Політика конфіденційності ТОВ «Медична Українська Школа»

Редакція від 13 вересня 2025 року

1. Хто ми

Контролер персональних даних: Товариство з обмеженою відповідальністю «Медична Українська Школа» (код ЄДРПОУ 46112789), юридична адреса: 61100, Україна, Харківська обл., м. Харків, вул. Петра Григоренка, буд. 14, кв. 26. (Надалі – Компанія або ми). Компанія є «власником персональних даних» у розумінні Закону України «Про захист персональних даних» та контролером даних відповідно до Загального регламенту про захист даних (EU GDPR) і UK GDPR.

Контактна особа з питань приватності: Якщо у вас виникли будь-які питання або запити щодо ваших персональних даних, ви можете звернутися до нас електронною поштою medical.ukrainian.school@gmail.com. Це наша офіційна адреса для звернень з питань захисту даних і реалізації прав суб’єктів. Також ви можете направити письмовий запит на нашу поштову адресу (з позначкою «До уваги: відповідальному за захист даних»).

Компанія здійснює обробку персональних даних відповідально та прозоро, на підставі чинного законодавства України та вимог міжнародних нормативних актів про захист даних – Закону України «Про захист персональних даних» №2297-VI від 01.06.2010, Регламенту (ЄС) 2016/679 (GDPR) та еквівалентних норм Великої Британії (UK GDPR) (далі разом – Законодавство). Ми контролюємо цілі та засоби обробки ваших даних і несемо відповідальність за їх належний захист.

Ця Політика конфіденційності застосовується до всіх персональних даних, які ми отримуємо від фізичних осіб у рамках використання наших сервісів. Зокрема, Політика охоплює обробку даних при користуванні нашим сайтом med-us.com.ua (включно з особистим кабінетом користувача), при реєстрації та участі в наших освітніх послугах (Послугах), а також у ході пов’язаних комунікацій та маркетингових активностей.

2. Сфера дії Політики

Наші послуги: Компанія надає освітні послуги для медичних фахівців та студентів-медиків, зокрема: (1) підготовчі лекції та курси до іспитів «КРОК» для лікарів і стоматологів; (2) освітні заходи у сфері безперервного професійного розвитку (БПР) – вебінари, онлайн-лекції, тренінги, майстер-класи, конференції – у форматі онлайн, офлайн або змішаному; (3) надання доступу до записів зазначених заходів та до супутніх навчальних матеріалів. Політика поширюється на всі згадані формати та компоненти Послуг.

Дія Політики охоплює:

відвідування та використання веб-сайту med-us.com.ua (далі – Сайт), включаючи перегляд сторінок, реєстрацію акаунту та входження до особистого кабінету;
реєстрацію на наші освітні заходи (Заходи – окремі вебінари, лекції, тренінги, курси тощо), участь у них у реальному часі (через платформи Zoom, Google Meet або в офлайн-локаціях) та користування наданими записами і навчальними матеріалами після заходів;
всі взаємодії, пов’язані з наданням Послуг: оформлення замовлень на курси, оплати через інтегрований платіжний сервіс LiqPay (ПриватБанк), отримання та використання електронних сертифікатів про участь/успішне завершення заходів;
звернення до нас за підтримкою чи консультацією (електронні листи, повідомлення через форму зворотного зв’язку чи месенджери, телефонні звернення тощо);
отримання від нас інформаційних та маркетингових розсилок електронною поштою або іншими каналами (за умови вашої згоди на такі розсилки);
інші випадки, коли ми взаємодіємо з вами як з користувачем наших Послуг та відбувається обмін персональними даними (наприклад, участь в опитуваннях, залишення відгуків про наші курси тощо).

Поза сферою дії: Дана Політика не регулює обробку даних сторонніми сайтами чи сервісами, посилання на які можуть бути розміщені на нашому Сайті. Наприклад, якщо ви переходите за посиланням на сайт партнерської організації або користуєтеся стороннім сервісом для авторизації, обробка даних там здійснюється відповідно до політик тієї сторонньої організації. Ми не несемо відповідальності за політики конфіденційності сторонніх ресурсів.

Використовуючи наш Сайт та Послуги, ви погоджуєтесь з умовами цієї Політики. Якщо ви не погоджуєтесь з будь-яким із положень, просимо припинити використання нашого Сайту та сервісів. Ми можемо час від часу оновлювати Політику (детальніше в розділі 14), і продовження користування Послугами після набуття чинності оновленої версії означатиме вашу згоду з нею.

3. Визначення

У цій Політиці наведені такі ключові терміни (згідно з Законодавством та нашою офертою):

Персональні дані – відомості чи сукупність відомостей про фізичну особу, за допомогою яких вона ідентифікується або може бути ідентифікована. Іншими словами, це будь-яка інформація, що стосується вас особисто як користувача (наприклад, ім’я, адреса електронної пошти, номер телефону, дані оплати тощо).
Обробка персональних даних – будь-яка дія або сукупність дій з персональними даними, здійснювана з використанням автоматизованих засобів чи без них. Наприклад, обробкою є збирання, реєстрація, систематизація, зберігання, адаптування, зміна, використання, поширення чи передача, знеособлення, видалення персональних даних.
Контролер даних – фізична або юридична особа, яка визначає цілі та засоби обробки персональних даних. В контексті цієї Політики контролером виступає наша Компанія (також відповідно до українського законодавства – «власник персональних даних»).
Оператор / Обробник даних – особа (організація), що обробляє персональні дані від імені контролера на підставі договору чи іншого розпорядження контролера. Іншими словами, це наші уповноважені партнери або підрядники, яким ми можемо передавати дані для обробки з визначеною метою (наприклад, ІТ-провайдери, платіжні сервіси). В українському законодавстві – це «розпорядник персональних даних».
Користувач, Замовник або Учасник (далі – ви)** – будь-яка фізична особа, яка відвідує наш Сайт, реєструється на ньому, користується Послугами Компанії або бере участь у Заходах. Замовник – особа, що уклала з нами договір (акцептувала публічну оферту) щодо отримання Послуг, а Учасник – фізична особа, яка безпосередньо бере участь у навчальному Заході (слухач вебінару, тренінгу тощо). В багатьох випадках Замовник і Учасник – це одна і та ж особа (коли ви особисто реєструєтесь і берете участь), але можливі ситуації, коли, наприклад, юридична особа (роботодавець) виступає Замовником, а її співробітник є Учасником заходу. У будь-якому разі Політика поширюється на всі персональні дані реальних фізичних осіб, що є користувачами наших сервісів.
Сайт – наш офіційний вебсайт за адресою https://med-us.com.ua, а також інші офіційні онлайн-платформи Компанії, де розміщується інформація про Послуги та забезпечується доступ до них (в тому числі, але не виключно: особистий кабінет користувача, інтегрований платіжний віджет LiqPay, платформи відеотрансляцій Zoom, Google Meet та інші подібні сервіси, що використовуються для надання Послуг).
Послуги – освітні послуги, що надаються Компанією (як детально описано в розділі 2). До Послуг входить організація та проведення наших навчальних заходів (Заходів), в тому числі підготовчих курсів «Крок» та заходів БПР (вебінарів, лекцій, тренінгів, майстер-класів, конференцій тощо) у різних форматах, а також надання доступу до записів таких заходів і до пов’язаних навчальних матеріалів (відео-, аудіо-файлів, презентацій, тестових завдань, тощо).
Особистий кабінет – захищений розділ на Сайті (акаунт користувача), який створюється при реєстрації користувача. Через особистий кабінет ви можете переглядати і оновлювати свої контактні дані, реєструватися на Заходи, контролювати статус оплат і доступ до матеріалів, завантажувати сертифікати та виконувати інші дії, пов’язані з отриманням Послуг. Доступ до особистого кабінету здійснюється за вашим логіном (email) і паролем, які необхідно зберігати конфіденційно.
Сертифікат – електронний або паперовий документ встановленого нашою Компанією зразка, що видається за результатами участі у Заході. Сертифікат підтверджує вашу участь або успішне проходження відповідного навчального Заходу. У разі заходів БПР сертифікат може містити нараховані бали БПР (за умови виконання вимог законодавства і програми заходу). Сертифікат може використовуватися вами для підтвердження підвищення кваліфікації.
Cookie-файли (cookies) – невеликі текстові файли, які вебсайт надсилає на пристрій користувача (комп’ютер, смартфон тощо) при відвідуванні сайту. Cookies зберігаються у браузері користувача та дозволяють розпізнати його при наступних відвідинах, запам’ятати його дії та налаштування (наприклад, мову сайту, вміст кошика), а також отримати технічні дані про сеанс (наприклад, IP-адресу, тип браузера) для аналітики та забезпечення роботи сайту. У цій Політиці розділ 5 детально пояснює, які типи cookies ми використовуємо та як ви можете керувати своїми налаштуваннями cookies.
«Законодавство» – у контексті цієї Політики, це сукупність застосовних норм щодо захисту персональних даних, зокрема: Закон України «Про захист персональних даних» та Загальний регламент ЄС про захист даних (GDPR), а також відповідне законодавство Сполученого Королівства (UK GDPR), з урахуванням вимог яких ми здійснюємо обробку персональних даних.

Інші терміни, які прямо не визначені у Політиці, слід розуміти відповідно до визначень у чинному законодавстві про захист даних, нашій Публічній оферті та загальносприйнятих практик. У разі виникнення питань щодо трактування термінів – будь ласка, звертайтеся до нас за роз’ясненнями.

4. Категорії персональних даних та їх обробка

Ми дотримуємося принципу мінімізації даних: збираємо і обробляємо лише ті персональні дані, які необхідні для конкретно визначених цілей. Нижче наведена структура, які саме категорії даних ми обробляємо, звідки вони отримуються, для яких цілей та на яких правових підставах, протягом якого часу зберігаються та кому можуть передаватися. Цю інформацію зручно подано у формі таблиці:

