Политика конфиденциальности

Преамбула

О настоящей Политике

Настоящая Политика конфиденциальности описывает, каким образом Acadio OÜ (регистрационный номер: [XXXXXX], юридический адрес: [АДРЕС], Эстония, далее — «Acadio», «мы») собирает, обрабатывает, хранит и защищает персональные данные в связи с использованием веб-сайта acadio.online и платформы управления спортивными академиями app.acadio.online (далее совместно — «Сервис»).

Политика составлена в соответствии с Общим регламентом ЕС о защите данных (GDPR, Регламент (ЕС) 2016/679) и Законом Эстонии о защите персональных данных (Isikuandmete kaitse seadus, IKS). Используя Сервис, вы подтверждаете, что ознакомились с настоящей Политикой.

Если у вас есть вопросы — напишите нам на privacy@acadio.online.

Раздел 1

Роли в обработке данных: контроллер и процессор

Acadio — это платформа класса B2B SaaS, то есть наши непосредственные клиенты — спортивные академии, а конечные пользователи — тренеры, директора, родители и спортсмены. Это определяет две различные роли Acadio в контексте GDPR.

Субъекты данных

Тренеры · Родители
Спортсмены

Данные
добавляет

Контроллер данных

Академия
(клиент)

Определяет цели и средства

Обрабатывает
по инструкции

Процессор

Acadio OÜ

Предоставляет платформу

🏛️

Acadio как Процессор

В отношении персональных данных тренеров, родителей и спортсменов, загружаемых академиями в Сервис, Acadio действует исключительно как обработчик данных (процессор). Acadio не владеет этими данными, не определяет цели их использования и не передаёт их третьим лицам без инструкции академии. Академия (клиент) является контроллером данных и несёт основную ответственность за законность их обработки.

🏢

Acadio как Контроллер

В отношении данных администраторов и директоров академий (B2B-контакты), данных об использовании Сервиса, маркетинговых коммуникаций и информации, необходимой для биллинга и выставления счётов, Acadio выступает самостоятельным контроллером данных и несёт полную ответственность за законность их обработки.

Acadio заключает отдельное Соглашение об обработке данных (DPA) с каждой академией-клиентом в соответствии со ст. 28 GDPR. DPA доступно для подписания по запросу на privacy@acadio.online.

ℹ️

Для конечных пользователей

Если вы тренер, родитель или спортсмен и хотите реализовать свои права в отношении данных, добавленных в систему вашей академией, — обратитесь прежде всего в свою академию как к контроллеру данных. Acadio окажет содействие академии в исполнении таких запросов.

Раздел 2

Какие персональные данные мы обрабатываем

Мы обрабатываем следующие категории персональных данных:

Категория	Состав данных	Роль Acadio
Директора и администраторы академий	Имя, фамилия, адрес электронной почты, телефон, название академии, город, страна, роль в системе, данные для биллинга	Контроллер
Тренеры	Имя, фамилия, адрес электронной почты, роль в системе, список команд и спортсменов, данные сессий	Процессор
Родители	Имя, фамилия, адрес электронной почты, телефон, сведения о детях в системе	Процессор
Спортсмены (в т.ч. несовершеннолетние)	Имя, фамилия, дата рождения, телефон родителя, команда, история посещаемости тренировок, платёжные записи	Процессор
Все пользователи	IP-адрес, идентификаторы сессии (cookie), временны́е метки действий, браузер и платформа	Контроллер

Мы не собираем специальные категории данных (ст. 9 GDPR): данные о здоровье, расовом или этническом происхождении, политических взглядах, религиозных убеждениях, генетические или биометрические данные. Если академия добавляет в поле «заметки» информацию такого рода, она несёт ответственность за обеспечение законного основания.

Автоматически собираемые данные. При посещении Сервиса мы автоматически получаем: IP-адрес, тип и версию браузера, страницы, которые вы посещаете, время и дату визита, идентификатор сессии. Эти данные необходимы для обеспечения работоспособности и безопасности Сервиса.

