалість договору + 90 днів після припинення (архів), потім остаточне видалення.

Рахунки та бухгалтерські дані: 5 років (польський Закон про бухгалтерський облік).

Логи входу (IP, user-agent): 90 днів, потім автоматичне видалення.

Дані скарг: до 3 років (строк позовної давності).

Бекапи бази даних: ротація до 30 днів.

Stripe Payments Europe Ltd. (Ірландія) — платежі карткою; передача за межі ЄЕЗ до Stripe Inc. (США) згідно SCC.

Hetzner Online GmbH (Німеччина) - хостинг файлів (S3) та сервера Jitsi (відеоуроки); головний сервер застосунку Cerium розташований у Польщі. Без передачі за межі ЄЕЗ.

Zoho Corporation (ZeptoMail, ЄС) — транзакційний email. Без передачі за межі ЄЕЗ.

Cloudflare, Inc. (США) — CDN і Cloudflare Tunnel (HTTPS-проксі). Передача за межі ЄЕЗ згідно SCC і DPF.

fire-gem.com (Польща) — технічний оператор Cerium, за договором обробки.

Право доступу (ст. 15 GDPR).

Право на виправлення (ст. 16 GDPR).

Право на видалення (ст. 17 GDPR) — за винятком даних, які ми повинні зберігати за законом (наприклад, рахунки).

Право на обмеження (ст. 18 GDPR).

Право на перенесення даних (ст. 20 GDPR).

Право на заперечення (ст. 21 GDPR) — для обробки на основі законного інтересу.

Право відкликати згоду будь-коли (ст. 7(3) GDPR).

Право подати скаргу до польського DPA (https://uodo.gov.pl).

Email на [email protected] з вашим запитом.

Ми відповідаємо протягом 30 днів — продовжується до 90 днів у виняткових випадках (з повідомленням).

Безкоштовно — за винятком необґрунтованих або надмірних запитів (можемо стягнути розумну адміністративну плату).

Cerium використовує cookies у двох категоріях:

Необхідні cookies (завжди активні): сесія авторизованого користувача (next-auth), перемикання тенантів (activeTenantId), згода на cookies (cerium-cookie-consent).

Аналітичні cookies (опційні, потребують згоди): зараз неактивні — у майбутньому GA4/Meta Pixel з Consent Mode v2.

Ви можете змінити своє рішення будь-коли, очистивши налаштування cookies у браузері — банер з'явиться знову.

Паролі хешуються bcrypt (10 раундів).

HTTPS (TLS 1.3) на всіх ендпоінтах.

Rate limiting на критичних ендпоінтах (логін, контакт, підтримка, чат).

Ізоляція тенантів на рівні SQL-запитів (фільтрація tenantId).

Щоденні бекапи бази даних з 30-денною ротацією.

Моніторинг порушень (login_audit_logs, limit_events).

Питання конфіденційності: пишіть на [email protected].

Поштова адреса: IT Maciej Bodnar, ul. Deszczowa 9, 03-673 Warszawa.

Повна Політика діє від 1 червня 2026.