Контекст обробки (коли і як збираються дані)	Категорії персональних даних	Джерело даних	Мета обробки	Правова підстава	Строк зберігання	Одержувачі
Реєстрація акаунту на Сайті (створення особистого кабінету користувача)	Ім’я, прізвище; email адреса; номер телефону (за наявності); пароль (зберігається у зашифрованому вигляді); інша інформація профілю (наприклад, місто, місце навчання/роботи – якщо ви надасте).	Надаєте ви особисто при заповненні реєстраційної форми на Сайті.	Створення вашого облікового запису; ідентифікація вас як користувача; надання доступу до особистого кабінету; комунікація з вами щодо Послуг (надсилання підтверджень реєстрації, повідомлень про заходи).	Договір (ініціювання та виконання договору про надання освітніх послуг – публічної оферти); наш законний інтерес – забезпечити належну реєстрацію клієнтів.	Поки акаунт активний + до 3 років після останньої активності (для відновлення на ваше прохання або для виконання вимог закону). Неактивні акаунти без заходів можуть видалятися раніше.	Уповноважені працівники Компанії (адміністратори сайту); ІТ-провайдер хостингу сайту (наші сервери). Дані не передаються стороннім особам, окрім випадків, необхідних для функціонування сайту (наприклад, сервер може належати хостинг-провайдеру, який діє як обробник даних).
Запис на Захід та участь у освітньому заході (вебінарі, лекції, курсі тощо)	Реєстраційні дані (ім’я, email, телефон – з профілю акаунту); інформація про обраний Захід (назва курсу, дата); статус участі (зареєстрований, оплата підтверджена/не підтверджена); дані активності під час Заходу: присутність (час входу/виходу з вебінару), результати тестувань чи завдань (якщо передбачено програмою), питання, що ви можете ставити спікеру, тощо. Якщо Захід проводиться онлайн – аудіо/відео зображення вас у ході заходу (може потрапити до запису); якщо офлайн – ваше зображення на фото-/відеозйомці заходу (за окремою згодою, див. розділ 6).	1) Надаєте ви при реєстрації на конкретний Захід (через форму запису у своєму кабінеті або іншим способом, напр. по email). 2) Генеруються нами в процесі проведення Заходу (наприклад, платформа Zoom фіксує вашу присутність і тривалість). 3) Створюються в результаті вашої активності (ваші відповіді на тест, питання в чаті тощо).	– Реєстрація та допуск до обраного заходу (включаючи відправку вам посилання на трансляцію або адресу офлайн-події). – Забезпечення вашої участі: перевірка явки, тривалості присутності (для підтвердження виконання вимог курсу); надання доступу до матеріалів заходу (презентацій, запису). – Контроль якості навчання: аналіз результатів тестувань для видачі сертифікату; збір вашого фідбеку (за бажанням) для покращення програм. – Внутрішня звітність і аналітика: підрахунок відвідуваності, успішності учасників (в анонімній формі).	Договір (надання вам замовленої освітньої Послуги – проведення заходу та забезпечення доступу до його матеріалів); Законний інтерес – гарантувати належну організацію і якість навчання (напр., слідкувати за відвідуваністю, покращувати зміст заходів за результатами анонімних опитувань); Законний інтерес – безпека заходу (ми можемо відстежувати порушення правил, напр. фіксувати спроби несанкціонованої передачі доступу третім особам). Згода – ваша окрема згода потрібна на запис заходу за участі вашого зображення/голосу (див. розділ 6).	Дані про участь (реєстрація, відвідування, результати) зберігаються 5 років після заходу (щоб підтвердити вашу участь, у т.ч. для БПР). Може зберігатися довше у знеособленому вигляді для статистики. Онлайн-записи вебінарів – зберігаються не більше 3 років або до видалення за вашою вимогою. Лог-файли безпеки (хто і коли заходив у трансляцію) – до 1 року.	– Платформи проведення заходів: Zoom або Google Meet – отримують ваше ім’я, зображення, технічні дані для забезпечення онлайн-трансляції (вони діють частково як оператори від нашого імені, деталі – у розділі 12). – Спікери/тренери заходу (можуть бачити вашу ім’я та питання під час вебінару). – Органи, що акредитують заходи БПР: якщо для нарахування балів БПР потрібно надати дані учасників до офіційного реєстру або контролюючого органу, ми це робимо згідно з вимогами (наприклад, можемо передати ваше ПІБ та номер сертифікату до відповідної установи.
Видача сертифікатів про проходження (у т.ч. сертифікатів з балами БПР)	Ім’я та прізвище (як вони повинні бути зазначені на сертифікаті); назва заходу; рівень досягнення або результат (наприклад, успішність тесту, кількість балів БПР); унікальний номер сертифіката. Примітка: додатково може знадобитися ваша дата народження або номер документу (для ідентифікації особи при видачі офіційних БПР-сертифікатів, якщо це вимога регулятора).	Ви надаєте необхідні дані через форму (наприклад, перевіряєте/вводите ім’я для сертифікату); деякі дані генеруємо ми (номер сертифіката, бали). Можемо також отримати підтвердження від зовнішнього регулятора щодо нарахування балів (якщо потрібно).	Підготовка та видача вам належного Сертифікату про участь чи завершення курсу: заповнення сертифікату вашими даними, електронне або фізичне надання його вам; підтвердження вашої кваліфікації перед регулятором (БПР). Збереження реєстру виданих сертифікатів для можливого підтвердження в майбутньому (на вашу або регулятора вимогу).	Договір – виконання нашого зобов’язання видати сертифікат, яке є частиною Послуги за договором; Юридичний обов’язок – дотримання вимог органів щодо БПР (якщо застосовно, для офіційного зарахування балів може вимагатися документування та звітування списку учасників); Законний інтерес – зберігати записи про видані сертифікати, щоб підтвердити вашу освіту на вашу ж вимогу або у разі перевірки.	Відомості про видані сертифікати зберігаються 5 років (або довше, якщо цього вимагає закон чи акредитаційні умови). Ми можемо зберігати копії сертифікатів та реєстри виданих сертифікатів невизначений час для архіву, доки це обґрунтовано необхідно для наших законних інтересів (наприклад, перевірки автентичності сертифікату), якщо ви не заперечите.	– Ви самі (отримуєте свій сертифікат через кабінет або email). – Організатори БПР (у разі офіційних заходів – ми можемо передати список отримувачів балів до акредитуючого органу згідно вимог). – Жодні інші сторонні одержувачі не отримують вашу інформацію зі сертифікату без вашого запиту або згоди. (За окремим вашим проханням ми можемо підтвердити третій стороні факт видачі вам сертифікату – наприклад, вашому роботодавцю – але тільки з документальним підтвердженням вашої згоди або запиту).
Оплата Послуг через LiqPay (електронний платіж карткою)	Платіжні реквізити: сума транзакції; валюта; дата і час; статус оплати (успішно/неуспішно); унікальний ID транзакції в системі LiqPay; останні 4 цифри картки (ми не отримуємо повний номер картки або CVV); ім’я держателя картки (може передаватися в платіжних даних); email платника (якщо відрізняється від вашого акаунту); банк випуску карти (назва банку). Також зберігаємо факт придбання конкретної Послуги (який захід оплачується). Примітка: Ми не збираємо і не бачимо ваші конфіденційні платіжні дані (повний номер картки, CVV-код) – ці дані обробляє лише LiqPay/ПриватБанк на захищеній платіжній сторінці.	Надаються вами та автоматично обробляються LiqPay при здійсненні оплати. Ви вводите дані картки безпосередньо у форму LiqPay, а ми отримуємо від LiqPay лише результат транзакції та часткові дані. Додатково ви могли надати інші платіжні дані, якщо оплачували рахунок як юрособа (реквізити компанії тощо).	– Обробка вашого платежу за Послуги: забезпечення прийому оплати онлайн з вашої платіжної картки через LiqPay; підтвердження факту оплати, щоб надати вам доступ до замовленого Заходу. – Виконання фінансових зобов’язань: ведення бухгалтерського обліку отриманих оплат; формування квитанцій, актів (на вимогу). – Захист від шахрайства: LiqPay може використати технічні дані (IP, пристрій) для перевірки транзакції. Ми можемо позначити замовлення як оплачене тільки після підтвердження від платіжної системи.	Договір – опрацювання вашої оплати є частиною виконання договору (надання платної послуги); Юридичний обов’язок – дотримання податкового та бухгалтерського законодавства (ведення обліку, звітність про доходи); Законний інтерес – забезпечити безпеку платежів (перевірка належності оплати, протидія шахрайству). В окремих випадках – згода, якщо ви просите нас зберегти ваші платіжні дані для майбутніх покупок (наразі ми цього не робимо, усі платежі разові).	Транзакційні дані зберігаються щонайменше 5 років після фінансового року операції (вимагається законом про бухгалтерський облік). Первинні документи (рахунки, акти) – згідно законодавства (зазвичай 3 роки мінімум). Дані про оплату у вашому акаунті (історія замовлень) – доступні вам доки існує акаунт. Конфіденційні реквізити карток ми не зберігаємо.	– LiqPay (ПриватБанк) – отримує ваші платіжні дані як окремий контролер (банк), зберігає їх на своїх захищених серверах. LiqPay надає нам інформацію про статус транзакції. Їх політика конфіденційності доступна на сайті LiqPay. – Банк-еквайр – може отримати ваші дані для обробки платежу (через LiqPay). – Бухгалтерія/податкові органи – інформація про оплату потрапляє до наших бухгалтерських записів; за запитом контролюючих органів (податкова, аудит) ми надаємо фінансові документи, що можуть містити ваше ім’я, суму платежу тощо (лише у встановленому законом порядку).
Звернення до служби підтримки (запити, скарги, питання)	Ім’я; контактні дані (email, телефон – залежно від каналу зв’язку); зміст звернення та будь-яка інша інформація, яку ви надаєте в запиті. Це може включати дані про Послугу, яку ви отримували, зручний час для зворотного зв’язку, та інші подробиці, що стосуються питання. Примітка: у процесі спілкування ви можете добровільно надати нам додаткові персональні дані, якщо вважаєте це потрібним для вирішення вашого питання (наприклад, ваші професійні дані, або скани документів). Ми просимо не надавати зайву або надмірно чутливу інформацію, якщо це не необхідно.	Надаються вами безпосередньо при зверненні: ви самі формулюєте запит у електронному листі, формі зворотного зв’язку на Сайті або телефоном. Деякі технічні дані можуть збиратися автоматично при електронному листуванні (наприклад, час отримання листа, ваша IP-адреса – у заголовках email).	– Прийняття, обробка і реагування на ваш запит чи скаргу: ми використовуємо інформацію, щоб вас ідентифікувати (як клієнта), зрозуміти суть питання та надати відповідь або вирішити проблему. – Поліпшення сервісу: аналіз типових питань і скарг, щоб виправити недоліки, підвищити якість обслуговування (в анонімному вигляді). – Юридичні цілі: у випадку спорів з вами чи претензій можемо використовувати історію листування як доказ належного надання Послуг або розгляду скарг.	Договір / Переддоговірні дії – якщо ваше звернення стосується виконання договору (напр., підтримка для доступу до оплаченого вебінару) або є запитом перед укладенням договору, ми обробляємо дані для його виконання; Законний інтерес – надання належної клієнтської підтримки та покращення сервісу (це очікувана частина наших послуг); Юридичний обов’язок – якщо звернення стосується реалізації ваших прав як суб’єкта даних або скарги, ми зобов’язані розглянути його за законом.	Листування електронною поштою зберігається до 2 років з дати останнього повідомлення по даному запиту (щоб мати історію вирішення проблеми та врахувати при повторних зверненнях). Записи телефонних дзвінків (якщо практикуються) – до 6 місяців. Дані скарг, які призвели до правового спору, можуть зберігатися довше (до 3 років або більше, якщо триває спір).	– Внутрішні одержувачі: ваше звернення обробляється уповноваженими співробітниками служби підтримки або адміністрації Компанії. Вони зобов’язані зберігати конфіденційність отриманої інформації. – Сторонні оператори зв’язку: якщо ви контактуєте через сторонні платформи (наприклад, месенджери, соцмережі), ваше повідомлення також підпадає під політики конфіденційності цих сервісів. Ми рекомендуємо використовувати офіційні канали (email) для конфіденційних питань. – Юридичні консультанти / органи: у разі необхідності (наприклад, розгляду скарги, що переросла у правовий спір) ми можемо залучити юридичних радників і їм надавати мінімально необхідну інформацію; або надати інформацію за запитом державних органів відповідно до закону.
Використання Сайту; аналітика та файли cookie	Технічні дані про ваше відвідування: IP-адреса; тип і версія браузера; тип пристрою та операційна система; час і тривалість візиту; переглянуті сторінки, кліки по елементах сайту; сторінка, з якої ви перейшли на наш Сайт (referrer URL); унікальні ідентифікатори cookie-файлів. Дані про місцезнаходження: на рівні країни/міста (визначається по IP). Інформація про cookie та подібні технології: файли cookie можуть збирати і зберігати ваші уподобання (наприклад, вибір мови), сеансові дані (щоб тримати вас залогіненим), статистику використання (перегляди сторінок) та ідентифікатори для реклами (якщо застосовно).	Збираються автоматично при вашому використанні Сайту та особистого кабінету: наші сервери реєструють технічні дані (у лог-файлах); cookie-файли та скрипти аналітики збирають поведінкову інформацію. Ваш браузер передає ці дані автоматично. Ви також можете частково контролювати це (див. розділ 5 про cookie).	– Забезпечення функціонування Сайту: збереження ваших налаштувань і стану сеансу (напр. аби вам не доводилося вводити пароль при переході між сторінками); відображення сайту відповідно до вашого пристрою; балансування навантаження на сервер. – Аналітика та поліпшення сервісу: відстеження того, як відвідувачі користуються сайтом (які сторінки популярні, де виникають помилки) – щоб оптимізувати контент і навігацію; підрахунок кількості унікальних відвідувачів; аналіз ефективності рекламних кампаній (якщо ми їх проводимо). – Безпека: моніторинг підозрілих активностей (напр. багато невдалих входів, нетипові запити) для захисту від злому; запобігання DDoS-атакам (фільтрація за IP).	Законний інтерес – забезпечити належну технічну роботу та безпеку Сайту (ми обробляємо технічні лог-дані і обов’язкові cookie без згоди, оскільки це необхідно для сервісу); Згода – для необов’язкових файлів cookie (аналітичних, маркетингових) ми запитуємо вашу згоду через банер cookie (для користувачів з ЄС/UK та за необхідності). Ваш вибір можна змінити в будь-який момент (див. розд.5). Законний інтерес – аналізувати узагальнену статистику відвідувань з метою розвитку нашого бізнесу (за умови, що це не порушує ваших прав і зроблено з мінімальним втручанням у приватність, напр. знеособлені дані).	Лог-файли сервера з технічними даними – до 6 місяців (якщо не потрібно довше для розслідування інциденту безпеки). Cookie – строки зберігання різні: сесійні cookie (до закриття браузера); постійні cookie (зберігаються від кількох днів до кількох років – залежить від призначення) – деталі наведено у розділі 5. Ви можете самостійно видалити cookie зі свого браузера в будь-який час. Дані аналітики – у сервісі аналітики зберігаються до 24 місяців (за цей період ми бачимо історичні тренди). Після цього або видаляються автоматично, або знеособлюються.	– Аналітичні провайдери: ми можемо користуватися сервісами на кшталт Google Analytics для збору статистики. Такі провайдери отримують технічні дані про ваше відвідування (через cookie або API). Вони діють як наші обробники або спільні контролери згідно власних політик (див. розд.12). – Рекламні мережі: якщо на сайті впроваджено маркетингові cookie, дані про вашу активність можуть отримувати сторонні рекламні партнери для показу вам таргетованої реклами на інших платформах. Це відбувається тільки за вашою згодою на маркетингові cookie. – IT-провайдери: компанії, що надають нам хостинг, CDN або захист від атак (наприклад, Cloudflare) можуть опрацьовувати ваші технічні дані як обробники для цілей доставки контенту швидко і безпечно. – Ми не передаємо ці дані іншим третім сторонам, окрім випадків, описаних у розд.12 (наприклад, за вимогою закону).