Раздел 3

Цели обработки и правовые основания

GDPR требует, чтобы каждая операция обработки данных опиралась на законное основание (ст. 6). Ниже приведён полный перечень:

Цель обработки	Правовое основание (ст. 6 GDPR)
Создание аккаунта и предоставление доступа к Сервису	Исполнение договора — ст. 6(1)(b)
Управление командами, атлетами, посещаемостью и расписанием	Исполнение договора — ст. 6(1)(b)
Биллинг, выставление счетов и налоговая отчётность	Исполнение договора + Законная обязанность — ст. 6(1)(b)/(c)
Обеспечение безопасности платформы, выявление мошенничества	Законный интерес — ст. 6(1)(f)
Обеспечение работоспособности (техническое обслуживание, логирование)	Законный интерес — ст. 6(1)(f)
Ответы на запросы поддержки и обращения пользователей	Исполнение договора / Законный интерес — ст. 6(1)(b)/(f)
Маркетинговые коммуникации с существующими клиентами	Законный интерес — ст. 6(1)(f) (с правом отказа)
Маркетинговые коммуникации с потенциальными клиентами	Согласие — ст. 6(1)(a)
AI-ассистент внутри платформы (контекстный чат)	Исполнение договора — ст. 6(1)(b)
Исполнение требований законодательства и ответы на запросы органов власти	Законная обязанность — ст. 6(1)(c)

✅

Мы не продаём ваши данные

Acadio никогда не продаёт, не сдаёт в аренду и не передаёт персональные данные рекламным сетям, брокерам данных или иным коммерческим третьим сторонам. Данные используются исключительно для предоставления и улучшения Сервиса.

Раздел 4

Данные несовершеннолетних спортсменов

⚠️

Особый режим защиты

Дети относятся к уязвимым категориям субъектов данных и требуют повышенного уровня защиты. Acadio принимает особые меры при обработке данных несовершеннолетних в соответствии со ст. 8 GDPR и §8 IKS.

Возраст самостоятельного согласия. Согласно эстонскому закону о защите персональных данных, минимальный возраст для самостоятельного выражения согласия на обработку данных составляет 13 лет. В целях единообразия для пользователей из всех стран ЕС, где Acadio работает, мы применяем более высокий порог — 16 лет. Спортсмены моложе 16 лет могут быть добавлены в систему только при наличии согласия родителя или законного представителя.

Ответственность академии. Acadio действует как процессор данных. Обязанность получить и задокументировать согласие родителей или законных представителей несовершеннолетних спортсменов лежит на академии как на контроллере данных. Acadio не осуществляет самостоятельной проверки наличия такого согласия.

Что мы гарантируем в отношении данных детей:

Данные несовершеннолетних спортсменов не используются для рекламного таргетинга или профилирования.
Данные несовершеннолетних не используются для обучения моделей искусственного интеллекта.
Автоматизированные решения, значимо влияющие на права детей, не применяются.
Видимость данных спортсмена в системе ограничена принципом минимальных привилегий: тренер видит только своих спортсменов, родитель — только своего ребёнка.
Запросы на удаление данных ребёнка исполняются незамедлительно.

🔔

Если вы родитель и не давали согласия

Если вы считаете, что данные вашего ребёнка были внесены в систему без вашего ведома или согласия, немедленно свяжитесь с нами: privacy@acadio.online. Мы удалим данные ребёнка в течение 72 часов с момента верификации вашего запроса.

Раздел 5

Искусственный интеллект и автоматизированная обработка

Acadio использует API Anthropic (модель Claude) для обеспечения работы встроенного AI-ассистента в платформе. Ассистент предоставляет контекстные ответы на вопросы пользователей, опираясь на данные их академии: расписание тренировок, статистику посещаемости, состав команды.

Что именно обрабатывается AI:

Текст запроса пользователя в чате.
Контекстные данные академии: расписание на текущий день, количество команд и спортсменов, тариф.
Для родителей: расписание ребёнка, процент посещаемости за месяц, стрик посещений.
Для спортсменов: ближайшая тренировка, персональная статистика посещаемости.

Гарантии:

Anthropic действует как субпроцессор Acadio и обрабатывает данные строго в соответствии с нашими инструкциями.
Anthropic не использует данные, переданные через коммерческий API, для обучения своих моделей.
Передача данных в США обеспечивается Стандартными договорными условиями (SCCs) в соответствии со ст. 46 GDPR.

🤖

Автоматизированные решения

Acadio не использует автоматизированное принятие решений, влекущее юридические или иные значимые последствия для пользователей (ст. 22 GDPR). AI-ассистент носит исключительно информационный и рекомендательный характер. Оценка спортсменов, кадровые решения и иные значимые действия остаются за тренерами и директорами.

Раздел 6

Субпроцессоры и передача данных третьим лицам

Для предоставления Сервиса Acadio привлекает ограниченный круг тщательно отобранных поставщиков (субпроцессоров). Со всеми из них заключены соглашения об обработке данных, обеспечивающие уровень защиты, соответствующий GDPR.