Примітка щодо спеціальних категорій даних: Ми не збираємо навмисно чутливі персональні дані про вас (такі як дані про стан здоров’я, расове чи етнічне походження, політичні погляди, релігійні чи філософські переконання, членство у профспілках, генетичні чи біометричні дані, відомості про сексуальне життя чи орієнтацію). Наші Послуги цього не потребують. Просимо вас утриматись від надання подібної інформації у формах реєстрації або зверненнях до підтримки. У разі якщо для надання Послуги виникне потреба у такій інформації (малоймовірно), ми запросимо вашу явну згоду та пояснимо мету використання. Якщо ви все ж добровільно надали нам чутливі дані без запиту, вони будуть оброблені лише за вашою явною згодою або видалені для захисту вашої конфіденційності.

5. Файли cookie

Як зазначено вище, наш Сайт використовує файли cookie та схожі технології. У цьому розділі пояснюється, які типи cookie-файлів застосовуються, з якою метою та як ви можете керувати своїми налаштуваннями.

5.1. Види cookie та їх призначення: Наші cookie-файли поділяються на кілька категорій:

Обов’язкові (необхідні) cookie: ці файли cookie є необхідними для роботи Сайту і дозволяють вам користуватися основними функціями. Без них Сайт може працювати некоректно. Наприклад, це cookie для підтримки сесії після входу в особистий кабінет (щоб ви не вводили логін і пароль на кожній сторінці), для запам’ятовування товарів у кошику (якщо застосовно) тощо. Обов’язкові cookie не вимагають згоди, оскільки без них надання запитуваної вами Послуги неможливе.
Функціональні cookie: ці файли покращують зручність використання Сайту, запам’ятовуючи ваші налаштування та вибори. Наприклад, cookie для запам’ятовування обраної мови інтерфейсу або інших ваших уподобань. Хоч вони не є суто необхідними, але роблять ваш досвід більш персоналізованим. За замовчуванням ми можемо використовувати функціональні cookie на основі нашого законного інтересу, але у більшості випадків ви зможете відмовитися від них, якщо забажаєте (через налаштування браузера).
Аналітичні cookie: файли, які збирають знеособлену інформацію про те, як відвідувачі використовують наш Сайт. Вони дозволяють нам дізнатися, які сторінки відвідують найчастіше, чи отримують користувачі повідомлення про помилки на сторінках, скільки часу проводять на Сайті тощо. Це допомагає нам оцінити ефективність роботи Сайту та зрозуміти, де потрібні покращення. Наприклад, ми можемо використовувати Google Analytics або інший аналітичний інструмент для цих цілей. Дані, що збираються аналітичними cookies, є агрегованими і не призначені для ідентифікації вас особисто. Ми запитуємо вашу згоду на використання аналітичних cookie (через банер при першому відвідуванні Сайту, якщо ви знаходитесь у юрисдикції, де це вимагається). За відсутності згоди аналітичні скрипти не будуть активовані.
Маркетингові (рекламні) cookie: ці файли використовуються для відстеження ваших дій на Сайті і на інших сайтах, щоб показувати вам цільову рекламу, яка може бути вам цікава. Маркетингові cookie можуть встановлюватися нами або нашими рекламними партнерами (третіми сторонами) через наш Сайт. Наприклад, якщо ми проводимо рекламну кампанію, cookie можуть допомогти обмежити кількість показів однієї й тієї ж реклами вам або оцінити її результативність. Також такі cookie дозволяють показати вам наші оголошення на інших платформах (ретаргетинг) на основі того, що ви переглядали на нашому Сайті. Ми використовуємо маркетингові cookie лише за вашої попередньої згоди. У банері cookie ви можете окремо погодитися або відмовитися від маркетингових (та аналітичних) файлів. Якщо ви не дасте згоди, ваші дані не відслідковуватимуться для рекламних цілей.

5.2. Сторонні cookie: Деякі cookie, що діють на нашому Сайті, можуть належати стороннім постачальникам послуг, з якими ми співпрацюємо. Зокрема:

Аналітика: як зазначено, ми можемо використовувати сторонній сервіс аналітики. Такий провайдер встановлює власні cookie та отримує аналітичну інформацію (наприклад, Google Analytics отримує ваші технічні дані та поведінку на Сайті). Ми налаштовуємо такі сервіси по можливості на анонімізацію (наприклад, включаємо функцію Masking IP у Google Analytics). Отримані статистичні дані ми використовуємо згідно розділу 4. Провайдер аналітики виступає обробником даних від нашого імені або спільним контролером; детальніше – у його політиці конфіденційності. Для Google LLC (сервіс Google Analytics) політика доступна за посиланням: https://policies.google.com/privacy. Ви можете відмовитися від аналітики Google встановивши Google Analytics Opt-out Browser Add-on.
Реклама: на нашому Сайті наразі відсутні сторонні рекламні банери, і ми не передаємо рекламним мережам інформацію про вас. Якщо в майбутньому ми запровадимо маркетингові технології (наприклад, інтегруємо піксель Facebook Ads чи Google Ads для ремаркетингу), ми обов’язково оновимо цю Політику та отримаємо вашу згоду перед активацією таких інструментів. В разі впровадження, відповідні провайдери можуть встановлювати cookie і отримувати дані про вашу активність для показу персоналізованої реклами.
Інші сервіси: якщо на Сайті будуть вбудовані відео з YouTube або інший сторонній контент, такі сторонні ресурси теж можуть встановлювати свої cookie при завантаженні. Ми постараємося повідомляти вам про такі випадки та запитувати згоду, якщо ці cookie не є технічно необхідними.

5.3. Управління cookies: При першому відвідуванні Сайту ви побачите банер з повідомленням про використання cookie. Ви можете прийняти всі cookie натиснувши «Прийняти всі», або налаштувати свої вподобання і відмовитися від певних категорій (аналітика, маркетинг), залишивши увімкненими лише необхідні. Ваш вибір буде збережено у вигляді cookie-параметру. Якщо ви хочете змінити налаштування або відкликати згоду, ви можете в будь-який момент скористатися посиланням «Налаштування cookie» (наприклад, внизу сторінки сайту) і змінити свої вподобання.

Також ви маєте можливість керувати cookie безпосередньо через налаштування вашого браузера. Більшість браузерів дозволяють видалити вже записані cookie та заборонити прийом нових. Однак зверніть увагу: якщо ви вимкнете всі cookie (особливо необхідні), робота нашого Сайту може погіршитися – деякі функції стануть недоступними (наприклад, особистий кабінет може не зберігати ваш вхід). Інструкції з управління cookie для популярних браузерів: Chrome, Firefox, Safari, Edge. Ви також можете налаштувати браузер так, щоб він вас повідомляв при спробі встановлення cookie або блокував сторонні cookie.

5.4. Не відстежувати: Деякі браузери надають опцію «Do Not Track» (Не відстежувати), яка при активуванні надсилає сигнал сайтам про ваше бажання, щоб вашу активність не відстежували. Наразі немає єдиного галузевого стандарту трактування таких сигналів. Ми все ж прагнемо поважати ваше бажання приватності: якщо наш Сайт розпізнає заголовок DNT, ми постараємось автоматично не включати аналітичні та маркетингові трекери без додаткової згоди. Однак найбільш ефективним способом є управління cookie, описане вище.

6. Відео та фото

Деякі наші освітні заходи можуть бути записані на відео або фото з навчальною чи маркетинговою метою. Ми усвідомлюємо важливість вашого права на зображення та приватність, тому інформуємо вас про наступне:

6.1. Запис онлайн-заходів: Під час онлайн-вебінарів, лекцій чи інших трансляцій ми можемо здійснювати відеозапис сеансу (включно зі звуком) для того, щоб надати його учасникам надалі для перегляду або для розміщення в нашій бібліотеці освітніх матеріалів. Якщо планується запис, ми завчасно повідомимо вас про це до початку заходу. Як правило, платформа Zoom автоматично показує всім учасникам індикатор «Recording» при початку запису. Продовжуючи участь після отримання повідомлення, ви підтверджуєте свою згоду на запис. Якщо ви не бажаєте потрапити на запис, ви маєте право вийти із заходу або відключити свою камеру/мікрофон (щоб ваше зображення та голос не були зафіксовані). Ми поважаємо вибір учасників: наприклад, якщо ви хочете задати питання, але не бажаєте бути в запису, ви можете написати його в чат модератору.

6.2. Запис офлайн-заходів (фото/відеозйомка): У разі проведення наших заходів в офлайн-форматі (очно, наприклад, семінари, конференції) ми можемо здійснювати фото- чи відеозйомку для звітності або створення навчального контенту. Про факт ведення зйомки ми повідомимо учасників окремо (наприклад, на початку заходу оголосимо, що проводиться фото-/відеозапис). Якщо ви категорично не бажаєте бути сфотографованими або знятими на відео, просимо повідомити нас до початку або на початку заходу – ми спробуємо забезпечити, щоб вас не знімали крупним планом або запропонуємо вам місце поза кадром. Зверніть увагу: фотографії загальних планів аудиторії, де ви не є головним об’єктом, можуть здійснюватися без індивідуального погодження, але ми все одно готові видалити чи заретушувати ваше зображення на ваше прохання після публікації, якщо ви будете на ньому впізнавані.

6.3. Використання записів та фотографій: Ми не будемо використовувати записані матеріали з вашим зображенням для будь-яких цілей, окрім попередньо заявлених. Основні можливі випадки використання:

Надання відеозапису навчального заходу самим учасникам заходу або іншим нашим клієнтам, які придбали доступ до цього запису. Такий запис розповсюджується через наш захищений Сайт або платформу, і не є у відкритому доступі для всіх.
Використання уривків записів або фото з заходів для просування наших Послуг – наприклад, публікація короткого фрагменту лекції чи групового фото слухачів на нашому сайті, сторінці в соцмережі або рекламному буклеті, щоб продемонструвати формат навчання. Таке маркетингове використання буде здійснюватися помірковано і з повагою до вашої гідності (ми не будемо публікувати компрометуючих чи принизливих кадрів). Зазвичай при маркетинговій публікації ми не вказуємо ваших повних імен без окремої згоди; може бути зазначене загальне описання (напр. «Учасники семінару з хірургії, вересень 2025»).
Використання ваших відеовідгуків або цитат (testimonial), якщо ви добровільно погодилися надати нам відгук про курс. У такому разі ми можемо з вашого дозволу опублікувати ваш відгук на сайті або в соціальних мережах, вказавши ваше ім’я, спеціальність та, можливо, фото (або відео-відгук). Ми завжди узгоджуємо текст і формат публікації відгуку з вами.

6.4. Правові підстави та ліцензія: Згідно з українським законодавством, ваша згода на фото-/відеозйомку та використання зображення є необхідною (ст.307 ЦК України). Приймаючи умови нашої оферти та беручи участь у заходах, ви надаєте нам таку згоду (дозвіл) на зйомку та подальше використання матеріалів з вашим зображенням для вищезазначених цілей. Цей дозвіл є безоплатним (ми не виплачуємо вам гонорар за використання фото/відео) і діє на території всіх країн світу. Якщо інше не обумовлено, строк такого дозволу – необмежений, що означає наше право зберігати і використовувати матеріали з вами доки це нам потрібно для заявлених цілей. Однак це не є безвідкличним: ви зберігаєте право відкликати свою згоду в будь-який момент (див. п.6.5 нижче). Ми не будемо передавати ваші фото чи відео стороннім особам для їх власного використання без вашої окремої згоди.

6.5. Відкликання згоди та видалення матеріалів: Ви маєте право відкликати свою згоду на відео-/фотозйомку та/або на використання вашого зображення у маркетингових цілях у будь-який час, навіть після завершення заходу. Для цього достатньо надіслати нам запит на email medical.ukrainian.school@gmail.com з темою «Відкликання згоди на використання зображення» або іншим чином письмово повідомити нас. Будь ласка, вкажіть, яких конкретно матеріалів стосується відкликання (наприклад, «фото з конференції 10.09.2025, де я стою третій праворуч» або «запис вебінару з моєю участю»). Після отримання вашого відкликання ми:

Припинимо подальше використання відповідних фото/відео у нових публікаціях чи матеріалах.
Видалимо ваші зображення з нашого сайту та соцмереж, по можливості – негайно (або замінимо на інші фото без вас). В друкованих матеріалах чи вже розповсюджених цифрових матеріалах, на жаль, відкликання не може мати зворотної дії, але на майбутнє ми не будемо їх перевидавати.
Якщо мова про навчальний запис, який доступний іншим користувачам: ми виріжемо або розмиємо ваше зображення/голос у цьому запису (наскільки це технічно здійсненно) або ж видалимо весь запис, якщо без нього неможливо обійтися. Зверніть увагу, що відкликання згоди не впливає на законність використання ваших даних до моменту відкликання. Також ми залишаємо за собою право зберігати оригінальні необроблені матеріали в архіві (без публічного використання) протягом необхідного нам строку, якщо це потрібно, наприклад, для захисту в разі правових претензій щодо заходу.

6.6. Відгуки та рекомендації: Якщо ви надаєте нам відгук про Послуги (наприклад, заповнюєте анкету чи надсилаєте листа зі словами подяки), ми можемо попросити вашого дозволу опублікувати цей відгук (повністю або частково) на нашому сайті чи в соцмережах. За вашої згоди ми можемо вказати ваше ім’я, фах та іншу інформацію, яку ви погодите для публікації. Ми ніколи не оприлюднюємо приватні відгуки без отримання чіткої згоди від вас. Наданий відгук і згоду на його публікацію ви можете відкликати в будь-який момент, звернувшись до нас – ми тоді видалимо публіковану інформацію.

Підсумовуючи, ми прагнемо поводитися з записами та зображеннями учасників етично: жодного комерційного чи публічного використання вашого образу без вашої відома і згоди. Якщо у вас є будь-які занепокоєння щодо цього або ви помітили фото/відео з собою, яке хотіли б прибрати – повідомте нас, і ми негайно вживемо заходів.

7. Неповнолітні

Наш Сайт та Послуги не призначені для осіб молодше 18 років. Ми свідомо не збираємо і не обробляємо персональні дані дітей або неповнолітніх осіб без згоди їхніх законних представників.

7.1. Вікові обмеження: Реєструючись на Сайті або приймаючи нашу Публічну оферту, ви підтверджуєте, що вам виповнилося 18 років і ви маєте повну цивільну дієздатність. Якщо вам менше 18, ви не повинні створювати обліковий запис або користуватися нашими платними Послугами самостійно. В окремих випадках (наприклад, талановиті старшокурсники медичних коледжів віком 16-17 років) ми можемо допустити участь у заході за умови, що реєстрацію та оплату здійснить ваш батько/мати або інший законний представник (як Замовник), який і надасть згоду на вашу участь, а також на обробку ваших персональних даних за цією Політикою. Такий представник несе відповідальність за ваше використання Послуг.

7.2. Згода законних представників: Якщо ми виявимо, що обробляємо персональні дані особи молодше 18 років, ми зобов’язані перевірити наявність згоди батьків чи опікунів. У разі відсутності підтвердження такої згоди ми припинимо обробку і видалимо персональні дані неповнолітнього. Тому, якщо вам ще не виповнилося 18, просимо не надавати нам персональні дані без залучення вашого законного представника. Батькам і опікунам рекомендуємо контролювати онлайн-активність дітей.

7.3. Видалення даних неповнолітніх: Якщо вам стало відомо, що нам випадково стали доступні персональні дані дитини (наприклад, ваша дитина зареєструвалася на вебінар самостійно, порушивши наші правила), прохання негайно зв’язатися з нами. Ми вживемо заходів, щоб видалити відповідну інформацію. Ми можемо також запросити у законного представника дозвіл залишити деякі дані, якщо дитина фактично пройшла навчання і отримала сертифікат (щоб його не анулювати), але подальша обробка (зберігання контакту, розсилка тощо) буде зупинена або переведена на представника.

7.4. Європейські та міжнародні вимоги: Ми не пропонуємо онлайн-сервіси безпосередньо дітям віком до 16 років згідно зі ст.8 GDPR. Якщо ви перебуваєте в ЄС/EEA чи Великій Британії, врахуйте, що згідно з місцевим законом в різних країнах може встановлюватися вік 13-16 років для необхідності батьківської згоди на обробку персональних даних дитини. Ми орієнтуємося на 16 років як базову межу. Тобто навіть якщо закон деяких країн дозволяє у 16-річному віці самостійно давати згоду, ми все одно вимагаємо 18 років для повноцінного користування нашими Послугами (оскільки це пов’язано не лише з обробкою даних, а й з укладенням договору, оплатою тощо).

Ми завжди готові співпрацювати з батьками/опікунами та відповідати на їхні запити щодо даних неповнолітніх. Безпека і приватність дітей – пріоритет для нас.

8. Міжнародні передачі даних

Ми здійснюємо діяльність в Україні і обробляємо персональні дані переважно на території України. Водночас, для забезпечення роботи наших сервісів і використання необхідних технологій, ваші персональні дані можуть передаватися в інші країни. Зокрема, деякі наші партнери-обробники базуються за межами України (і Європейської економічної зони), наприклад, у США. У цьому розділі пояснюється, як ми забезпечуємо захист ваших даних при таких транскордонних передаваннях.

8.1. Передача даних за межі України: Якщо ви користуєтеся нашими Послугами з території України, ваші дані зазвичай зберігаються на серверах в Україні або ЄС (ми прагнемо використовувати хмарні рішення з дата-центрами в Європі, коли можливо). Однак деякі дані все ж можуть передаватися за кордон, тому що:

Наші постачальники ІТ-послуг (електронної пошти, відеоконференцій, аналітики тощо) знаходяться у інших країнах. Наприклад, Google та Zoom – американські компанії, їхні сервери розташовані глобально (США, ЄС та інші регіони).
Якщо ви перебуваєте в ЄС або іншій країні, ви самі передаєте нам дані до України (третя країна щодо GDPR) при реєстрації та користуванні сервісами, оскільки наші системи розгорнуті в Україні.
Міжнародні платіжні системи, такі як Visa/MasterCard, можуть обробляти транзакції через глобальні мережі, і дані платежу рухаються через різні країни.

8.2. Законодавча основа міжнародної передачі: При передачі ваших персональних даних з України за кордон ми дотримуємося вимог українського законодавства (ст.29 Закону «Про захист персональних даних») – зокрема, передаємо дані тільки до тих юрисдикцій, що забезпечують належний рівень захисту персональних даних, або за умови наявності відповідних правових механізмів. Так само, якщо застосовується GDPR/UK GDPR, ми забезпечуємо, щоб існувала одна з правових підстав, передбачених розділом V GDPR:

Стандартні договірні клаузули (SCCs): з багатьма нашими постачальниками (Google, Zoom тощо) укладені типові положення про захист даних, затверджені Єврокомісією, що зобов’язують їх захищати дані європейських користувачів відповідно до стандартів GDPR. Наприклад, Google та Zoom включають SCCs у своїх угодах з клієнтами. Це означає, що навіть якщо дані з ЄС потрапляють на сервери в США, компанія-одержувач юридично зобов’язана гарантувати конфіденційність та безпеку даних.
Інші гарантії: ми оцінюємо ризики кожної такої передачі (робимо так звану оцінку впливу на передачу даних – Transfer Impact Assessment). За необхідності, ми впроваджуємо додаткові технічні заходи – наприклад, шифрування даних у транзиті та у зберіганні, щоб навіть при доступі в іншій країні дані залишалися захищеними. Наші ключові провайдери (Google, Zoom) також сертифіковані за міжнародними стандартами безпеки (наприклад, ISO 27001).
Виконання договору з вами: у випадках, коли ви як суб’єкт даних перебуваєте в ЄС/ЄЕЗ і звертаєтесь до нас як української компанії, ми можемо передати ваші дані до України на підставі винятку, передбаченого ст.49(1)(b) GDPR – тобто передача є необхідною для виконання договору між вами та нами (надання вами запитаної Послуги). Ваше звернення до нас і бажання отримати Послугу означає, що передача ваших даних до України відбувається за вашою ініціативою, що допускається GDPR. Ми все одно забезпечуємо конфіденційність таких даних і дотримуємося цієї Політики.

8.3. Передачі до міжнародних сервісів: Коротко опишемо, де опрацьовуються ваші дані ключовими нашими сервіс-провайдерами:

Google LLC (США): Ми використовуємо Google Workspace (Gmail для листування, Google Drive для документів, Google Meet для онлайн-зустрічей). Дані, що проходять через сервіси Google, можуть оброблятися як у дата-центрах в ЄС (Google має центри в Європі), так і в США. Google підтверджує дотримання GDPR шляхом укладення SCCs. Крім того, Google пройшов сертифікацію відповідно до концепції EU-U.S. Data Privacy Framework (оновленого механізму, який у 2023 році Єврокомісія визнала таким, що надає адекватний рівень захисту для передачі даних у США). Це означає, що передача даних європейських користувачів Google до США тепер вважається адекватною (і легально допустимою). Для користувачів з Великої Британії Google також надає свої стандартні положення відповідно до UK GDPR.
Zoom Video Communications, Inc. (США): При проведенні вебінарів через Zoom, певні ваші дані (ім’я, email для запрошення, відеопотік якщо ви говорите) передаються на сервери Zoom. Zoom зберігає дані зустрічей здебільшого в США, але може використовувати глобальну інфраструктуру. Вони також забезпечили правові механізми (SCCs) для захисту даних європейських користувачів. Zoom декларує відповідність вимогам GDPR у своїй Політиці конфіденційності. Якщо ви заходите на вебінар Zoom з ЄС, ваші дані перетинають кордон ЄС, проте захищені згідно їхніх контрактних зобов’язань перед нами як корпоративним клієнтом.
LiqPay / ПриватБанк (Україна): LiqPay – сервіс, наданий українським банком, тому дані, які ви вводите в платіжну форму, обробляються в межах України (можливо, з дублюванням в ЄС, якщо банк має зарубіжні філії). Для європейських користувачів передача платіжних даних до України відбувається на основі винятків GDPR (необхідність для виконання платежу за вашим бажанням). ПриватБанк зобов’язаний українським законом захищати банківську таємницю і дані клієнтів, тому рівень безпеки дуже високий. Їхня політика конфіденційності описана в угоді LiqPay (див. посилання на сайті LiqPay).