Субпроцессор	Страна	Назначение	Гарантии GDPR
Supabase Inc.	США / ЕС	База данных, аутентификация, хранение файлов	SCCs, серверы в ЕС
Vercel Inc.	США / ЕС	Хостинг и CDN веб-приложения	SCCs, серверы в ЕС
Anthropic PBC	США	API языковой модели (AI-ассистент)	SCCs, DPA подписан
[Платёжная система]	[Страна]	Обработка платежей за подписку	PCI DSS, SCCs
[Email-провайдер]	[Страна]	Транзакционные email-уведомления	SCCs

Актуальный список субпроцессоров доступен по запросу на privacy@acadio.online. Мы уведомим клиентов об изменениях в списке субпроцессоров за 14 дней до их вступления в силу.

Органы власти. Acadio может раскрыть персональные данные компетентным государственным органам, если это требуется по закону, на основании судебного решения или иного обязательного предписания. Мы будем стараться заблаговременно уведомить клиента о таком запросе, если это не запрещено законом.

Раздел 7

Международная передача персональных данных

Ряд наших субпроцессоров (в частности, Anthropic) расположены в США, которые не входят в Европейскую экономическую зону (ЕЭЗ). Передача данных за пределы ЕЭЗ осуществляется нами исключительно при наличии надлежащих гарантий в соответствии со ст. 46 GDPR, а именно:

Стандартные договорные условия (SCCs), утверждённые Европейской Комиссией Решением от 4 июня 2021 г. (2021/914/ЕС), — основной инструмент для всех трансферов в США.
Решение об адекватности — если страна получателя признана ЕК обеспечивающей равнозначный уровень защиты данных.

Если вы хотите получить копию конкретных гарантий, применяемых при трансфере данных к тому или иному субпроцессору, обратитесь к нам по адресу privacy@acadio.online.

Раздел 8

Файлы cookie и технологии отслеживания

Мы используем следующие категории файлов cookie:

Тип	Назначение	Возможность отказа
Необходимые (сессионные)	Обеспечение аутентификации и безопасности сессии. Без них Сервис не работает.	Невозможна
Функциональные	Запоминание пользовательских предпочтений (язык, тема интерфейса).	Возможна
Аналитические	Агрегированная аналитика использования Сервиса для его улучшения.	Возможна

Маркетинговые и рекламные cookie на платформе не используются. Срок хранения сессионных cookie — до выхода из аккаунта; функциональных — до 12 месяцев. Вы можете управлять настройками cookie в своём браузере, однако отключение необходимых cookie сделает Сервис недоступным.

Раздел 9

Сроки хранения данных

Мы храним персональные данные не дольше, чем это необходимо для достижения целей, в которых они были собраны, либо в течение срока, установленного применимым законодательством.

Категория данных	Срок хранения	Обоснование
Данные аккаунта (профиль, академия)	Срок действия подписки + 12 месяцев	Возможные претензии после закрытия аккаунта
Данные спортсменов и посещаемости	До удаления академией или закрытия аккаунта	Инструкция контроллера данных (академии)
Финансовые записи и счета	7 лет	Бухгалтерское законодательство Эстонии
Логи активности и безопасности	12 месяцев	Обнаружение инцидентов и расследование
Переписка с поддержкой	3 года	Разрешение споров
Маркетинговые данные	До отзыва согласия + 30 дней	Реализация права на отзыв согласия

По истечении указанных сроков данные удаляются безвозвратно или анонимизируются таким образом, что их повторная идентификация становится невозможной.

Раздел 10

Ваши права в области защиты данных

В соответствии с GDPR вы обладаете следующими правами в отношении ваших персональных данных. Для их реализации направьте запрос на privacy@acadio.online — мы ответим в течение 30 дней.

📋

Право на доступ

Ст. 15 GDPR

Вы вправе получить подтверждение обработки ваших данных, их копию и информацию о целях, сроках хранения и получателях.

✏️

Право на исправление

Ст. 16 GDPR

Вы вправе потребовать исправления неточных или дополнения неполных персональных данных.

🗑️

Право на удаление

Ст. 17 GDPR

«Право быть забытым» — вы вправе потребовать удаления ваших данных при наличии оснований, предусмотренных законом.

⏸️

Право на ограничение

Ст. 18 GDPR

В определённых случаях вы вправе ограничить обработку ваших данных (например, на время проверки их точности).

📦

Право на переносимость

Ст. 20 GDPR

Вы вправе получить свои данные в структурированном машиночитаемом формате (JSON) и передать их другому контроллеру.