8.4. Застереження щодо державних запитів: Ми усвідомлюємо, що передача даних до деяких країн (наприклад, США) теоретично може означати можливість доступу до даних з боку місцевих державних органів (на підставі їхнього законодавства, як-от Patriot Act). Ми стежимо за судовою практикою (прецедент Schrems II) і намагаємося впроваджувати додаткові захисні заходи, щоб мінімізувати такий ризик. Наприклад, по можливості – шифруємо дані end-to-end (так, що навіть провайдер не може прочитати зміст без ключа). Ми також запевняємо, що не передаватимемо ваші персональні дані жодному урядовому органу іноземної держави, якщо на те не буде законної вимоги, яку ми зобов’язані виконати. У разі отримання подібного запиту ми, по-перше, перевіримо його законність та оскаржимо за потреби, а по-друге – за можливості повідомимо вас (якщо це не заборонено законом).

8.5. Оцінка впливу та безпека: Перед початком співпраці з будь-яким стороннім обробником даних за межами України ми проводимо внутрішню оцінку впливу на захист даних (DPIA) і переконуємося, що ризики є прийнятними та контрольованими. Ми укладаємо письмові угоди про захист даних з кожним обробником, де передбачено обов’язкові стандарти безпеки, конфіденційності і допомоги нам у реагуванні на запити суб’єктів чи інциденти. Ми будемо регулярно переглядати обставини міжнародних передач і, якщо правовий ландшафт зміниться (наприклад, буде скасовано механізм Privacy Shield чи SCCs), ми вживемо альтернативних заходів (іншого сертифікаційного механізму, отримання індивідуальної згоди від вас тощо). Наш підхід – прозорість та обережність щодо ваших даних за кордоном.

Якщо у вас є питання про конкретні передачі ваших даних за кордон або ви бажаєте отримати копію відповідних контрактних положень (в межах комерційної таємниці), будь ласка, звертайтеся – ми надамо доступну інформацію.

9. Безпека даних

Ми приділяємо першочергову увагу безпеці ваших персональних даних. Для захисту від несанкціонованого доступу, зміни, розкриття або знищення даних ми впровадили комплекс технічних та організаційних заходів безпеки відповідно до кращих практик і вимог Законодавства. Серед них:

Шифрування даних: Наш Сайт використовує протокол HTTPS (TLS) для шифрування всього трафіку між вашим браузером і нашими серверами. Це означає, що вся інформація (включно з вашим логіном/паролем, даними форм, платежами), яку ви вводите на Сайті, передається у зашифрованому вигляді і не може бути прочитана зловмисниками при перехопленні. Стан замка (🔒) у адресному рядку браузера підтверджує дійсність сертифіката шифрування. Також, якщо ми зберігаємо конфіденційні дані (наприклад, паролі), вони зберігаються тільки у вигляді хешів (незворотних криптографічних відбитків), тож навіть у разі доступу до бази даних ніхто не зможе їх відновити.
Контроль доступу: Доступ до ваших персональних даних всередині нашої Компанії обмежений принципом необхідності знати. Лише ті працівники або залучені спеціалісти, яким це потрібно для виконання службових обов’язків (надання вам Послуг, підтримка тощо), мають доступ до ідентифікаційних даних. Всі наші співробітники підписують угоди про конфіденційність та проходять навчання з питань захисту даних. Системи, що містять персональні дані, захищені паролями, двофакторною автентифікацією (де можливо) та іншими засобами. Ми регулярно переглядаємо списки доступів і скасовуємо доступ для тих, хто більше не потребує.
Фізичний захист та зберігання: Наші сервери (чи хмарні сховища) розміщені в сертифікованих дата-центрах, що забезпечують фізичну безпеку (охорона, відеонагляд, резервне живлення). Ми обираємо хмарні сервіси, які мають міжнародні сертифікати безпеки (ISO 27001, SOC 2 тощо) і доведену репутацію. Якщо ми зберігаємо дані на локальних носіях (наприклад, резервні копії), вони надійно зашифровані та зберігаються у безпечному місці.
Резервне копіювання: Ми регулярно створюємо резервні копії важливих даних (бази користувачів, записи заходів) для запобігання їх втраті у разі збою системи чи технічної аварії. Резервні копії також шифруються. Ми періодично тестуємо відновлення з бекапів, щоб упевнитися, що інформація не буде втрачена безповоротно.
Логування і моніторинг: Наші системи ведуть журнали подій (логи), де фіксують ключові дії: входи в акаунти, спроби підбору пароля, зміни в даних, системні помилки тощо. Ми відстежуємо ці логи і налаштовуємо оповіщення про нетипову активність. Це допомагає оперативно виявити потенційні інциденти безпеки (наприклад, масові невдалі спроби входу можуть свідчити про атаку) і вжити заходів.
Антивірусний та мережевий захист: Наші сервери та робочі комп’ютери захищені сучасним антивірусним програмним забезпеченням та регулярно оновлюються, щоб уникнути вразливостей. Ми застосовуємо мережеві брандмауери і, за потреби, захист від DDoS, щоб протидіяти зовнішнім атакам. Всі оновлення системного і прикладного програмного забезпечення встановлюються вчасно (ми стежимо за патчами безпеки).
Тестування безпеки: Час від часу ми проводимо аудит або тестування на проникнення (самостійно або із залученням експертів) наших веб-ресурсів, особливо після внесення значних змін, щоб виявити і усунути можливі слабкі місця. Якщо будуть знайдені проблеми, ми негайно їх виправляємо. Крім того, ми заохочуємо спільноту відповідальних дослідників повідомляти нам про вразливості (якщо такі знайдуться) – у нас є політика responsible disclosure.
Навчання персоналу: Ми регулярно проводимо для нашої команди інструктажі та тренінги щодо кібербезпеки та захисту даних. Це включає теми соціальної інженерії (щоб працівники не піддалися на фішингові трюки), правильного поводження з конфіденційною інформацією, дій у разі підозрілих інцидентів. Співробітники знають процедуру повідомлення про інцидент і первинних заходів реагування.
План реагування на інциденти: У нас розроблено процедуру реагування на потенційні витоки або інші інциденти безпеки. Якщо щось трапиться, ми маємо чіткий алгоритм: негайне визначення масштабів, ізоляція проблеми, відновлення контролю, розслідування причин. Ми також зобов’язуємося повідомити вас та компетентні органи (Уповноваженого з прав людини, а якщо застосовне GDPR – відповідний орган в ЄС) протягом встановленого строку про витік персональних даних, який може потягнути за собою високі ризики для ваших прав (згідно ст.33-34 GDPR – протягом 72 годин для органу, без зволікань для вас). Ми надамо рекомендації, що вам робити для захисту, і інформуватимемо про вжиті заходи.

Хоча жодна система захисту не є абсолютно непроникною, ми постійно покращуємо наші засоби безпеки, щоб відповідати новим загрозам. Ви також відіграєте роль у безпеці: просимо вас вибирати надійні паролі, не розголошувати дані входу третім особам, виходити зі свого акаунту після роботи (особливо на чужих пристроях) та оновлювати свій браузер. Якщо ви помітите щось підозріле (наприклад, несанкціонований доступ до свого акаунту або отримали фішинговий лист нібито від нас) – негайно повідомте нам, і ми допоможемо.

Ми постійно стежимо за розвитком технологій безпеки та вимог законодавства, щоб ваші дані були максимально захищені. Ваша довіра – для нас найцінніша, тому безпека – наш безумовний пріоритет.

10. Строки зберігання даних

Ми зберігаємо ваші персональні дані не довше, ніж це необхідно для тієї мети, з якою вони були зібрані, або на період, передбачений законом чи нашими внутрішніми політиками. В цьому розділі стисло викладені основні періоди зберігання для різних категорій даних:

Дані облікового запису користувача: Ми зберігаємо ваші дані профілю (ім’я, контакти, налаштування) поки ваш акаунт існує в нашій системі. Ви можете самостійно видалити акаунт або звернутися до нас з проханням про видалення – і тоді протягом 30 днів ми видалимо або анонімізуємо всі дані, що дозволяють вас ідентифікувати (за винятком тих, які ми зобов’язані зберігати довше згідно закону – про них нижче). Якщо ваш акаунт неактивний протягом тривалого часу, ми можемо зв’язатися з вами щодо його збереження або видалення. Зазвичай неактивні акаунти (без жодної участі у заходах) можуть бути видалені після 3 років від останнього входу. Ми повідомимо вас перед таким видаленням на вашу електронну пошту. Резервні копії ваших даних можуть ще певний час зберігатися у наших бекапах (до 6 міс.), але вони теж будуть очищені згідно ротації.
Інформація про реєстрацію на заходи та участь: Дані про ваші минулі заходи (календар історії відвідувань, результати тестів) зберігаються до 5 років, якщо інше не зазначено. Цей період обґрунтований тим, що протягом кількох років після навчання ви можете звернутися за підтвердженням чи повторним наданням сертифікату. Після 5 років ми або видаляємо детальні дані, або зберігаємо їх у знеособленому/агрегованому форматі (наприклад, лише статистика, без прив’язки до вашого імені). Звичайно, якщо ви попросите видалити ці дані раніше і у нас не буде законних підстав зберігати їх – ми видалимо на ваше прохання.
Сертифікати та дані про кваліфікацію: Копії виданих вам сертифікатів та реєстри ми зберігаємо мінімум 5 років, часто довше (до 10 років або безстроково, доки існує наша організація). Це потрібно, щоб ви або сторонні організації могли надалі перевірити достовірність сертифікату (наприклад, при прийомі на роботу чи перевірці ваших БПР балів). Якщо ви бажаєте, щоб ми видалили інформацію про виданий вам сертифікат після певного часу, ви можете надіслати нам запит – ми розглянемо його з урахуванням наших юридичних зобов’язань і легітимних інтересів.
Фінансові та платіжні дані: Дані про ваші транзакції (платежі через LiqPay, рахунки, акти) ми зобов’язані зберігати щонайменше 3 роки після закінчення фінансового року, коли відбулася операція (відповідно до правил бухгалтерського обліку України). Насправді, ми зберігаємо ці дані 5 років на випадок податкових перевірок або фінансових аудитів – після цього періоду вони будуть видалені або архівовані (відключені від операційних систем). Звісно, реквізити платіжних карток ми не зберігаємо взагалі (ними оперує лише LiqPay). Тільки неособисті дані, як-от ID транзакції і сума, залишаються у записах.
Листування та підтримка: Електронні листи з питаннями від вас, записи чатів підтримки ми зберігаємо до 2 років після вирішення вашого запиту. Це допомагає нам у подальшому розуміти контекст, якщо ви звернетеся знову, а також аналізувати типові питання. Якщо якась переписка може мати значення для потенційного спору або правових питань, ми можемо зберегти її довше (до вирішення ситуації + до 3 років для можливих претензій). Далі така переписка або видаляється, або анонімізується. Лог-файли кол-центру (дата, час дзвінка) зберігаються 1-2 роки, записи дзвінків – не більше 6 місяців (якщо записуються).
Дані аналітики та журналів: Як зазначено в розділі 4 і 5, веб-логи нашого сервера (IP-адреси, події) ми зазвичай тримаємо 6 місяців. Аналітичні агреговані дані Google Analytics зберігаються 14-24 місяці (точний період встановлено в налаштуваннях GA і може змінюватися). Після закінчення цього строку детальні дані видаляються автоматично, лишаються тільки зведені показники. Cookie на вашому пристрої – ви самі контролюєте їх строк або він визначений провайдером (див. розділ 5).
Маркетингові дані: Якщо ви підписалися на нашу розсилку, ми будемо зберігати ваш email (і ім’я, якщо вказали) доки ви не відпишетеся. Після відписки ваші контактні дані будуть поміщені до списку блокування (щоб ми випадково не написали вам знову). Запис про вашу згоду на розсилку ми можемо зберігати до 3 років (для доказу дотримання законності маркетингу). Якщо ви не відкриваєте наші листи певний тривалий час (наприклад, 1-2 роки), ми можемо також видалити ваш контакт зі списку активних підписників, щоб не турбувати вас.
Відеозаписи заходів: Записи вебінарів, які ми викладаємо для учасників, зазвичай доступні протягом часу, зазначеного у програмі заходу (наприклад, 3 чи 6 місяців після події). Ми зберігаємо оригінальні записи на нашому сервері довше – приблизно 1-2 роки, після чого переглядаємо їх актуальність. Якщо запис більше не актуальний (застарів морально або вичерпав навчальну цінність), ми його видаляємо або архівуємо. Деякі записи можуть стати частиною нашої постійної бібліотеки курсів – тоді вони зберігаються, доки курс актуальний (кілька років). Проте, якщо учасник відкликав згоду на свою присутність у записі (див. розд.6), ми або редагуємо запис, або припиняємо його зберігання незалежно від стандартного строку.
Фото з офлайн-заходів, які ми використовуємо в маркетингових цілях (на сайті, соцмережах), можуть зберігатися публічно до нескінченно, але регулярно (раз на рік) ми переглядаємо галерею і видаляємо застарілі або зайві фото. За запитом осіб, зображених на фото, ми негайно видаляємо конкретні фотографії (незалежно від строку).
Дані, видалені на запит: Якщо ви скористалися правом на видалення (право «на забуття»), ми протягом 30 днів виконуємо видалення ваших даних з активних систем, а також даємо команду на їх видалення з резервних копій (перший найближчий цикл бекапів перезапише ці дані). Після видалення ми збережемо тільки мінімальну інформацію, що ви колись були нашим клієнтом і що ми видалили ваші дані на вашу вимогу – це необхідно для внутрішньої звітності та захисту від повторних нелегітимних обробок (наприклад, щоб не відправити вам запрошення, не знаючи, що ви просили видалити). Така записка міститиме, наприклад, ваше ім’я та дату видалення і зберігатиметься окремо до 3 років.
Юридично значуща інформація: Будь-які дані, які потрібно зберігати довше відповідно до закону або для обґрунтування правових вимог, ми можемо зберігати стільки, скільки необхідно для виконання цього обов’язку чи захисту (наприклад, якщо виникне судовий спір, пов’язаний з вами, і він триватиме 5 років, ми збережемо необхідні дані до винесення остаточного рішення + ще на строк можливого оскарження).

Після спливу зазначених строків ми або безпечно видаляємо персональні дані, або анонімізуємо їх (що означає, що дані втрачають характер персональних і вже не можуть бути пов’язані з вами). Наприклад, статистика відвідувань може бути залишена для аналізу трендів, але без прив’язки до конкретних користувачів.

Якщо ви бажаєте уточнити період зберігання конкретних даних про вас, будь ласка, зверніться – ми надамо вам детальну інформацію. Ми також готові, за вашим запитом, видалити певні дані раніше стандартного строку, якщо це не суперечить нашим законним інтересам або обов’язкам.

11. Права суб’єктів персональних даних

Відповідно до Законодавства, ви – як суб’єкт персональних даних – маєте ряд важливих прав, покликаних захистити вашу приватність і дати вам контроль над тим, як обробляються ваші дані. Ми поважаємо ці права і прагнемо полегшити їх реалізацію. Нижче описані ваші права та наш порядок реагування на запити:

Право на доступ. Ви маєте право знати, чи обробляємо ми ваші персональні дані, і якщо так – отримати копію ваших персональних даних, які ми зберігаємо, а також додаткову інформацію: цілі обробки, категорії даних, одержувачі, строки зберігання, права, джерела отримання даних тощо. По суті, ця Політика вже надає багато цієї інформації. На ваш запит ми підтвердимо, які дані про вас у нас є, і надамо вам їх у зручному форматі (електронному або паперовому). Перший запит на доступ виконується безоплатно. За повторні або надмірні запити можемо стягнути розумну плату (якщо дозволено законом) або відмовити з обґрунтуванням.
Право на виправлення (уточнення). Якщо якісь ваші персональні дані, що обробляються нами, є неточними або неповними, ви маєте право вимагати виправлення їх без зайвої затримки. Наприклад, якщо ви змінили прізвище чи виявили помилку в своєму імені або контактах – повідомте нас. Багато що ви можете виправити самостійно, увійшовши до особистого кабінету і оновивши профіль. Все, що не можна змінити самостійно (наприклад, дані в історичних записах), ми оновимо на вашу вимогу, якщо це не заборонено законом (іноді ми не можемо змінювати інформацію “заднім числом”, але можемо додати примітку про уточнення).
Право на видалення («право бути забутим»). Ви маєте право попросити нас видалити ваші персональні дані, і ми зобов’язані це зробити, якщо: дані більше не потрібні для тих цілей, для яких збиралися; або ви відкликали свою згоду (і немає іншої законної підстави); або ви обґрунтовано заперечили проти обробки (див. право на заперечення нижче); або дані оброблялися незаконно; або потрібно стерти дані для виконання юридичного обов’язку. Зверніть увагу, право на видалення не є абсолютним – якщо існує законний обов’язок зберігати дані (наприклад, бухгалтерські документи), або якщо дані потрібні для встановлення, здійснення чи захисту правових вимог, ми можемо відмовити у негайному видаленні таких даних, але тільки щодо конкретних даних. У більшості випадків, на вашу вимогу ми видаляємо інформацію про вас з наших систем протягом 30 днів і підтверджуємо вам це. Після видалення вашого акаунту ви втратите доступ до особистого кабінету та навчальних матеріалів, тому переконайтесь, що у вас збережені потрібні сертифікати чи інша інформація, перш ніж запитувати повне видалення.
Право на обмеження обробки. Ви можете попросити нас тимчасово призупинити обробку ваших даних (крім зберігання) у таких ситуаціях: коли ви оскаржуєте точність даних – на період, поки ми перевіряємо їх актуальність; або коли обробка незаконна, але ви не бажаєте повного видалення; або коли дані нам вже не потрібні, але вони потрібні вам для правових претензій; або коли ви подали заперечення проти обробки – на період очікування, чи наші законні підстави переважають. Під час обмеження ми не будемо виконувати з даними жодних операцій, крім зберігання, без вашої згоди (виняток – випадки, коли обробка потрібна для правових вимог чи захисту прав іншої особи). Ми повідомимо вас, коли обмеження буде зняте.
Право на заперечення. Ви маєте право заперечити проти обробки ваших персональних даних, коли вона здійснюється на підставі нашого законного інтересу (або завдання в інтересах суспільства/використання офіційних повноважень, чого у нас немає). Якщо ви заперечуєте з причин, що стосуються саме вашої ситуації, ми припинимо обробку, крім випадків, коли ми зможемо довести, що існують вагомі законні підстави для обробки, які переважають ваші інтереси, права і свободи, або обробка здійснюється для пред’явлення, виконання або захисту правових вимог. Практично це означає: якщо ви, наприклад, заперечите проти використання ваших даних для аналітики або маркетингу на основі легітимного інтересу – ми задовольнимо заперечення (переключимося на режим «не відстежувати» чи видалимо вас зі списків). Якщо ж ви заперечите проти обробки, яка є невід’ємною частиною надання послуги (скажімо, зберігання вашого імені у списку учасників для сертифікації), нам доведеться або довести необхідність, або припинити надавати послугу вам. Окремо: ви маєте абсолютне право заперечити проти обробки ваших даних для прямих маркетингів. Якщо ви сказали «не надсилайте мені рекламу» – ми негайно виконаємо (див. розд.13).
Право на перенесення даних. Ви маєте право отримати від нас ваші персональні дані в структурованому, загальноприйнятому машиночитаному форматі для передачі іншому контролеру (або, якщо технічно можливо, ми можемо передати їх безпосередньо іншому контролеру на ваше прохання). Це право стосується лише тих даних, які: а) ви нам надали самі; б) обробка здійснюється автоматизовано; в) підстава обробки – ваша згода або виконання договору. У нашому випадку це може бути більшість даних акаунту та історії участі. За запитом ми надамо вам, наприклад, CSV чи JSON файл з інформацією вашого профілю, списком заходів тощо, щоб ви могли імпортувати це до іншого сервісу чи просто зберегти для себе. Перенесення не включає дані, створені нами (наші аналітичні висновки) або дані, що містять особисту інформацію інших осіб (крім вас).
Право на відкликання згоди. Якщо ми обробляємо ваші персональні дані на основі згоди, ви маєте право відкликати свою згоду у будь-який момент. Відкликання діє на майбутнє – тобто не впливає на законність обробки, яка була здійснена до відкликання. Найпростіші приклади: ви дали згоду на отримання нашої email-розсилки – ви можете у будь-який момент відписатися (це і буде відкликанням згоди на маркетинг); ви дали згоду на запис свого відео на вебінарі – можете потім її відкликати, і ми припинимо використовувати запис з вашим зображенням (див. розд.6). Ми не будемо наполягати або намагатися «переконати» вас, якщо ви відкликаєте згоду – виконаємо спокійно вашу волю. Якщо обробка має іншу законну підставу (не згоду), ми продовжимо обробляти на ній.
Право не бути об’єктом автоматизованого рішення. Ви маєте право не підлягати рішенню, заснованому виключно на автоматизованій обробці, включаючи профілювання, якщо таке рішення має юридичні наслідки для вас або суттєво впливає. Ми наразі не здійснюємо повністю автоматизованих рішень без втручання людини, які б визначали, скажімо, допуск вас до курсу або оцінку. Усі ключові моменти (запис на захід, видача сертифіката) мають завжди елемент участі людини – нашого адміністратора чи викладача. Якщо ми колись запровадимо елементи автоматичного оцінювання (наприклад, комп’ютер буде перевіряти тести), це все одно не буде остаточним рішенням без можливості перегляду викладачем. Таким чином, порушення вашого права тут немає. Але якщо ви вважаєте, що таке мало місце – повідомте нас, ми переглянемо рішення з участю людини.
Право на звернення та скарги. Окрім прямих прав щодо ваших даних, ви маєте право звертатися зі скаргами щодо нашої обробки персональних даних. Якщо вас щось непокоїть, настійно рекомендуємо спершу звернутися до нас – ми щиро прагнемо вирішити ваше питання мирно і оперативно. Але якщо ви не задоволені нашою відповіддю або вважаєте, що ми порушуємо законодавство про захист даних, ви можете подати скаргу до наглядового органу. В Україні таким органом є Уповноважений Верховної Ради України з прав людини (Офіс Омбудсмана) – контакти наведені в розд.15. Для суб’єктів даних з ЄС – ви можете звернутися зі скаргою до національного органу захисту даних вашої країни (контакти доступні на сайті Європейської ради із захисту даних, EDPB). У Великій Британії це ICO (Управління комісара з інформації). Ви також маєте право на судовий захист – звернутися до суду, якщо вважаєте, що ваші права порушені.

Порядок реалізації прав: Щоб скористатися будь-яким зі своїх прав, ви можете надіслати нам відповідний запит. Найзручніше – електронною поштою на medical.ukrainian.school@gmail.com з темою «Персональні дані – запит». Ви можете написати у довільній формі, яке право хочете реалізувати (наприклад: «Прошу надати мені копію всіх моїх персональних даних» або «Виправте, будь ласка, моє прізвище на …»). Для ідентифікації особи ми можемо попросити вас підтвердити володіння акаунтом або надати мінімальну додаткову інформацію (наприклад, відповісти з e-mail, на який зареєстрований акаунт; або вказати останній захід, у якому ви брали участь), щоб переконатися, що запит надходить саме від вас. Це необхідно для захисту ваших даних від неправомірного доступу сторонніх.