🚫

Право на возражение

Ст. 21 GDPR

Вы вправе возразить против обработки ваших данных на основании законного интереса, в том числе в целях прямого маркетинга.

🔄

Отзыв согласия

Ст. 7 GDPR

Если обработка основана на вашем согласии, вы вправе отозвать его в любой момент, не влияя на законность обработки до отзыва.

👶

Права родителей

Ст. 8 GDPR

Родители и законные представители несовершеннолетних вправе осуществлять все перечисленные права от имени ребёнка.

⚖️

Право на жалобу

Ст. 77 GDPR

Если вы считаете, что ваши права нарушены, вы вправе подать жалобу в надзорный орган (см. раздел 12).

Для подтверждения личности при рассмотрении запроса мы можем попросить дополнительную информацию. Услуга предоставляется бесплатно, за исключением явно необоснованных или чрезмерных запросов (ст. 12(5) GDPR).

Раздел 11

Безопасность персональных данных

Acadio применяет технические и организационные меры, соответствующие уровню риска, для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения.

🔐

Шифрование

Все данные при передаче защищены TLS 1.3. Данные в состоянии покоя зашифрованы AES-256 на уровне базы данных Supabase. Пароли хранятся в виде bcrypt-хешей.

🛡️

Контроль доступа

Каждый пользователь видит исключительно данные своей академии и роли. Изоляция обеспечивается политиками Row Level Security (RLS) на уровне базы данных.

📊

Мониторинг

Все действия с данными логируются. Аномальная активность отслеживается автоматически. Платформа развёрнута на Vercel с встроенной защитой от DDoS и атак ботов.

🔔

Уведомление об инцидентах

В случае утечки данных мы уведомим надзорный орган в течение 72 часов (ст. 33 GDPR) и пострадавших пользователей без неразумной задержки (ст. 34 GDPR).

Несмотря на принимаемые меры, ни одна система не может гарантировать абсолютную защиту. Если вы обнаружили уязвимость в системе безопасности Acadio, немедленно сообщите нам по адресу privacy@acadio.online.

Раздел 12

Надзорный орган и право на жалобу

Если вы считаете, что обработка ваших персональных данных нарушает GDPR, вы имеете право подать жалобу в уполномоченный надзорный орган. Надзорным органом для Acadio OÜ является:

🇪🇪

Andmekaitse Inspektsioon (AKI)
Инспекция по защите данных Эстонии

Адрес:Tatari 39, Tallinn 10134, Эстония

Email:info@aki.ee

Телефон:+372 627 4135

Сайт:www.aki.ee

Если вы проживаете в другом государстве — члене ЕС, вы также вправе подать жалобу в надзорный орган по месту вашего обычного проживания, работы или предполагаемого нарушения.

Мы рекомендуем сначала обратиться к нам напрямую — большинство вопросов мы решаем оперативно без необходимости привлечения надзорных органов.

Раздел 13

Офицер по защите данных (DPO)

В соответствии со ст. 37 GDPR Acadio OÜ назначило ответственного за защиту данных. Офицер по защите данных осуществляет надзор за соблюдением требований GDPR, консультирует по вопросам обработки данных и является точкой контакта для субъектов данных и надзорных органов.

👤

Контакт DPO

[Имя Фамилия], Офицер по защите данных — Acadio OÜ
Email: dpo@acadio.online
Почтовый адрес: [АДРЕС], Эстония

Вы вправе обратиться к DPO по любому вопросу, связанному с обработкой ваших персональных данных.

Раздел 14

Изменения настоящей Политики

Acadio оставляет за собой право обновлять настоящую Политику конфиденциальности. При внесении существенных изменений мы уведомим пользователей:

по электронной почте — клиентов-администраторов академий;
через баннер-уведомление на платформе и сайте;
посредством обновления даты «Дата вступления в силу» в начале документа.

Существенные изменения вступают в силу не ранее чем через 30 дней после уведомления, что даёт вам время ознакомиться с ними. Изменения, связанные с требованиями безопасности или законодательства, могут вступить в силу немедленно.

Продолжение использования Сервиса после вступления изменений в силу означает ваше согласие с обновлённой Политикой. Актуальная версия документа всегда доступна по адресу acadio.online/privacy.

Раздел 15

Контактная информация

По всем вопросам, касающимся настоящей Политики и обработки персональных данных, обращайтесь:

Acadio OÜ

Рег. номер [XXXXXX]

Страна Эстония, ЕС

Юр. адрес [АДРЕС], Таллин

По данным privacy@acadio.online

DPO dpo@acadio.online

Сайт acadio.online