Ми розглядаємо запити і надаємо відповідь у місячний строк з дня отримання (в Україні за законом – протягом 30 календарних днів). Цей строк може бути подовжений ще на 30 днів, якщо запит складний або їх багато – але ми повідомимо вас про таке продовження і причини. Відповідь надамо безкоштовно, за винятком випадків зловживання правом (якщо запити явно безпідставні чи надмірні, зокрема повторювані – тоді можемо або стягнути обґрунтовану плату за адміністративні витрати, або відмовити, обґрунтувавши причини).

Ми намагаємося формулювати відповіді чітко і зрозуміло. Якщо з якоїсь причини ми вирішили не задовольнити ваш запит (частково чи повністю), ми пояснимо вам причину (посилаючись на відповідні положення закону) і повідомимо про можливості оскарження. Наприклад, якщо ви попросили видалити дані, які ми повинні зберігати для виконання правового обов’язку, ми повідомимо, що не можемо видалити їх до спливу строку, але обмежимо обробку.

Шаблони запитів: На ваш запит ми можемо надати вам шаблон (формуляр) для полегшення оформлення звернення – це не є обов’язковим, ви можете писати у вільній формі. Важливо: запит повинен містити достатньо інформації для ідентифікації вас та розуміння суті вимоги. Якщо нам буде чогось бракувати – ми оперативно зв’яжемося з вами для уточнення.

Ми цінуємо ваших клієнтів і завжди прагнемо максимально сприяти реалізації ваших прав. Для нас ваша довіра – найкращий стимул до прозорості. Будь ласка, не соромтеся звертатися з будь-якими питаннями щодо ваших даних – ми на зв’язку і відкриті до діалогу.

12. З ким ми ділимося даними

Ми можемо ділитися (передавати або розкривати) ваші персональні дані обмеженому колу третіх осіб, але виключно за необхідності для надання вам Послуг або виконання наших зобов’язань. Ми не продаємо і не обмінюємо ваші дані. Усі сторонні отримувачі зобов’язані забезпечувати конфіденційність та використовувати дані лише з визначеною метою. В цьому розділі перелічені основні категорії і конкретні організації, яким можуть передаватися ваші дані:

Google LLC (США) – наш багатофункціональний хмарний провайдер. Ми використовуємо сервіси Google Workspace: електронну пошту Gmail для комунікацій, Google Drive/Docs для зберігання і обробки робочих документів, Google Meet для проведення окремих онлайн-зустрічей. Це означає, що якщо ви пишете нам на наш Gmail чи заповнюєте форму Google, ваші дані проходять через інфраструктуру Google. Роль: Google виступає, в основному, як обробник (processor), що надає нам інструменти для роботи з даними; в деяких випадках (наприклад, Google Analytics cookies) – як спільний контролер. Розташування даних: можливий міжнародний обмін (див. розд.8) – Google може зберігати дані на серверах у ЄС, США та інших країнах. Гарантії: Ми уклали з Google додаток про обробку даних, який включає Стандартні договірні положення (SCCs). Google сертифікований за стандартами ISO/IEC 27001, 27017, 27018 (хмарна безпека). Політика Google: діє загальна Політика конфіденційності Google та додатково Доповнення щодо обробки даних для Google Workspace. Мета передачі: надання та підтримка нашої ІТ-інфраструктури (email, хмарне сховище), аналітика (Google Analytics), відеозв’язок (Meet). Без використання Google-сервісів ми не могли б ефективно організувати нашу роботу.
Zoom Video Communications, Inc. (США) – платформа відеоконференцій. Ми проводимо більшість онлайн-вебінарів і лекцій через Zoom. При цьому ваші дані (ім’я, email для запрошення; відео/аудіо під час участі) обробляються серверами Zoom. Роль: переважно обробник від нашого імені (hosted meetings). Zoom надає технічну платформу, але ми визначаємо цілі (проведення заходу). Розташування даних: глобально (центри в США, Європі, Азії – залежно від налаштувань і регіону учасників). Гарантії: Zoom приєднався до SCCs та заявляє відповідність GDPR. Ми уклали з ними стандартну Угоду про обробку даних. Політика Zoom: Zoom Privacy Statement. Мета передачі: забезпечення відеотрансляції заходів в реальному часі та взаємодії з учасниками (чат, звук). Zoom отримує лише необхідний мінімум: технічні дані з’єднання, ваше ім’я у конференції, можливий запис (якщо включений). Zoom не може використовувати ці дані для своїх цілей, крім як для надання і поліпшення сервісу.
ПриватБанк (АТ КБ «ПриватБанк», Україна) – платіжний шлюз LiqPay. Усі онлайн-оплати банківськими картками ми приймаємо через систему LiqPay, яка належить ПриватБанку. Коли ви здійснюєте платіж, ви взаємодієте безпосередньо з платіжною сторінкою LiqPay (вбудований віджет на нашому Сайті), і дані вашої картки йдуть прямо до ПриватБанку. Роль: ПриватБанк (LiqPay) є самостійним контролером щодо платіжних даних – він визначає цілі обробки (проведення платежу, виконання норм фінмоніторингу). Ми ж отримуємо від нього результат транзакції. Локація даних: Україна (ПриватБанк – українська юрисдикція). Якщо платіж із-за кордону, дані можуть передаватися через міжнародні платіжні системи. Гарантії: ПриватБанк зобов’язаний дотримуватися Закону України «Про захист персональних даних», Банківської таємниці, PCI DSS стандартів. LiqPay має власні умови та політику. Політика LiqPay: доступна на сайті LiqPay (розділ «Безпека та конфіденційність». Що передається: ім’я платника, реквізити транзакції, частково дані картки (шифровані/масковані). Ми не передаємо ПриватБанку нічого, окрім суми та ідентифікатора замовлення (LiqPay сам запитує у вас решту). Мета: забезпечення онлайн-оплати, проведення грошей з вашої картки на наш рахунок. Без цього ми не можемо отримати оплату Послуг. Після успішної транзакції ПриватБанк повідомляє нас, і ми оновлюємо статус вашого замовлення.
Постачальники ІТ та хостингу: Ми можемо залучати інших сторонніх провайдерів для підтримки роботи Сайту та сервісів. Наприклад, хостинг-провайдер (компанія, на серверах якої фізично розташований наш Сайт і база даних). Або служби резервного копіювання та CDN (мережа доставки контенту) для швидшого завантаження сайту по світу. На момент публікації Політики, наш Сайт розміщений на серверних потужностях українського дата-центру (напр. Hosting Ukraine [приклад] – уточнити провайдера), який діє як обробник наших даних за договором. Такий провайдер забезпечує фізичну безпеку і підключення серверів, але не має права доступу до ваших даних без нашого дозволу. Ми контролюємо сервер і шифруємо дані. Якщо ми використовуємо CDN (наприклад, Cloudflare), то статичні файли сайту (зображення, скрипти) можуть кешуватися на їх вузлах по всьому світу – при цьому іноді ваша IP-адреса може бути бачна CDN. Гарантії: всі такі постачальники підписують з нами угоди про конфіденційність, і ми перевіряємо їх відповідність стандартам. Мета передачі: забезпечення стабільної роботи, швидкого і захищеного доступу до Сайту з будь-якої точки.
Експерти та партнери: У певних випадках ми можемо надати мінімальні дані зовнішнім консультантам або партнерам, які допомагають нам надавати Послуги. Наприклад:
- Запрошені тренери/лектори: якщо курс читає сторонній експерт, ми можемо поділитися з ним списком зареєстрованих учасників (ім’я, можливо посада) для налаштування навчання під аудиторію. Всі тренери пов’язані договором, що містить положення про нерозголошення ваших даних.
- Технічні підрядники: іноді для розробки нашого Сайту чи його підтримки ми залучаємо ІТ-спеціалістів на аутсорсі. Вони можуть мати доступ до системи, яка обробляє дані користувачів, але виключно з технічною метою (налагодити функціонал, усунути баги). Ми залучаємо перевірених підрядників і укладаємо з ними NDA.
- Маркетингові партнери: якщо ми проводимо спільний захід з іншою організацією (наприклад, партнерський вебінар), за вашої згоди ми можемо обмінятися списками учасників з тією організацією. Але це буде чітко повідомлено під час реєстрації (зазвичай опціонально «поділитися контактами з партнером»). Без вашої згоди ми не передаємо ваші контакти стороннім спонсорам чи партнерам.
Державні органи: Ми можемо розкрити ваші персональні дані державним органам влади у випадках, коли зобов’язані зробити це за законом. Наприклад:
- На запит суду, поліції, прокуратури чи іншого правоохоронного органу в рамках відкритого провадження – ми перевіримо законність запиту і надамо запитувані дані, якщо він відповідає вимогам (наприклад, ухвала суду про доступ).
- В рамках податкового чи фінансового нагляду – наші бухгалтерські документи (що можуть містити ваше ім’я, якщо ви ФОП, чи факт оплати від вас) можуть бути перевірені податковою службою або аудиторами. Вони зобов’язані зберігати таємницю перевірки.
- Уповноважений з прав людини – якщо ви подасте скаргу на нас до Омбудсмана, нам може бути надісланий запит щодо ваших даних/інциденту. Ми надамо необхідну інформацію для вирішення скарги.

Ми завжди оцінюємо кожен запит державних органів дуже критично і надаємо тільки той обсяг даних, який вимагається законом. Без законних підстав ми не передаємо нікому ваші дані.

У разі реорганізації бізнесу: Теоретично, якщо в майбутньому наша компанія буде реорганізована, продана чи об’єднана з іншою, ваші персональні дані можуть бути передані правонаступнику. У такому випадку ми завчасно повідомимо вас про зміну контролера, і ваші дані залишаться під такою ж або кращою охороною (новий власник зобов’язаний дотримуватися цієї Політики до оновлення згоди).

Ми переконуємося, що кожен одержувач ваших даних дотримується принципу конфіденційності та мінімізації. Тобто передаємо тільки ті дані, які необхідні для конкретної мети. Наприклад, тренеру немає потреби знати ваш email чи телефон – лише ім’я і посаду для знайомства. Хостинг-провайдеру не потрібні ваші сертифікати, лише зашифровані масиви. І так далі.

З кожним зовнішнім отримувачем ми або маємо договір про нерозголошення/обробку даних, або вони зобов’язані законом зберігати секретність (як банки, державні органи). Ми контролюємо виконання цих вимог і проводимо аудит ключових партнерів.

Якщо ви бажаєте дізнатися детальніше, які саме ваші дані і кому були передані (скажімо, чи надавали ми щось про вас держорганам) – ви можете подати запит, і ми повідомимо.

В підсумку: жодних сюрпризів чи прихованих отримувачів. Усі передачі – або обумовлені логікою сервісу (ви самі це відчуваєте, коли заходите на вебінар у Zoom чи платите через LiqPay), або диктуються законом. Ми не ділимося даними з рекламодавцями чи сторонніми базами. Ваші дані – лише для якісного навчання і обслуговування вас.

13. Маркетинг

Ми можемо час від часу інформувати вас про наші нові Послуги, заходи, спеціальні пропозиції чи інші новини, які, на нашу думку, можуть бути для вас цікавими. Однак ми робимо це обережно і тільки за наявності законних підстав, зважаючи на ваше право не отримувати небажані повідомлення. Нижче описано наш підхід до маркетингових комунікацій і як ви можете управляти своїми підписками:

13.1. Підстави для маркетингових розсилок: Ми використовуємо два основні правові режими для надсилання вам маркетингових повідомлень:

Ваша згода (opt-in): У більшості випадків ми будемо просити вашої явної згоди на отримання рекламно-інформаційних матеріалів. Наприклад, при реєстрації акаунту або на нашому сайті ви можете побачити чекбокс «Хочу отримувати повідомлення про нові курси та пропозиції». Тільки якщо ви його активно позначите, ми додамо ваш email до списку розсилки. Так само ви можете підписатися на нашу розсилку через форму «Підписатись на новини». Ця згода є добровільною і не є умовою користування Послугами (тобто ви можете відмовитися, і це не вплине на доступ до навчання).
Легітимний інтерес / відносини з клієнтом (soft opt-in): Якщо ви вже є нашим клієнтом (наприклад, зареєструвалися на курс чи придбали Послугу) і ми отримали ваш email в процесі цієї транзакції, ми можемо надсилати вам повідомлення про аналогічні послуги, які вас можуть зацікавити, без окремої згоди. Це відповідає ч.3 ст. 15 Закону України «Про електронну комерцію» та, в певних випадках, ст. 21(3) GDPR (soft opt-in exemption). Наприклад, якщо ви пройшли курс «КРОК 1», ми можемо надіслати вам лист про відкриття реєстрації на курс «КРОК 2». Важливо: у кожному такому листі ми надамо вам можливість легко відписатися, якщо ви не хочете отримувати далі.

Ми завжди оцінюємо, чи буде лист доречним і цінним для вас. Ми не бомбардуємо спамом. Частота розсилки – в середньому 1-2 листи на місяць, якщо ви погодилися на маркетинг.

13.2. Типи маркетингових повідомлень: Основний канал – електронна пошта. Ми можемо надсилати:

Новини про майбутні вебінари, тренінги, курси («Розпочато набір на …»).
Спеціальні пропозиції для постійних клієнтів (промокоди на знижки, інформація про акції).
Освітні матеріали та корисний контент (наприклад, добірки статей, чек-листи до іспитів), що також є частиною контент-маркетингу.
Оголошення про наші успіхи чи зміни (наприклад, відкриття нового напрямку навчання, партнерство).

SMS та дзвінки: Ми практично не використовуємо SMS для реклами. Можемо надіслати SMS-нагадування, якщо ви зареєстровані на подію (що більше схоже на сервісне повідомлення). Рекламні дзвінки ми не здійснюємо без окремої згоди. Якщо колись введемо – запитаємо дозволу.

Ретаргетинг та онлайн-реклама: Як зазначалося в розд.5, ми наразі не виконуємо таргетовану рекламу, що б вимагала передачі ваших даних третім особам (напр. завантаження вашого email у Facebook для custom audience). Якщо вирішимо використати такі інструменти, отримамо вашу згоду окремо.

13.3. Управління згодою (opt-out): Ви можете в будь-який час відмовитися від отримання маркетингових листів від нас. Для цього:

Натисніть посилання «Відписатися» або аналогічне, яке ми включаємо внизу кожного маркетингового email. Це автоматично видалить ваш адресу зі списку розсилки (або перенесе до категорії «не надсилати»).
Або напишіть нам листа на medical.ukrainian.school@gmail.com з темою «Відмовитися від розсилки». Ми вручну виключимо вас зі списків.
Або зателефонуйте/скажіть нам усно, якщо так вам зручніше – ми теж зафіксуємо (але письмовий слід надійніший).

Opt-out зусилля: Відписання є безкоштовним і простим. Після того, як ви відмовилися, ми не будемо вам надалі надсилати маркетинг. Єдині листи, які ви все одно можете отримувати – це сервісні/транзакційні повідомлення, наприклад: підтвердження реєстрації на курс, інформація про зміну розкладу, нагадування про оплату, технічні повідомлення (це не вважається маркетингом, а необхідно для виконання договору). Від таких листів відписатися не можна, але вони надсилаються лише коли ви дійсно залучені у відповідну діяльність.

13.4. Окремі згоди: Ми практикуємо granular consent – тобто розділяємо різні типи комунікацій. Наприклад, ви можете погодитися на email-розсилку, але відмовитися від SMS, якщо б ми їх робили. Або погодитися на розсилку від нас, але не від наших партнерів. У формі згоди це буде очевидно (прапорці для кожної категорії). Ми ніколи не вимагаємо «пакетної» згоди на все. Також, якщо ви відписалися від реклами, але все одно хочете отримувати навчальні матеріали (чи навпаки) – повідомте нам, ми налаштуємо вручну. Наша система розсилок дозволяє керувати сегментами.

13.5. Персоналізація: Ми можемо персоналізувати маркетингові повідомлення на основі вашої взаємодії з нами. Наприклад, якщо ви цікавились певною темою, ми можемо згадати про новий курс з цієї теми. Це робиться або вручну, або за допомогою простих фільтрів у базі (не за допомогою складного профілювання). Ви можете заперечити проти такої персоналізації – тоді будемо надсилати тільки загальні повідомлення (або взагалі не надсилати, залежно від ваших побажань).

13.6. Реклама від третіх осіб: Ми не надаємо ваші контакти чи іншу інформацію будь-яким стороннім компаніям для їхнього прямого маркетингу без вашої явної згоди. Якщо колись ми плануватимемо розсилку від імені партнера (скажімо, ви б хотіли отримувати новини професійної асоціації) – ми запитаємо дозволу.

13.7. Соціальні мережі: Якщо ви підписані на наші сторінки у соцмережах (Facebook, Instagram тощо) або взаємодієте з нашим контентом, ви, ймовірно, будете бачити наші пости – але це вже підпорядковується умовам відповідної платформи, а не цієї Політики. Ми закликаємо вас читати нашу публічну сторінку на власний розсуд. Якщо не хочете отримувати новини у соцмережах – просто відпишіться/не слідкуйте.

13.8. Відповідність спам-законодавству: Ми дотримуємося вимог законодавства про електронні комунікації та рекламу. В Україні це означає, що комерційні електронні повідомлення надсилаються лише за наявності згоди або можливості відмови (ст. 15 Закону «Про електронну комерцію»). Також ми враховуємо вимоги GDPR щодо прямого маркетингу (ст. 21, 7 та ін.). Якщо ви знаходитесь, наприклад, у Німеччині, ми будемо дотримуватися і локальних норм (UWG). Наші листи завжди чітко позначені, від кого вони, містять контакти для зв’язку і опцію відписки – все як належить.

13.9. Cookies для маркетингу: Як зазначено раніше, ми можемо використовувати маркетингові cookie для ремаркетингу тощо, але тільки за вашою згодою. Якщо ви дали згоду, але передумали – змініть налаштування cookie (див. розд.5) або напишіть нам. Ми поважаємо сигнал “Do Not Track” в браузері і не запускаємо такі скрипти для користувачів, що його ввімкнули.

Пам’ятайте: вибір завжди за вами. Ми намагаємося робити наші пропозиції корисними, але ви маєте повне право залишатися тільки на суто сервісних повідомленнях. Ваш комфорт – наша цінність.

14. Зміни до Політики

Ми можемо час від часу оновлювати цю Політику конфіденційності, щоб відобразити зміни в нашій діяльності, законодавчих вимогах або інших важливих обставинах. Ми прагнемо робити це прозоро. У цьому розділі пояснюється, як будуть вноситися зміни і як ми вас повідомимо:

Порядок внесення змін: Зміни до Політики затверджуються керівництвом нашої Компанії. Кожна нова редакція матиме дату набрання чинності, зазначену на початку документа (наприклад, «Редакція від …»). Ми також будемо вести нижче журнал змін, де коротко описуємо, що саме оновлено (див. таблицю в кінці Політики).
Істотні зміни: Якщо ми плануємо змінити способи обробки ваших даних суттєвим чином (наприклад, з’являться нові цілі, нові категорії даних, чи передаватимемо дані новим третім особам), ми заздалегідь повідомимо вас про такі зміни. Зазвичай ми зробимо це шляхом помітного оголошення на Сайті (банер або поп-ап) і/або електронною поштою за 7 днів до набуття чинності змін (або більше, якщо того вимагає закон). Таким чином, ви зможете ознайомитися з новими умовами. Якщо від вас потрібна згода (наприклад, впроваджуємо новий сервіс, що вимагає вашої згоди) – ми окремо її отримаємо.
Несуттєві зміни: Зміни, що не впливають на ваші права та обов’язки (редакційні правки, покращення структури, оновлення контактної інформації, уточнення формулювань), можуть вноситися і без спеціального попередження. Проте, ми завжди оновлюємо дату редакції, тож ви можете побачити, коли документ змінювався востаннє.
Доступність актуальної версії: Актуальна діюча Політика доступна на нашому Сайті за постійним посиланням (зазвичай в футері сайту «Політика конфіденційності»). Ми рекомендуємо вам періодично переглядати цей документ, щоб бути обізнаними про те, як ми захищаємо ваші дані. Ми також можемо зберігати архів старих версій (наприклад, у вигляді PDF), доступний на запит, щоб ви могли переглянути, які зміни відбулися з часом.
Згода з змінами: Якщо після набуття чинності оновленої Політики ви продовжуєте користуватися Сайтом і Послугами, це буде означати вашу згоду з новими умовами обробки персональних даних. Якщо ви не згодні з якоюсь зміною, ви маєте право припинити користування Послугами або звернутися до нас з питаннями/запереченнями. В окремих випадках (коли зміна критично впливає на вашу приватність) і якщо ви не згодні – ви можете вимагати видалення ваших даних.
Сповіщення засобом електронного зв’язку: Як зазначено, основним каналом повідомлення про зміни буде електронна пошта та/або повідомлення на Сайті. Будь ласка, слідкуйте, щоб ваша контактна email-адреса у нас була актуальною. Ми не несемо відповідальності, якщо ви не ознайомилися з оновленнями через те, що не прочитали повідомлення або воно потрапило до спаму (радимо додати нашу адресу в «білі» списки).
Форс-мажорні зміни: Якщо зміни зумовлені негайною необхідністю (наприклад, зміна законодавства, рішення суду або компетентного органу) і у нас немає часу на попереднє інформування за 7 днів – ми оновимо Політику якомога швидше і повідомимо вас у найкоротший строк. Це може траплятися дуже рідко.

Ми віримо в прозорість: жодних прихованих змістів. Якщо у вас є запитання стосовно нової редакції Політики – ви завжди можете зв’язатися з нами для роз’яснень. Ваші права не будуть обмежені без вашої згоди. Всі зміни робляться здебільшого для вашої ж зручності або у зв’язку з розвитком нашого сервісу.

Нижче наведено журнал змін для історії.

Журнал змін Політики:

Дата набрання чинності	Версія	Опис змін
13 вересня 2025 р.	1.0	Перша публікація Політики конфіденційності ТОВ «Медична Українська Школа». Документ уніфіковано з вимогами GDPR/ЗУ «Про захист персональних даних».

15. Контакти контролера

Контролер (Компанія):
ТОВ «Медична Українська Школа»
Код ЄДРПОУ: 46112789
Юридична адреса: 61100, Україна, Харківська обл., м. Харків, вул. Петра Григоренка, буд. 14, кв. 26
Email: medical.ukrainian.school@gmail.com
Вебсайт: https://med-us.com.ua
Телефон: +38 (096) 842-16-30 (гаряча лінія з організаційних питань)

З питань захисту даних ви можете писати на вказану електронну пошту з поміткою «Privacy» або «Персональні дані». Відповідальна особа розгляне ваше звернення і надасть відповідь протягом 10 робочих днів (або швидше, якщо питання термінове). Також ви можете надіслати письмовий запит за нашою поштовою адресою (будь ласка, вкажіть на конверті «До відповідального за захист даних»). Ми відкриті до будь-яких ваших питань, пропозицій чи скарг щодо цієї Політики і наших практик.

Наглядовий орган з питань захисту даних в Україні:
Ще раз дякуємо, що обрали «Медичну Українську Школу». Ми цінуємо вашу довіру і докладаємо всіх зусиль, щоб виправдати її не тільки якістю навчання, а й сумлінним ставленням до вашої приватності. Якщо у вас є будь-які запитання щодо цієї Політики або в цілому щодо ваших персональних даних – звертайтеся за вказаними контактами. Ми завжди раді допомогти та пояснити.

Будьте певні: ваша конфіденційність – під надійним захистом, поки ви навчаєтесь з нами!